单元2 网络病毒和恶意软件的清除与防御

单元2 网络病毒和恶意软件的 清除与防御 [单元学习目标] 知识目标1．了解ARP病毒的工作原理2．掌握ARP病毒的常用防御方法3．了解网络
蠕虫病毒的工作原理4．掌握蠕虫病毒的清除和预防的方法5．了解恶意软件的工作原理6．掌握恶意软件的清除方法7．掌握网络版查毒软件的工
作原理 [单元学习目标]能力目标1．具备利用软件和硬件的配置防御ARP病毒的能力 2．具备根据故障现象诊断ARP病毒攻击的能力 3
．具备利用杀毒软件清除蠕虫病毒的能力 4．具备利用软件清除恶意软件的能力 5．具备网络版杀毒软件的安装和部署的能力 6．具备在域环
境下部署杀毒软件的能力 情感态度价值观 1．培养认真细致的工作态度 2．逐步形成网络安全的主动防御意识[单元学习内容]随着计算机网
络技术的普及及发展，信息对人们来说越来越重要，同时信息面临的威胁也越来越大，计算机网络的安全已成为用户普遍关注的问题，而病毒是计算
机系统中最常见的安全威胁。病毒一旦发作，轻则破坏文件，损害系统，重则造成网络瘫痪；恶意软件、黑客程序等破坏性程序也层出不穷，这也给
攻击者攻击系统网络、窃取数据提供了便利。操作系统的安全策略设定能很好地保证计算机的安全，但并不能完全防止病毒和恶意软件的入侵，并且
随着掌上型移动工具的广泛使用，尤其是WAP的应用日益广泛，病毒对手机和无线网络的威胁越来越大，因此用户一方面要掌握当前计算机病毒的
防范和清除工作，另一方面要加强对未来病毒发展趋势的研究，保证网络信息安全。任务1 常见病毒的清除与防御 活动1 认识ARP病
毒【任务描述】通过学习，小齐对于在公司网络管理中遇到的一些小问题基本都能自己排除，但是最近公司的许多计算机莫名奇妙地掉线，公司的网
速变得非常慢，这个事情让小齐花费了大量的精力，最近他终于搞明白了，原来是ARP病毒在作怪。【任务分析】通过模拟ARP攻击，了解AR
P病毒的原理、病毒发作时候的典型现象，掌握基本操作命令来判断是否存在ARP病毒攻击并找出病毒源。任务1 常见病毒的清除与防御
活动1 认识ARP病毒【任务实战】步骤1 搭建ARP攻击的模拟环境。利用一台2层交换机（本任务以神州数码3950交换机为例，也
可以运行虚拟机完成）和3台PC组成。按图2-1所示拓扑结构图连接设备，并保证网络的连通性。步骤2 在PC-A上安装模拟ARP攻击
软件，并运行攻击软件。有很多基于ARP攻击原理的软件，如网络剪刀手、网络执法官，还有许多基于ARP攻击原理的网管软件。本节以长角牛
网络监控机为例，长角牛网络监控机可以从网上下载。（1）下载长角牛网络监控机并按照系统提示进行安装。任务1 常见病毒的清除与防御
活动1 认识ARP病毒（2）启动长角牛网络监控机，弹出选择网卡和监控范围的对话框。单击“添加/修改”按钮，在下面就会出现添加的
监控范围，监控范围为192.168.1.1.～192.168.1.254。（3）添加完监控范围后单击“确定”按钮，进入软件的主页面
。因为本例使用的是试用版，要2min后才可以使用。 此时在软件主页面上显示的是扫描的结果：MAC地址、IP地址、组/主机/用户。我
们特别留意主机192.168.1.3的MAC地址为00-0C-29-E1-FC-C2，后面要用到。任务1 常见病毒的清除与防御
活动1 认识ARP病毒（4）2min后，就可以进行攻击了，选择要攻击的主机，右击弹出菜单，选择用户权限设置，本任务以选择192
.168.1.2为例。 在“设置权限”区域选择“禁止用户，发现该用户上线即管理”，在“管理方式”区域选择“断开与所有主机TCP/I
P连接”，最后单击“保存”按钮，就完成了对目标主机的攻击。步骤3 判断ARP攻击。（1）测试网络的连通性，在被攻击主机192.1
68.1.2 通过ping工具测试到192.168.1.3这台主机的连通性。任务1 常见病毒的清除与防御 活动1 认识ARP
病毒2）利用命令查看ARP缓存来判断是否存在ARP攻击或者ARP病毒。 通过观察对比发现：192.168.1.3真实的MAC地址为
00-0C-29-E1-FC-C2，而在被攻击主机的ARP缓存中的MAC地址却变成了00-0C-29-8C-91-AF。显然在缓存
中的是一个错误的IP地址和MAC地址的对应关系，由此就判断出这是一个典型的ARP攻击。任务1 常见病毒的清除与防御 活动2
ARP病毒的防范【任务描述】小齐搞明白公司局域网内有了ARP病毒后，从网上找了很多解决方案，但是方法太多，看得小齐眼花缭乱，不知道
选择哪个办法好。【任务分析】可以通过在每一台计算机都安装软件的方法，也可以通过对ARP防御功能的交换机进行设置来防御。任务1 常
见病毒的清除与防御 活动2 ARP病毒的防范【任务实战】方法1：静态绑定IP和MAC地址。最常用的方法就是做IP和MAC静态绑
定，在网内把主机和网关都做IP和MAC绑定。欺骗是通过ARP的动态实时更新规则欺骗内网机器，所以我们把ARP全部设置为静态就可以解
决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。对每台主机进行IP和MAC地址静态绑定。通过
命令，arp -s可以实现 “arp—s IP MAC地址 ”。例如，在CMD窗口模式下输入如下命令： arp –s 192.16
8.10.1 AA-AA-AA-AA-AA-AA任务1 常见病毒的清除与防御 活动2 ARP病毒的防范如果设置成功会在PC上
面通过执行 arp -a看到相关的提示： Internet Address Physical Address Type 192.
168.10.1 AA-AA-AA-AA-AA-AA static（静态） 一般不绑定，在动态的情况下看到的是： Internet
Address Physical Address Type 192.168.10.1 AA-AA-AA-AA-AA-AA dy
namic（动态） 对于网络中有很多主机，500台，1000台，……，如果每一台都去做静态绑定，工作量是非常大的，而且这种静态绑定
，在计算机每次重启后，都必须重新绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的。任务1 常见病毒的清除与防御 活动2
ARP病毒的防范方法2：使用ARP防护软件。目前市场上关于ARP类的防护软件比较多，大家使用比较常用的ARP工具主要是彩影ARP防
火墙、360安全卫士防火墙等。它们除了本身可以检测出ARP攻击外，还能对其进行防护。防护的工作原理是使用一定频率向网络广播正确的A
RP信息，以彩影ARP防火墙为例。彩影ARP防火墙的下载地址为http://www. antiarp.com。它的安装步骤也非常简
单，在此只特别说明一点，就是彩影ARP防火墙的高级设置。选择“工具”→“高级参数设置”→“防御”，“主动防御”区域中“始终启用”最
好不要启用，一旦需要启用，防御速度数值设置为2。任务1 常见病毒的清除与防御 活动2 ARP病毒的防范方法3：使用可防御AR
P攻击的交换机。防御ARP网络病毒和攻击，最有效的方法是在接入层交换机进行设置，随着网络设备功能的不断发展，很多2层交换机都具备了
一定的防御ARP攻击的能力，本文以神州数码2层交换机3950为例进行设置（如实验室设备不同，请参看产品手册及官方文档）。① AM功
能。AM（Access Management）又称为访问管理，它利用收到数据报文的信息（源IP 地址或源IP+源MAC）与配置硬件
地址池（AM pool）相比较，如果找到则转发，反之丢弃。AM pool是一个地址列表，每一个地址表项对应于一个用户。每一个地址表
项包括了地址信息及其对应的端口。地址信息可以有两种：IP地址（IP pool），定该端口上用户的源IP地址信息；MAC-IP地址（
MAC-IP pool），定该端口上用户的源MAC 地址和源IP 地址信息。当AM激活的时候，AM模块会拒绝所有的IP报文通过（只
允许IP地址池内的源地址成员通过）。任务1 常见病毒的清除与防御 活动2 ARP病毒的防范可以在交换机端口创建一个MAC+I
P 地址绑定，放到地址池中。当端口下联主机发送的IP报文（包含ARP报文）中，所含的源IP＋源MAC不符合地址池中的绑定关系，此报
文就被丢弃。配置命令示例如下。举例：激活AM并允许交接口4上源IP为192.1.1.2、源MAC是00-01-10-22-33-1
0 的用户通过。Switch（Config）#am enable Switch（Config）#interface Etherne
t 0/0/4 Switch（Config-Ethernet0/0/4）#am port Switch（Config-Ethern
et0/0/4）#am mac-ip-pool 00-01-10-22-33-10 192.1.1.2功能优点：配置简单，除了可以
防御ARP攻击，还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。 功能缺点：需要占用交换机ACL资源，网络管
理员配置量大，终端移动性差。任务1 常见病毒的清除与防御 活动2 ARP病毒的防范② ARP Guard功能。基本原理就是利
用交换机的过滤表项，检测从端口输入的所有ARP报文，如果ARP 报文的源IP地址是受到保护的IP地址，就直接丢弃报文，不再转发。举
例：在端口Ethernet0/0/1 启动配置ARP Guard 地址192.168.1.1（设为网关地址）。Switch（Con
fig）#interface Ethernet0/0/1 Switch（Config- Ethernet 0/0/1）# arp-
guard ip 192.168.1.1端口Ethernet0/0/1发出的仿冒网关ARP报文都会被丢弃，所以ARP Guard
功能常用于保护网关不被攻击。功能优点：配置简单，适用于ARP仿冒网关攻击防护快速部署。 功能缺点：ARP Guard需要占用芯片F
FP 表项资源，交换机每端口配置数量有限。任务1 常见病毒的清除与防御 活动2 ARP病毒的防范③ 端口ARP限速。神州数码
系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口，就切断攻击源头，保障网络的安全。有两种方式来
防ARP 扫描：基于端口和基于IP。基于端口的ARP扫描会计算一段时间内从某个端口接收到的ARP 报文的数量，若超过了预先设定的阈
值，则会关闭此端口。基于IP的ARP扫描则计算一段时间内从网段内某IP收到的ARP报文的数量，若超过了预先设置的阈值，则禁止来自此
IP的任何流量，而不是关闭与此IP相连的端口。此两种防ARP扫描功能可以同时启用。端口或IP被禁掉后，可以通过自动恢复功能自动恢复
其状态。任务1 常见病毒的清除与防御 活动2 ARP病毒的防范举例：在交换机的端口启动ARP报文限速功能。Switch（Co
nfig）#anti-arpscan enable　//激活Anti-arpscan Switch（Config）#anti-ar
pscan port-based threshold 10　//设置每个端口每秒的ARP报文上限 Switch（Config）#a
nti-arpscan ip-based threshold 10　//设置每个IP每秒的ARP报文上限 Switch（Confi
g）#anti-arpscan recovery enable 　//开启防网段扫描自动恢复功能 Switch（Config）#a
nti-arpscan recovery time 90 　 //设置自动恢复的时间为90s功能优点：全局激活，无须在端口模式下配
置，配置简单。 功能缺点：不能杜绝虚假ARP报文，只是适用于对ARP扫描或者Flood攻击防御，建议和交换机其他功能一起使用。任务
1 常见病毒的清除与防御 活动2 ARP病毒的防范【任务拓展】一、理论题1．ARP病毒攻击的原理是什么？2．ARP病毒攻击有
哪些典型现象？二、实训1．下载长角牛网络监控机软件搭建ARP攻击环境。2．进行IP和MAC地址绑定来阻止ARP攻击。3．利用防AR
P攻击软件进行防御。4．利用现有设备并查看设备手册进行ARP攻击的防护。任务1 常见病毒的清除与防御 活动3 网络蠕虫病毒的
清除与防御【任务描述】2007年肆虐网络的“熊猫烧香”病毒使数以百万计的计算机用户都被卷进去了。虽然熊猫病毒已经离人们远去，但是以
“熊猫烧香”病毒为特点的蠕虫病毒却一直是计算机用户的大敌。【任务分析】先了解“熊猫烧香”病毒的特点及危害，掌握查杀蠕虫病毒的方法，
掌握“熊猫烧香”病毒的防御方法。任务1 常见病毒的清除与防御 活动3 网络蠕虫病毒的清除与防御【任务实战】步骤1 了解“熊
猫烧香”病毒的特点及危害。“熊猫烧香”病毒其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。由于中毒计算机的可执行文件会出现“熊
猫烧香”图案，所以称为“熊猫烧香”病毒。“熊猫烧香”原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。而大多数用户是受病毒
变种的毒害，用户计算机中毒后可能会出现蓝屏、频繁重启，以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行
传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用。它能感染系统中exe、com、pif、src、html
、asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是系统备份工具GHOST的备份文件。任务1
常见病毒的清除与防御 活动3 网络蠕虫病毒的清除与防御gho文件被删除使用户的系统备份文件丢失，用户将无法用GHOST恢复被损
坏的操作系统。被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。“熊猫烧香”病毒在硬盘各个分区下生成文件aut
orun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬
盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”病毒还可以通过共享文件夹、系统弱口令等多种方式进
行传播。该病毒会在中毒计算机中所有的网页文件尾部添加病毒代码。一些网站编辑人员的计算机如果被该病毒感染，上传网页到网站后，就会导致
用户浏览这些网站时也被病毒感染。 任务1 常见病毒的清除与防御 活动3 网络蠕虫病毒的清除与防御步骤2 掌握“熊猫烧香”蠕
虫病毒的查杀。 对于一些近期出现的肆虐互联网的蠕虫病毒，可以到著名的 杀毒软件公司下载各种版本的专杀工具。步骤3 及时更新系统补
丁，因为蠕虫病毒一般都是通过操作 系统的漏洞进行传播的，使用专杀工具只能把病毒消灭，但 是如果不打系统补丁，计算机就还会感染蠕虫病
毒。步骤4 掌握“熊猫烧香”病毒的预防方法。① 利用“组策略”编辑器，关闭所有驱动器的自动播放功能。 在运行中输入gpedit.
msc命令，打开“组策略”编辑器，依次选择“计算机配置”→“管理模板”→“系统”，右击右侧窗口中的“关闭自动播放”，选择“属性”命
令，打开“关闭自动播放 属性”对话框。选中“已启用”单选按钮，再在“关闭自动播放”下拉列表中选择“所有驱动器” 。单击“确定”按钮
，然后运行gpupdate命令，该策略就生效了。任务1 常见病毒的清除与防御 活动3 网络蠕虫病毒的清除与防御② 修改文件夹
选项，可以查看不明文件的真实属性，避免双击恶意程序而中毒。打开资源管理器，依次选择菜单栏中的“工具”→“文件夹选项”→“查看”，取
消选中“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”复选框，选中“显示所有文件和文件夹”单选按钮。③ 同时QQ
、MSN等通信软件的漏洞也可能被蠕虫 病毒利用，因此，平时也要多留意及时打补丁。④ 启用Windows防火墙保护本地计算机。同时，
局 域网内用户应尽量避免创建可写权限的共享目录，已 经创建共享目录的应该立即停止共享。任务1 常见病毒的清除与防御 活动3
网络蠕虫病毒的清除与防御【任务拓展】一、理论题1．蠕虫病毒有哪些危害？2．列举一些最近一年来互联网上比较有影响力的病毒。二、实训1
．下载“熊猫烧香”的病毒样本，完成“熊猫烧香”病毒的查杀和防御（提示：最好在虚拟机下完成，并关闭杀毒软件和360安全卫士等）。2．
尝试用手工清除的办法来清除“熊猫烧香”病毒。任务2 恶意软件的清除与防御【任务描述】最近公司员工纷纷向网管小齐反映，在公司和家用
的计算机上好像被强行安装了某些软件，而且该软件还不能被卸载；某些窗口会自动弹出来，使人心情很不爽，而且有几个用户反映丢失了文件和密
码。【任务分析】了解什么是恶意软件、如何清除恶意软件并预防恶意软件。任务2 恶意软件的清除与防御【任务实战】步骤1 了解什么是
恶意软件。（1）恶意软件定义。网络用户在浏览一些恶意网站，或者从不安全的站点下载游戏或其他程序时，往往会连恶意程序一并带入自己的计
算机，而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时，用户才有可能发觉计算机已“中毒”。在恶意软件未被发现的
这段时间，用户网上的所有敏感资料都有可能被盗走，如银行账户信息、信用卡密码等。这些让受害者的计算机不断弹出色情网站或恶意广告的程序
就称为恶意软件或流氓软件。任务2 恶意软件的清除与防御（2）恶意软件特征。 ① 强制安装：未明确提示用户或未经用户许可，在用户计
算机或其他终端上安装软件。 ② 难以卸载：未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序。 ③
浏览器劫持：未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网。 ④ 广告弹出：未明确提示用
户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告。 ⑤ 恶意收集用户信息：未明确提示用户或未经用户许可，恶意收集用
户信息。 ⑥ 恶意卸载：未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件。 ⑦ 恶意捆绑：在软件中捆绑已被认定为恶意软件
。 ⑧ 其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。任务2 恶意软件的清除与防御（3）恶意软件的分类及其危害。根据
不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类。 　　① 广告软件（Adware）：未经用户允许，下载并安装在用户计
算机上；或与其他软件捆绑，通过弹出广告等形式牟取商业利益的程序。此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户
隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。② 间谍软件（Spyware）：在用户不知情的情况下，在其计算机上安装后门、收集
用户信息的软件。用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的计算机被远
程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。任务2 恶意软件的清除与防御③ 浏览器劫持（Browser Hi
jack）：一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏
览器配置不正常，被强行引导到商业网站。 用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载。被劫持后，用户只要上网就会
被强行引导到其定的网站，严重影响正常上网浏览。④ 行为记录软件（Track Ware）：未经用户许可，窃取并分析用户隐私数据，记录
用户计算机使用习惯、网络浏览习惯等个人行为的软件。危及用户隐私，可能被黑客利用来进行网络诈骗。⑤ 恶意共享软件（Malicious
Shareware）：某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许
即将其安装到用户机器里。任务2 恶意软件的清除与防御步骤2 清除恶意软件。专家称，传统的病毒库保护方式难以应对恶意软件的攻击。
而且恶意软件一直在变化，即使是被侦查到，它们也会自动调整，因此依靠单独的技术难以防范恶意软件。目前恶意软件的清除工具非常多，比较流
行的有超级兔子清理王、恶意软件清理助手、360安全卫士、微软的Software Removal Tool、Windows清理助手等
。本文以360安全卫士为例介绍恶意软件的清理方法。（1）从360安全卫士中心下载该软件，双击安装文件开始安装。然后根据安装向导完成
“接受最终用户协议”→“选择安装目录”→“等待安装进度完成”→“根据需要选择是否安装浏览器和其他部分”。在选择的过程中一定要注意每
个部分是什么，直到安装结束。（2）安装完成后，双击运行360软件，主界面如图所示。任务2 恶意软件的清除与防御（3）选择“清理插
件”选项卡，选择扫描项，显示如图所示的对话框。它不但能扫描出所有的恶意软件，还为每种恶意程序提供了详细的注解，即使网络新手也能准确
地判断某款杀毒软件是否为恶意程序。选中某个要清除的插件或恶意软件，单击“立即清理”按钮，就会马上清除相应插件。当程序扫描出有恶意软
件的时候，系统会用红色字体显示并已经被系统选中，再单击“立即清理”按钮就可以将这些危害系统安全的插件清理干净了。（4）特征库升级。
反恶意软件与杀毒软件一样，是根据“恶意软件”的特征来进行清除和预防的，因此需要不断地更新才能清除相应的恶意软件。任务2 恶意软件
的清除与防御步骤3 预防恶意软件。恶意软件威胁经过几年的发展已经成为一种强大的势力，更确切地说它已经成为一种受经济利益驱使的商业
活动，因此应采取措施防止恶意软件在网络内传播，主要的预防措施如下。（1）正确使用电子邮件和Web。对邮件的来源和附件的属性不清楚，
不要打开邮件中的附件。不要从互联网下载和安装未获得授权的程序。学习公司的安全策略和建议，并坚决执行。（2）禁止或监督非Web源的协
议在企业网络内使用。如禁止或限制即时通信及端到端的协议进入企业网络，这些正是僵尸等恶意软件得以通信和传播的工具。任务2 恶意软件
的清除与防御【任务拓展】一、理论题1．什么是恶意软件？2．恶意软件和蠕虫病毒有哪些区别？二、实训1．下载360安全卫士并进行安装。
2．运行360安全卫士并对计算机的安全状况进行体检。3．使用360安全卫士清理系统的恶意软件。任务3 网络版杀毒软件的安装与使用
活动1 认识网络版杀毒软件【任务描述】目前，齐威公司网络中的大部分服务器和客户端都安装了单机版杀毒软件，但是品牌繁多，如36
0安全卫士杀毒软件、瑞星杀毒软件等。这些杀毒软件虽然可以阻止大部分常规网络病毒的入侵，但是为了确保服务器杀毒软件病毒特征库的时效性
，管理员小齐需要经常检查杀毒软件的升级情况，非常麻烦。由于杀毒软件类别和型号不同，很难实现统一管理，操作起来非常麻烦。大部分公司员
工都安装了杀毒软件，但能够按时升级病毒特征库和执行病毒扫描的却很少。由于杀毒软件的版本过于陈旧，未能阻止和查杀入侵系统的新型病毒，
最终导致系统感染崩溃和感染整个网络的情况时有发生，把网管小齐弄得焦头烂额。【任务分析】小齐决定先查看一下网上的资料，看看现在企业防
病毒系统的发展情况，以便给公司安装一套高效的网络版防病毒系统。任务3 网络版杀毒软件的安装与使用 活动1 认识网络版杀毒软件
【任务实战】1．了解网络版杀毒软件网络版杀毒软件不同于我们普通家庭用户使用的单机版杀毒软件，网络版杀毒软件是客户端/服务器模式的网
络软件，在网络中需要配置一台服务器，其他用户安装客户端软件。服务管理员可以从互联网下载最新的病毒库，并把更新后的病毒库推送到客户端
，保证了客户端杀毒软件的实时更新。管理员通过服务器端可以实时地对远程客户端的杀毒情况进行管理，而且可以对全网的病毒情况进行监控。2
．了解网络版杀毒软件的优点网络互联互通，一台机器染毒，马上会传遍网络。杀毒软件单机版和网络版的最大区别在于网络版是基于全网的病毒防
杀，强调管理的灵活性和安装部署的简捷性。 （1）安装简捷、使用方便。网络版可通过脚本安装、远程安装实现对整个局域网所有计算机的快速
、自动安装。 任务3 网络版杀毒软件的安装与使用 活动1 认识网络版杀毒软件（2）统一配置、专业定制。网络版可对全网所有杀毒
软件进行统一或个性化设置，保持整个网络安全策略的一致性，所有工作均在后台完成。 （3）安全信息清晰直接。网络版管理区域较广，还可提
供详细的图形化病毒报告。一旦在局域网中任何一台计算机上发现病毒，都能自动将病毒信息传递给网络管理员。（4）全网同步升级。网络版进行
统一升级，各客户端可永远保持最新版本，这对清除最新流行病毒非常重要。 （5）全网统一查杀病毒。网络版能对局域网中软盘、服务器、共享
文件、邮件系统等容易感染病毒的每一节点同步查杀，可快速、干净地查杀局域网中的新病毒。 （6）全面体现了高效率。从安装杀毒软件、日常
管理、升级病毒库、查杀病毒、专业定制等方面全面提高了工作效率，同时其多层架构的模式，保证了数据操作的高效性、可靠性和稳定性。任务3
网络版杀毒软件的安装与使用 活动1 认识网络版杀毒软件3．网络版杀毒软件的网络部署结构网络版杀毒软件和单机版最大的区别就是
前者有一个“管理中心”（有的杀毒软件称为“控制中心”），它可以对每台客户端进行各种管理，管理员可以完全不用出现在用户面前，通过管理
中心就可完成客户端的参数设置、杀毒、状态收集等操作。任务3 网络版杀毒软件的安装与使用 活动2 管理中心的部署【任务描述】小
齐通过资料的学习已经发现，在一定规模的企业中，为了保证企业防病毒的高效和可靠，必须在公司中部署网络版杀毒软件。公司购买了卡巴斯基网
络版杀毒软件，小齐准备跟随着产品手册和技术人员的帮助开始部署了。【任务分析】在部署网络版杀毒软件前一定要根据实际的拓扑结构，决定如
何部署。然后单独使用一台高配置并安装服务器版操作系统的计算机，安装卡巴斯基的管理工具（卡巴斯基的控制中心称为管理工具）。任务3
网络版杀毒软件的安装与使用 活动2 管理中心的部署【任务实战】步骤1 规划网络拓扑决定管理中心的部署位置。网络版卡巴斯基杀毒
软件的部署对于网络环境没有特殊的要求，但是安装控制管理中心，必须是服务器操作系统，如Windows Server 2000、Win
dows Sever 2003、Windows Server 2008。步骤2 安装管理工具。（1）在本地计算机以自定义方式安
装卡巴斯基管理工具，请运行setup.exe文件，并使用安装向导对设置进行配置。请遵照向导的提示进行操作。（2）定义安装产品组件的
文件夹。默认情况下，它是<驱动器>:\Program Files\Kaspersky Lab\Kaspersky Administ
ration Kit。如果该文件夹不存在，将会自动创建。用户可以使用“浏览”按钮来更改目标文件夹。任务3 网络版杀毒软件的安装与
使用 活动2 管理中心的部署（3）选择要安装的组件。在向导的下一个窗口，选择需要安装的卡巴斯基管理工具组件。管理服务器：如果选
择该项，还可以同时定义是否需要安装其他的附加组件。① 卡巴斯基实验室思科NAC状态确认服务器：这是一个标准的卡巴斯基实验室组件，用
于对思科NAC常规操作的凭证进行授权。与思科NAC的联动设置能够在管理服务器的属性或策略中进行配置。② 移动设备支持：该组件提供卡
巴斯基手机安全软件企业版的常见操作。任务3 网络版杀毒软件的安装与使用 活动2 管理中心的部署（4）选择网络规模。定义安装的
卡巴斯基管理服务器所处网络的规模。该信息将帮助对程序界面和设置进行最优化配置，也可以在以后更改这些设置。 （5）账号选择。在指定计
算机上定义用于启动管理服务器服务的账号。本地系统账号：管理服务器将使用本地系统账号及其凭证进行启动。若要卡巴斯基管理工具正确工作，
需要用于启动管理服务器的账号具有管理服务器数据库所在计算机上的管理员权限。任务3 网络版杀毒软件的安装与使用 活动2 管理中
心的部署（6）数据库选择。在下一步中，可以选择数据库资源：Microsoft SQL Server（SQL Express）或M
ySQL，它们将用于存储。（7）SQL数据库配置。如果在上一步选择了SQL Express或Microsoft SQL Serve
r，并且计划在企业网络中已有的一台SQL服务器上使用卡巴斯基管理工具，则在“SQL Server名”文本框中输入它的名字，然后在“
数据库名”文本框中，指定为存储管理服务器信息所创建的数据库名称。默认情况下，将会以KAV为名创建数据库。本实例由于之前并没有安装S
QL数据库，因此选择默认选项。任务3 网络版杀毒软件的安装与使用 活动2 管理中心的部署（8）选择验证模式。需要确定在管理服
务器连接到SQL服务器时使用的验证 模式。对于SQL Express或Microsoft SQL Server，可以 在以下两个选
项中选择。 ① Microsoft Windows验证模式：在这种情况下，将会使用管理服务器的启动账号来核实凭证。 ② SQL S
erver验证模式：在这种情况下，将会使用定义的账号来核实凭证。请填写用户名、密码和确认密码项。（9）选择一个共享文件夹。 需要为
一个将要使用的共享文件夹定义名称和位置，该文件夹将用于存储远程部署程序所需的文件（在创建安装包的过程中，这些文件将被复制到管理服务
器上）；存储从管理服务器的更新源下载下来的更新数据。任务3 网络版杀毒软件的安装与使用 活动2 管理中心的部署（10）配置到
管理服务器的连接。需要定义管理工具到 管理服务器的连接设置： 用于连接管理服务器的端口，默认端口号为14000。如 果该端口已经被
占用，可以更改为其他端口； 用于安全 连接管理服务器的SSL端口，默认端口号为13000。 （11）定义管理服器地址。使用以下方式
指定管理服务器地址。① DNS名称：当网络中包含DNS服务器时，该方式非常有效，客户端计算机能够通过它来获取管理服务器地址。 ②
NetBIOS名称：当客户端计算机能够通过NetBIOS协议获取管理服务器地址，或是网络中有WINS服务器时，也可以使用该方式。
③ IP地址：当管理服务器拥有固定IP时，可以使用该选项。任务3 网络版杀毒软件的安装与使用 活动2 管理中心的部署（12）
完成安装。在对卡巴斯基管理工具各组件的安装设置进行定义后，就可以正式开始安装了。在计算机上安装了管理控制台后，它的图标会出现在“开
始” → “程序” → “卡巴斯基管理工具”菜单中，可以使用该图标来启动控制台。管理服务器和网络代理将会被作为服务安装在计算机上，
其属性见表。表还包含卡巴斯基实验室思科NAC状态确认服务器的属性，该组件也可能会与管理服务器一起安装在计算机上。任务3 网络版杀
毒软件的安装与使用 活动2 管理中心的部署步骤3 运行卡巴斯基管理工具。选择“开始”→“卡巴斯基管理工具”→“卡巴斯基管理工
具”，启动卡巴斯基管理工具。任务3 网络版杀毒软件的安装与使用 活动3 客户端在工作组环境下的部署【任务描述】管理员小齐已经
完成了对卡巴斯基网络版杀毒软件管理工具的部署，现在面对公司的几百台计算机和公司的网站服务器，如何快速地部署客户端，发挥网络版杀毒软
件的优势呢？【任务分析】齐威公司现阶段采用非常简单的工作组管理模式，通过 查看卡巴斯基的官方手册，小齐了解到卡巴斯基杀毒软 件的客
户端安装方式主要有3种：远程推送、文件夹共 享、通过网站让用户下载。其任务实施简化拓扑图。任务3 网络版杀毒软件的安装与使用
活动3 客户端在工作组环境下的部署【任务实战】方法1：远程推送。提示：远程推送安装需要知道对方拥有管理员 权限的用户名和密码，而
且默认共享不能关闭， 我们以对文件服务器进行安装为例。步骤1 创建任务。选择左侧菜单中的“指定 计算机的任务”，然后选择右侧界面
中的 “部署卡巴斯基反病毒Windows服务器”。步骤2 使用配置任务向导，单击“下一步”按钮。步骤3 填写新建部署对象的名字
，也可以采用系统默认的名字，单击“下一步”按钮。任务3 网络版杀毒软件的安装与使用 活动3 客户端在工作组环境下的部署步骤4
选择部署方式，在“部署类型”中，选择“推送安装”，单击“下一步”按钮。步骤5 选择载入安装包的方式，在该窗口指定安装文件的传
输方式。在“强制上传安装包”区域，选择以下选项。 使用网络代理：将使用安装在每台客户端计算机上的网络代理来传输文件。 使用共享文
件夹中的Microsoft Windows资源：通过共享文件夹，使用Microsoft Windows工具将用于卸载程序的文件传输
到客户端计算机。 同时还需要确定，当客户端计算机上已经安装有程序时，是否需要重新安装。如果不希望在这类计算机上重新安装程序，选中
“如果程序已经安装则不再重新安装”复选框（默认情况下，该复选框为选中状态）。任务3 网络版杀毒软件的安装与使用 活动3 客户
端在工作组环境下的部署步骤6 选择网络代理。网络代理的作用是让管理工具可以对客户端进行管理，保证客户端和管理工具可以正常通信，所
以图中的两个选项都要选中。步骤7 配置重启设置。 如果程序安装完成后需要重启计算机，应该定义需要执行的操作。可以在以下操作中选择
： ① 不重启计算机。 ② 重启计算机：如果选择该项，计算机只在需要 的时候才会重启。 ③ 提示用户操作：如果选择该项，需要对重
启相 关的用户提示进行配置。单击“修改”链接进行 设置，可以在打开的窗口中编辑文字信息，并更 改重启提示每次出现的时间间隔。 如
果希望确保锁定的计算机会进行重启，则选择 “强制关闭会话中的程序”选项。默认情况下， 该选项为非选中状态。任务3 网络版杀毒软件
的安装与使用 活动3 客户端在工作组环境下的部署步骤8 定义计算机选择方式。需要确定选择计算机的方式，以便为选中的计算机创建
任务。 想使用Windows Networking选择计算机：在这种情况下，管理服务器将通过轮询企业Windows网络来选择需要部
署任务的计算机。 想手动指定计算机地址（IP、DNS 或 NETBIOS）：在这种情况下，需要手动选择需要部署任务的计算机。
本实例选择第一种，使用Windows Networking选择计算机。步骤9 选择目标客户端计算机。如果使用Windows网络轮
询来选择计算机，向导窗口中将显示创建的计算机列表，。既可以选择组中的计算机（“管理组”项），也可以选择包含在任何组中的计算机（“未
分配计算机”项），我们选择SERVER2和SERVER3。任务3 网络版杀毒软件的安装与使用 活动3 客户端在工作组环境下的
部署步骤10 账户选择。需要指定用于在计算机上运行部署任务的账号。步骤11 任务运行计划。可以设置任务在不同的时间段执行。有手
动、每N小时、每天、每周、每月、一次 、立即：任务将在向导结束后立即运行。任务3 网络版杀毒软件的安装与使用 活动3 客户端
在工作组环境下的部署步骤12 完成任务创建。在向导完成后，创建的任务将会被添加到控制台树的“组任务”或是“指定计算机的任务”节点
中，并显示在右侧区域。步骤13 运行任务。在右侧窗口单击“运行任务”链接，那么管理工具就开始进行远程推送安装。任务3 网络版杀
毒软件的安装与使用 活动3 客户端在工作组环境下的部署方法2：文件共享。卡巴斯基管理工具在安装的时候，已经把一个文件夹设置为共
享文件夹，目的就是让客户端用户可以自行下载安装。步骤1 用户登录共享文件夹，安装代理（本实例的管理工具地址为192.168.1.
1）。进入共享目录地址\\192.168.1.1\Klshare\Packages\ NetAgent8.0.2090，双击set
up.exe进行安装，需要填写管理工具的地址。任务3 网络版杀毒软件的安装与使用 活动3 客户端在工作组环境下的部署步骤2
安装卡巴斯基反病毒服务器版。步骤3 安装完毕后设置更新服务器。在任务栏上右击安装好的卡巴斯基中的“设置” →“更新”，单击“配
置”按钮，选择“管理服务器”。那么客户端在下载补丁的时候就不再去互联网下载补丁，而是从管理工具那里下载病毒库了。网络代理在卡巴斯基
网络版中的作用是保证客户端和管理工具的正常通信，因此在安装客户端之前，必须要安装网络代理。卸载的时候，卸载完客户端，网络代理需要单
独卸载。任务3 网络版杀毒软件的安装与使用 活动3 客户端在工作组环境下的部署方法3：通过网站让用户下载。虽然现在已经进入了
信息时代，但是人们对于计算机的使用仍然良莠不齐。例如，用户不会使用共享，而用户出于安全考虑又不愿意把用户名和密码告诉管理员，管理员
无法进行推送。由于普通的办公人员都要访问网站，可以制作一个下载客户端的网页，让用户访问自行下载安装。步骤1 制作独立安装包。（1
）选择左侧 “存储”菜单中的“安装程 序包”，然后选择右侧的“卡巴斯基反病毒 Windows服务器6.0加强版”。任务3 网络版
杀毒软件的安装与使用 活动3 客户端在工作组环境下的部署（2）选择左侧的“创建独立安装包”，弹出“独立安装包创建向导”对话框。
（3）添加授权文件，把授权文件也制作到安装包里面，那么用户在安装的时候就不用自己注册激活杀毒软件了，单击右侧的“添加”按钮，按照提
示完成添加。任务3 网络版杀毒软件的安装与使用 活动3 客户端在工作组环境下的部署（4）为共同安装选择网络代理安装包，选中“
网络代理和该程序一起安装”复选框，单击“下一步”按钮，进入安装过程状态。任务3 网络版杀毒软件的安装与使用 活动3 客户端在
工作组环境下的部署（5）完成独立安装包的制作，给出独立安装包所存放的位置。（6）制作用户下载网站。可以将独立安装包setup.ex
e复制到网站目录中，并制作杀毒软件下载网页，建立链接指向setup.exe，网站的制作这里就不详述了，网站的访问效果如图。任务3
网络版杀毒软件的安装与使用 活动4 客户端在域环境下的部署【任务描述】小齐在公司里不断磨练，水平也越来越高，公司的规模也越来
越大，他发现在工作组的环境中对客户端的管理非常困难，为了方便管理，小齐决定把工作组变为域。那么在域下卡巴斯基网络版的客户端如何部署
呢？这个难题又摆在了小齐的面前。【任务分析】升级为DC（Domain Controller，域控制器）建立好域后，还要在域控制器上
建立域用户的账号，用登录脚本即可实现客户端的部署。登录脚本安装，可以为登录到域中的用户部署程序。部署任务运行时，程序会修改起始脚本
，从而指定的用户能够运行位于管理服务器共享文件夹中的安装程序。若要成功运行任务，管理服务器或是运行脚本的账号必须具有能够修改域控数
据库中的起始脚本的权限。该类权限属于域管理员，因此部署任务或是整个管理服务器必须使用域管理员的账号进行启动。当域用户注册到域时，其
注册的计算机将会尝试安装程序。任务3 网络版杀毒软件的安装与使用 活动4 客户端在域环境下的部署【环境说明】普通客户端和文件
服务器已经加入到了域jia.com中，并且在域控制上建立了两个账号test1和test2。【任务实战】步骤1 连接到管理服务器。
步骤2 选择控制台树中的“指定计算机的任务”选项后，选择“创建一个新任务” 。步骤3 定义任务名称为“登录脚本安装”。任务3
网络版杀毒软件的安装与使用 活动4 客户端在域环境下的部署步骤4 选择任务类型为“程序部署”。步骤5 选择安装包为
。步骤6 选择部署类型为
。步骤7 选择需要更改启动脚本的用户账户。 选中test1和test2。步骤8 选择“重新启动”选项。任务
3 网络版杀毒软件的安装与使用 活动4 客户端在域环境下的部署步骤9 选择运行任务的账号。添加域控制器的administr
ator账号及密码。步骤10 选择计划执行时间为“立即”。步骤11 使用test1账号登录Windows XP系统，登录后不久
系统会弹出的窗口。任务3 网络版杀毒软件的安装与使用 活动5 客户端管理【任务描述】小齐已经完成了客户端的安装，那么如何管理
呢？【任务分析】部署网络防病毒系统的主要目的是便于实现对客户端的统一管理，如软件更新、指定扫描计划、执行病毒扫描与查杀等。与单机版
最大的区别就是，网络防病毒系统所有的管理操作都可以由管理员在管理工具上完成，而客户端无需做任何操作，不影响客户端的工作。任务3
网络版杀毒软件的安装与使用 活动5 客户端管理【任务实战】步骤1 更新病毒库。（1）制定管理工具的更新任务。① 在控制树上选
择卡巴斯基管理工具任务 ， 打开快捷菜单并选择新任务。② 创建一个新任务。指定下载更新任务作为任务类型。③ 在打开的窗口中的配置，
单击“下一步”按钮。更新源：列出可以进行更新的更新源。 连接设置：设置代理服务器或其他网络连接设置。 其他设置：更新副本设置，
自动更新设置和设置应用程序模块更新设置。任务3 网络版杀毒软件的安装与使用 活动5 客户端管理④ 创建任务启动计划。单击“下
一步”按钮。⑤ 单击“完成”按钮来完成任务创建，由于选择了“运行错过的任务”，所以任务会马上执行。（2）制定客户端的更新任务。管理
中心已经完成了更新任务的制定，接下来就要把从卡巴斯基服务器下载的更新分发到客户端，同样也需要给客户端制定更新任务。① 在控制树上选
择指定计算机的任务，打开快捷菜单并选择新任务。② 创建一个管理服务器任务。指定“卡巴斯基反病毒Windows服务器6.0加强版”→
“更新”作为任务类型。任务3 网络版杀毒软件的安装与使用 活动5 客户端管理③ 在控制树上选择指定计算机的任务，打开快捷菜单
并选择新任务为“服务器版本更新”。④ 制定客户端的更新源服务器设置，在这里选择“管理服务器”，也就是把更新源指向了管理工具所在的服
务器，这样就可以发挥网络版杀毒软件的优势，客户端不用从互联网下载更新，而是从内网的管理服务器就可以下载更新，这样可以更加节约出口带宽，保证了公司网络的通信质量。⑤ 选择执行新任务的计算机，选中SERVER2和SERVER3，这两台机器安装的是服务器操作系统，所以可以同时选中进行更新。⑥ 创建任务启动计划。单击“下一步”按钮。 ⑦ 任务创建完成，那么任务就会在规定时间自动运行了。任务3 网络版杀毒软件的安装与使用 活动5 客户端管理步骤2 客户端病毒扫描与查杀。虽然客户端已经安装了杀毒软件并且每天都会自动进行病毒库的更新，但是这样并不是就一定万无一失了，还需要定期进行病毒扫描，才能让病毒无藏身之地。（1）在控制树上选择指定计算机的任务，打开快捷菜单并选择新任务。（2）创建一个新任务。指定“病毒扫描”作为任务类型。（3）指定病毒的扫描设置，可以进行多项的选择，如我的电脑、我的文档、邮箱、系统内存、引导扇区等，可以根据实际情况自行添加。任务3 网络版杀毒软件的安装与使用 活动5 客户端管理（4）进行扫描设置，主要是提醒客户端用户杀毒软件正在扫描，有3个选项。（5）选择执行新任务的计算机。（6）创建任务启动计划。单击“下一步”按钮。 （7）任务创建完成，那么任务就会在规定时间自动运行了。任务3 网络版杀毒软件的安装与使用 活动5 客户端管理【任务拓展】一、理论题1．什么是网络版杀毒软件？2．网络版杀毒软件有哪些特点？3．企业防病毒系统集中管理带来的优势有哪些？4．卡巴斯基网络版防病毒系统由哪几部分组成？5．简述卡巴斯基网络防病毒系统的工作机制。任务3 网络版杀毒软件的安装与使用 活动5 客户端管理二、实训1．熟练掌握卡巴斯基反病毒软件单机版的功能特点、安装及使用方法。2．上网下载其他免费的单机版杀毒软件如瑞星、360杀毒等，对比一下这些产品的功能特点及使用效果。3．在工作组环境中部署卡巴斯基管理服务器。① 完成对Windows XP客户端的推送。 任务提示：Windows XP的网络登录有两模式可用：“典型”和“仅来宾”，系统默认是“仅来宾”，就是任何账户远程登录都会自动映射成Guest用户，因此就没有权限在计算机上进行安装等操作。 解决方法：在运行中输入“gpedit.msc”启动组策略编辑器依次打开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“安全选项”，双击“网络访问；本地账号的共享和安全模式”策略，将默认设置“仅来宾-本地用户以来宾身份验证”更改为“经典：本地用户以自己的身份验证”。任务3 网络版杀毒软件的安装与使用 活动5 客户端管理② 使用文件共享的方法对Windows XP系统进行部署。③ 使用网站发布的方法对Windows XP系统进行部署。④ 使用管理工具远程对Windows XP工作站客户端进行病毒库的更新。⑤ 使用管理工具远程对Windows XP工作站客户端进行病毒的扫描。4．在域环境中部署卡巴斯基管理服务器。① 完成对Windows XP客户端的推送。② 完成对Windows XP客户端的远程脚本推送。