- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter CSAP-ESM-AV终端安全管理系统(杀毒)
故障处理手册
Copyright © 2022新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
2.3 Windows漏洞修复返回错误码:0x80072efe
3.10 控制中心宿主机docker的所使用的ip网段与用户网段冲突,导致客户端无法连接控制中心
3.11 安管一体机平台终端安全首次授权导入P05版本授权文件,会出现导入失败
本文档介绍终端杀毒ESS6902P05产品软、硬件常见故障的诊断及处理措施。
客户端显示未连接安全中心或未在控制中心上线。
(1) 在客户端主界面,选择“设置>常规”,在客户端设置界面,检查安全中心IP地址是否正确。
(2) 在客户端主界面,选择“设置>常规”,在客户端设置界面,点击<连通性测试>按钮查看客户端到安全中心的网络连通是否正常,若显示连接失败,请检查客户端到控制中心的网络是否正常、防火墙是否已经放行控制中心所需服务端口。
(3) Windows客户端,查看系统任务管理器是否存在“KvEdrSvc”进程,查看系统服务“KvEdrDaemon”是否在运行。
(4) Linux客户端,执行命令:ps -aux | grep KvEdr,查看是否存在“KvEdrSvc”进程。
(5) 重启操作系统,查看是否能够连接控制中心。
(6) 重新安装客户端软件,查看能否连接控制中心。
(7) 检查是否NAT网络环境,在控制中心宿主机上抓包,查看是否能收到客户端发送UDP协议目的端口9683和TCP协议目的端口9685的数据包。
客户端漏洞修复失败。
(1) 在客户端主界面,选择“设置>漏洞修复”,在客户端设置界面,检查网络类型是否正确。
(2) 网络环境为内网,在客户端设置界面,检查补丁服务器地址是否正确,点击<连通性测试>,查看客户端到补丁服务器的网络连通是否正常,补丁服务使用TCP协议8530端口;若失败,请检查客户端到控制中心的网络是否正常、防火墙是否已经放行控制中心所需服务端口。
(3) 网络环境为互联网环境,请检查客户端是否可以使用TCP协议访问互联网80端口和443端口。
(4) 打开客户机操作系统服务,找到显示名称为Windows Update(服务名wuauserv)的服务,将服务启动类型改为“自动(延迟)”或“自动”,重启该服务,确保服务状态“已启动”。
(5) 登录控制中心,选择“策略中心>漏洞修复”,在漏洞修复配置界面,检查漏洞修复配置是否正确,互联网用户配置为“互联网环境”,内网用户配置为“内网WSUS环境”。
(6) 在控制中心,检查配置的漏洞修复安全策略是否已经下发给客户端执行。
(7) 已经加入域的计算机,域服务器若配置了漏洞修复策略、不再由控制中心控制漏洞修复策略。
更新客户端操作系统补丁升级代理程序,Web打开控制中心地址,在资源下载页面:
,32位系统选择下载x86补丁、64位系统选择x64补丁下载并安装,然后使用客户端进行漏送修复。
(8) 检查内网WSUS补丁服务器CPU、内存使用状态,若运行过载的情况下应考虑适当提升性能。
(9) 查看系统日志文件,位于系统盘windows目录下的文件WindowsUpdate,如“C:\Windows\WindowsUpdate”。
(10) 重启内网WSUS补丁服务器。
使用客户端扫描或系统自带的扫描功能扫描系统漏洞,返回0x80072efe。
(1) 检查漏洞扫描策略是否配置正确,客户端到补丁服务器TCP协议8530端口是否连通。
在控制中心资源下载页面:
,32位操作系统下载x86补丁、64位系统下载x64补丁,完成补丁安装后再次尝试漏洞修复。
点击漏洞扫描,客户端显示漏洞扫描中的时间超过30分钟以上,没有扫描出漏洞。
(1) 登录微软补丁官网,先下载Winodws Server 2012 R2前置补丁包安装,之后使用终端安全客户端扫描和修复漏洞,补丁包下载连接:https://www.catalog.update.microsoft.com/Search.aspx?q=kb4530702
(2) 登录微软补丁官网,先下载Winodws Server 2012 前置补丁包安装,之后使用终端安全客户端扫描和修复漏洞,补丁包下载连接:https://www.catalog.update.microsoft.com/Search.aspx?q=kb4530691
若补丁无法通过浏览器下载,可复制补丁连接使用迅雷下载。
客户端出现无法升级病毒库的情况。
检查【策略中心】-【基本策略】,升级选项是否关闭了自动升级。
终端上客户中毒导致数据丢失。
及时进行病毒库升级进行全盘查杀及关键数据备份
授权文件无法导入控制中心。
(1) 检查是否使用正确的机器码获取授权文件;
(2) 检查控制中心服务器的操作系统时间设置是否准确。
使用浏览器在地址栏输入控制中心IP地址,没有显示客户端下载连接或选择客户端点击下载时无响应。
(1) 使用的是IE浏览器,打开IE浏览器工具—Internet 选项—安全—选择可信站点,点击站点把控制中心地址添加进去,刷新控制中心下载页面尝试下载。
(2) 安装chrome浏览器或Firefox浏览器,重新打开控制中心下载地址尝试下载。
(3) 检查用户机能否通过TCP协议连通控制中心的80端口,如telnet ServerIp 80。
(4) 对访问控制中心经过了目的NAT的网络,确认控制中心安装时输入的IP地址是否为NAT设备外网口IP地址。
浏览器打开控制中心登录页面,无法正常登录。
安装使用chrome浏览器或Firefox浏览器,重新打开登录界面登录。
在导入升级包后,控制中心未检测到客户端升级。
(1) 检查客户端升级配置,是否对导入控制中心的客户端升级包指定升级范围。
(2) 检测全局参数设置,是否存在单个终端升级占用带宽的设置过低、同时升级终端数的设置太小,心跳时间设置过长。
(3) 在控制中心检查给终端配置的安全策略,是否关闭了自动升级。
(4) 检测客户端到控制中心通过HTTP协议是否连同控制中心的9681端口,命令:telnet ServerIp 9681;
(5) 检测是否存在网络拥塞的情况。
对终端上正常的业务应用软件或其它工具软件等误杀或误报现象
【策略中心】-【信任名单】设置,将误报的软件添加到信任名单,建议优先使用“签名证书白名单”模式添加文件白名单。
提示授权信息将使用完。
(1) 选择“系统管理>产品授权”查看产品授权信息,已安装总数是否已经超过产品授权总数。
(2) 选择“系统管理>产品授权”查看产品授权信息,每一类产品已安装终端数是否已经超过对应的超授权数。
(3) 选择“系统管理>产品授权”查看产品授权信息,查看授权到期时间。
(4) 查看控制中心操作系统时间是否正确。
内网终端非法连接互联网,没有在控制中心告警。
(1) 在策略中心配置了非法外联告警策略,并下发给客户端执行。
(2) 检测取证服务器的443端口是否可以连通。
在控制中心,开启病毒库自动更新,2天内没有从互联网自动同步病毒库。
配置控制中心Docker镜像DNS地址,使得控制中心成功访问互联网域名。
步骤如下:
(1) 查看docker的ID
命令:
docket ps -a
Docker的ID为:477cc120eb47
(2) 进入docker
命令:
docker exec -it 477cc120eb47 /bin/bash
(3) 添加域名服务器
命令:
vim /etc/resolv.conf
添加内容如所示。
(4) 查看添加结果
命令:
cat /etc/resolv.conf
(5) 退出docker
命令:
exit
配置完毕后,凌晨3点钟控制中心会自动从互联网更新病毒库。
控制中心部分页面刷新报错等不可预知的情况。
使用命令“df -h”查看系统根目录“/”使用是否已经超过90%以上,然后执行数据清理或磁盘扩容步骤。
(1) 检查【系统管理】-【数据清理】是否自动打开,降低存储的安全事件和操作日志数量;
(2) 及删除服务器上无关的文件。
尽量使用大空间磁盘安装,推荐硬盘>=2T,在保持控制中心IP地址不变的情况下,控制中心重新部署后客户端会自动连接。
增加一块硬盘,将新硬盘分区加载到操作系统根目录“/”下,从而扩展根目录大小。
应用环境:物理机或虚拟化平台,CentOS系统
请使用root权限登录操作系统,操作步骤如下。
(1) 查看磁盘分区
查看系统根目录空间大小
命令:
df -h
图3-1 查看系统根目录空间
显示根目录空间大小为180G。
查看磁盘分区信息。
命令:
fdisk -l
图3-2 查看磁盘分区信息
图3-3 系统磁盘信息显示
磁盘信息显示,系统只有1块磁盘,在系统中磁盘名称为“/dev/sda”,磁盘大小为200G,系统根目录“/”使用的分区名称“/dev/mapper/centos-root”。
(2) 增加新硬盘
将服务器正常关机
命令:
poweroff
图3-4 关机命令
将服务器电源线断开,服务器上安装新硬盘,接通服务器电源线开启服务器。
(3) 格式化新磁盘
查看新磁盘分区。
命令:
fdisk -l
图3-5 磁盘分区信息
图3-6 系统磁盘信息显示
磁盘信息显示,系统中增加了1块1T的硬盘,在系统中磁盘名称为“/dev/sdb”,磁盘未分区。
对新磁盘“/dev/sdb”创建分区。
命令:
fdisk /dev/sdb
图3-7 创建新磁盘分区
输入“m”查看帮助命令
图3-8 输入“m”查看参数说明
输入“n”在磁盘上创建分区
图3-9 输入“n”创建分区
输入“p”设置分区类型为主分区
图3-10 输入“p”分区设置为主分区
分区序号选择输入“1”
图3-11 输入“1”作为序号
选择默认起始位置,按回车键
图3-12 回车键使用默认起始地址
选择默认结束位置,按回车键
图3-13 回车键使用默认结束地址
输入“t”按回车键
图3-14 输入“t”
输入小写“l”按回车键
图3-15 输入“l列出文件系统类型
输入“8e”按回车键
图3-16 输入“8e”选择文件系统类型
输入“w”保存设置
图3-17 输入“w”保存
查看新磁盘分区
命令:
fdisk -l
图3-18 查看磁盘分区信息
格式化磁盘。
命令:
mkfs.ext4 /dev/sdb1
图3-19 格式化磁盘
格式化完毕显示。
图3-20 成功格式化
(4) 创建磁盘物理卷
对新磁盘分区创建物理卷
命令:
pvcreate /dev/sdb1
图3-21 创建磁盘物理卷
显示磁盘物理卷
命令:
pvdisplay
图3-22 显示物理卷
备注:vgreduce --removemissing centos可以删除“VG Name”为空的所有冗余卷;vgreduce centos /dev/sdb1可以删除sdb1卷。
查看磁盘卷信息
命令:
vgdisplay
图3-23 查看卷信息
(5) 扩展根分区
新分区加入根目录。
根目录“/”使用的分区名为“centos”,新分区为“/dev/sdb1”,请根据系统实际进行替换。
命令:
vgextend centos /dev/sdb1
图3-24 新分区添加根目录
重新查看磁盘卷信息。
命令:
vgdisplsy
图3-25 查看磁盘卷
进行卷扩容
命令:
lvextend -l +100%free /dev/mapper/centos-root
图3-26 将磁盘剩余空间全部添加
调整卷分区大小
命令:
xfs_growfs /dev/mapper/centos-root
图3-27 调整卷大小
查看扩容结果
图3-28 查看根目录“/”扩容是否成功
根目录空间已由180G扩容到1.2T。
通过将对宿主机原磁盘进行空间扩展,增大系统根目录“/”空间。
应用环境:虚拟化平台,CentOS 7.5
请使用root权限登录操作系统,操作步骤如下。
(1) 查看磁盘分区
查看系统根目录空间大小
df -h
图3-29 查看磁盘使用
显示根目录空间为80G大小。
查看磁盘分区信息
命令:
fdisk -l
图3-30 查看磁盘分区
图3-31 系统磁盘信息显示
磁盘信息显示,系统只有1块磁盘,在系统中磁盘名称为“/dev/sda”,磁盘大小为500G,系统根目录“/”使用的分区名称“/dev/mapper/centos-root”,home分区大小为400G,占用了磁盘的大部空间
(2) 扩展磁盘容量
将控制中心关机,扩展磁盘。
图3-32 扩展磁盘容量
图3-33 查看扩展后的磁盘信息
磁盘容量已经扩容到1T。
(3) 创建分区
在磁盘上增加新的分区。
命令:
fdisk /dev/sda
图3-34 进行磁盘分区
图3-35 输入“m”查看帮助信息
图3-36 输入“n”增加新分区
图3-37 依次输入“t”确认键、选择默认确认键、输入“l”确认键、输入“8e”确认键,
图3-38 依次输入“t”回车、分区号默认回车、“l”回车、“8e”回车,如下图所示。
图3-39 输入“w”保存
图3-40 查看磁盘分区信息
磁盘分区信息显示,在磁盘上新增了1个分区“/dev/sda3”,格式为“Linux_LVM”。
重启服务器,格式化新分区。
命令:
mkfs.ext4 /dev/sda3
图3-41 格式化磁盘
扩容卷
命令:
lvextend -l +100%free /dev/mapper/centos-root
图3-42 扩容逻辑卷
调整分卷大小,命令:
xfs_growfs /dev/mapper/centos-root
图3-43 调整卷大小
若系统中“/home”目录有多余的空间,可将该目录下部分磁盘空间释放给系统根目录“/”使用,之后重新规划“/home”目录空间大小。
应用环境:物理机或虚拟化平台,CentOS系统
以下命令使用root权限执行。
(1) 查看逻辑卷
命令:
lvscan
可以看到home目录有450G的空间。
(2) 备份home目录
创建备份目录,
命令:
mkdir /backup
将home目录下所有文件备份至backup目录,
命令:
mv /home/* /backup/
(3) 卸载home目录
命令:
umount /home
提示目标忙,重启服务器再次执行,命令执行成功。
(4) 删除home对用的逻辑卷
再次查看逻辑卷信息。
命令:
lvscan
删除逻辑卷,请以实际的逻辑名称替换“/dev/centos/home”
命令:
lvremove /dev/centos/home
(5) 扩展root逻辑卷
将 400G的空间扩展到root目录,请以实际的逻辑名称替换“/dev/centos/root”
命令:
lvextend -L +400G /dev/centos/root
扩展文件系统,请以实际的逻辑名称替换“/dev/centos/root”
命令:
xfs_growfs /dev/centos/root
(6) 重建home目录
将多余的空间,比如50G给“/home”目录.
命令:
lvcreate -L 50G -n home centos
创建文件系统,
命令:
mkfs.xfs /dev/centos/home
挂载home目录
命令:
mount /dev/centos/home /home
(7) 查看结果
命令:
df -h
当前只支持通过修改docker的虚拟网卡掩码大小的方式来避免冲突,具体步骤如下:
(1) 登录到宿主机;
(2) 创建文件vi /etc/docker/daemon.json;
(3) 编辑文件,内容如下:
{
"bip": "172.17.0.1/30"
}
其中bip表示虚拟网卡IP/掩码,虚拟网卡ip固定为172.17.0.1不可修改。
(4) 保存文件,重启docker,重启命令为systemctl restart docker。
(5) 用户网段需预留出172.17.0.1-172.17.0.3三个ip地址避免冲突。
安管一体机平台组件终端安全在安装6902P05版本后,导入授权文件失败。
(1) 登录终端安全管理平台后台
(2) 执行命令docker inspect kvedr-svc-main,获取ip地址,如下图
执行命令curl –H ‘Content-Type:application/json’ –XPORT http://172.29.233.8/(备注:上一图获取的地址):8080/api/import_license -d’
{
“user”:”admin”,
“license_data”:”授权文件内容”,
“remark”:””
}
‘
终端安全使用新华三扫描系统扫描出了iPlanet证书管理系统和目录服务器目录遍历漏洞(CVE-2000-1075)
(1) 登录终端安全管理平台后台
(2) 进入/kvedr_storage/data/nginx/config/目录下,使用vi命令编辑nginx.conf配置文件,找到server{
listen 5080;
listen 7443 ssl;
…
…
#74行处 添加下面代码
if ( $uri ~* \.\. ) {
return 400;
}
if ( $uri ~* %2e%2e ) {
return 400;
}
if ( $uri ~* %0d%0a ) {
return 400;
}
}
(3) 保存编辑的文件,执行命令docker restart kvedr-nginx即可。
支持
