《NVWE部署案例》PPT课件.ppt

田剑辉江苏驻点工程师 NVWE部署案例分享 内容 NVWE在内网环境中如何对客户端进行强制策略NVWE与上网行为设备的兼容性TroubleShooting NVWE在内网环境中如何对客户端进行强制策略 政府网 不连外网客户需要利用NVWE达到客户端强制安装OSCE客户端要防ARP欺骗 NVWE在内网环境中如何对客户端进行强制策略 要点 客户端每天需要访问OA服务器 NVWE与行为管理设备的兼容性 要点 客户端PEAGENT正常安装后 符合制定的策略 但是不能上网 NVWE与行为设备的兼容性 要点 上网行为设备会改变客户端的MAC地址 把我们设备放靠近三层核心设备 TroubleShooting 需要知道的 PC 1 PEAgent的安装日志 windir PEAgentDeploylog txt2 PEAgentReaccess日志 windir PEAgent PEAgentlog txt3 HLKM Software TrendMicro PolicyEnforcerNVWE 1 Web Logs EventLog NetworkVirusLog EndpointHistory2 超级终端 ViewSystemLogs NVWE光纤卡 NVWE的光口和电口可以共同工作如何确认光纤卡是否被识别出来PORT6 7 8 9状态为DIS 而不是N ANVW支持5种光纤卡 分别如下 IntelPRO 1000MFDualPortServerAdapterIntelPRO 1000MFSinglePortServerAdapter LX SilicomDualPortFiber SX GigabitEthernetPIC XBypassServerAdapterSilicomDualPortFiber LX GigabitEthernetPCI XBypassServerAdapterSilicomDualPortCopperGigabitEthernetPCI XBypassServerAdapter其中 Silicom的光纤卡为支持Lanbypass FailOpen 模式的光纤卡Intel的光纤卡的控制芯片型号为 82546EB 82545EMand82545GM PortRedundency模式设置与FailOpen PortRedundency与FailOpen在PortRedundency模式下 FailOpen的端口是成对对应的 Ports1and2Ports6and7Ports8and9link state的作用FailOver模式注意事项FailOver模式必须保证2台设备的程序文件是一样的 型号一样 交换机必须启用STP SpanningTreeProtocol 不要自动更新设备的程序文件 客户端没有开始安装PEAgent ActiveX 策略没有设置好防火墙导致问题 DISABLE设置 强制策略只对第一个数据包进行检测 关闭 重新打开在Global的例外列表或者NetworkZone的例外列表中网络路由有问题 NVWE静态路由配置问题检查NVWE的EndpointHistory 确认客户端没有在符合策略的列表中 PEAgent为灰色图标 灰色表示PEAgent无法与NVWE的5088端口进行通信 可能原因 1 NVWE的端口无法访问到 管理VLAN的问题 2 PEAgent没有NVWE的IP和端口的信息 使用msi安装的PEAgent会发生这种情况 使用以下方式来解决 PEAgent exe stopPEAgent exe initpersistNVW IP 5088PEAgent exe stopPEAgent exe start NVWE无法更新 DNS解析问题 由于电信查询结果异常导致 至内核察看更新日志 NVWE在管理网段 该网段无法访问外网 与外网隔离 无法访问Internet解决方法 1 通过修改过配置的AURS进行更新2 手动搭建ActiveUpdate网站进行更新 2台NVWE时的过程 当一台客户端经过2台NVWE时会发生什么情况 都有可能被2台NVWE管理到PEAgent会在不同时期内指向不同的NVWE此种情况下建议每台设备管理自己的网段 不要交叉管理 NVWE的时间设置 1 NTP服务器2 通过TMCM服务器的NTP服务来更新时间 3 通过NVWE的BIOS进行时间设置a 在NVWE重新启动的时候 在自检过程中按DEL 和PC类似 进入BIOS界面 b 输入密码为qZTSpdumc 在BIOS界面中设置时间 d 超级终端参数设置 虚拟终端设置 启动时 虚拟终端选择 进入 后 虚拟终端选择 杀毒软件无法检测到 查看NVWE日志和PEAgent日志确认检测结果 windir PEAgent PEAgentlog txt超级终端 ViewSystemLogs提交客户端安装程序一个月会有一次统一的更新 杀毒软件侦测问题 客户启用了强制策略 发现在部分安装了OSCE8 0的客户端 PEAgent无法检测到OSCE 查看客户端的PEAgent日志文件 windir PEAgent PEAgentlog txt 文件 发现如下内容信息 2008 05 2616 53 50TmPEATaskAV detectedAVproduct TrendMicroOfficeScanClient 2008 05 2616 53 51TmPEATaskAV detectedAVproduct Kasperskyunknownproduct 杀毒软件侦测问题 解决方法 1 进入系统安全模式 2 执行netstopwinmgmt3 删除 windir system32 wbem Repository目录下所有内容 4 重新启动计算机 5 再次确认检测是否存在问题 如果需要做一个脚本 则可以使用以下内容 echooffnetstopwinmgmtdel S Q F windir system32 wbem Repository 部署NetworkViruswallEnforce2 1版本后 如何确认防arp功能是否有在工作 1 确认在控制台上有启用预防ARP欺骗的功能 2 确认客户端PEAgent安装成功 并且有启用 3 检查客户端arp表 在命令行中输入arp a在输出的arp表中 应看到网关的记录类似为静态 Static 4 检查c windows PEAgent arpcorp txt文件 如果日志中有如下内容 则表示arp欺骗监控工作正常 ARPCop Readytoinstall C WINDOWS PEAgent arpcopzip exe dir silent overwriteC WINDOWS PEAgent arpcopzip exeARPCop TheC WINDOWS system32 wpcap dllisalreadyexist ItmaycauseARPCopmalfunctionARPCop TheC WINDOWS system32 Packet dllisalreadyexist ItmaycauseARPCopmalfunctionARPCop TheC WINDOWS system32 WanPacket dllisalreadyexist ItmaycauseARPCopmalfunctionARPCop TheC WINDOWS system32 drivers npf sysisalreadyexist ItmaycauseARPCopmalfunctionARPCop Initializing MAC 00 1d 60 82 7c c8 ARPCop Initializing IP 10 2 20 39 ARPCop starttimerwithtimeout 30000 ARPCop Getdevicename rpcap Device NPF GenericDialupAdapterARPCop Getdevicename rpcap Device NPF C65554B6 54F8 45E2 BB1A 0011B5B13507 启用arp欺骗监控后 PEAgent没有发现测试软件netcut exe 问题描述 用户使用netcut exe攻击进行arp欺骗监控测试 但发现该软件没有被PEAgent终止 查看c windows peagent arpcorp txt日志 发现如下错误信息 ARPCop Readytoinstall C WINDOWS PEAgent arpcopzip exe dir silent overwriteC WINDOWS PEAgent arpcopzip exeARPCop TheversoinofWinPCapisdifferent Stopourtask ARPCop InitInstall failed 解决方法 请确认该客户端没有安装winpcap软件或者带有npf sys驱动的软件 如果有安装 请卸载该软件 然后再次重新启动计算机 部署NetworkViruswallEnforcer2 1版本的PEAgent后 检查 windir PEAgent arpcorp txt文件 发现防arp模块并没有加载 该如何解决 问题描述 2020 3 1 22 Classification ThankYou