Symantec AntiVirus升級之路

每年的4、5月，是許多軟體廠商推出新版本的時間，有人會立即將產品升級，有人會等幾個月後才有所行動，也有人無動於衷。希望藉由iThome的親身經驗，能協助你做出最佳的判斷。

從iThome電腦報周刊創刊之後，我們就建置防毒伺服器，由於它一直都很正常的運作，沒有出過什麼事（當機、中毒、系統毀損），所以我們也就抱持著「以不變應萬應」的想法，讓它陪伴我們至今。直到今年初，Symantec的LiveUpdate漏洞被發現，讓iThome重新檢視防毒架構。該不該升級？

許多IT主管都是以不變應萬應，隨著事件發生而作出應變，但這樣的方式似乎弊多如利，倒不如先做好事前的預防工作，才能減少事後的修補工作。雖然廠商推出新版本是基於商業考量，但其中仍有不錯的部分，值得我們選購與升級。

以下是iThome此次升級Symantec AntiVirus 8.1的幾項考量因素：

成本：iThome原先是購買Norton AntiVirus 7.6企業版（7.x之前稱為Norton AntiVirus，8.0以後更名為Symantec AntiVirus），也是企業授權用戶，產品升級是權利之一，也不需要再花費額外的成本，若企業單買產品或未買升級授權，即可能要再支付一定的費用。另外，產品的軟硬體需求或許會提高，在升級前必須先更新軟硬體，也要額外付出成本。

新增功能：這應該是許多企業升級時的主要考量，以Symantec AntiVirus 8.x版為例，它跟原先7.x的架構相同，但支援更多的作業平臺、病毒碼採用累進式更新、掃描時間縮短、主動稽核網路、可針對不同部門設定不同的防護政策……。

在病毒碼方面，之前每天必須下載完整的病毒碼，但8.x版則是使用累進式更新，每天只要下載16kB的病毒碼即可，無形中減少許多網路負責擔。針對不同部門設定不同的防護政策也是不錯的功能，以iThome為例，雖然所有人都是由MIS負責設定，但技術編輯在測試時需要暫時關閉防毒系統，此功能可針對不同的群組（部門、使用者）制定不同的防護政策。

修補漏洞：許多新版本的應用程式是用來修補漏洞，像LiveUpdate 2.0、WinZip 9.0等，會消除原先的弱點或漏洞，雖然Symantec AntiVirus並沒有LiveUpdate的漏洞，但我們是從它開始升級計畫。有需要的使用者可到Symantec網站下載LiveUpdate 2.0中文版。

風險：有沒有風險存在？廠商給的答案是沒有，但我們在測試時就遇到一個狀況，因為Symantec AntiVirus 8.0的一個bug，執行排程掃描時，它會讓用戶端的處理器使用率高達99%，如果IT人員一時不察，那後果可想而知。另外，企業所使用的應用程式也可能與防毒系統相衝突，可能原因是使用相同的通訊埠或記憶體區塊，特別是本土廠商和企業自行開發的應用程式。所以，除了拿最新的版本進行測試，在升級前一定要先做好備份工作。

專家指導：專家一出手，便知有沒有。這次我們請到Symantec技術顧問林育民及銳傑科技系統工程部經理廖竣生，指導我們如何規畫系統架構、進行版本升級，並解答疑問。專家除了有較多的資源，經驗也比較豐富，能解決你所遭遇到的問題，例如上述的Symantec Antivirus 8.0問題，林育民只花了1分鐘就找到答案。輕鬆升級無負擔

經過評估後，我們也開始著手準備系統升級。典型的Symantec AntiVirus有6個安裝步驟，從擬定安裝計畫、安裝Symantec System Center與主控臺元件、安裝Symantec AntiVirus伺服器、安裝Symantec AntiVirus用戶端、安裝Symantec隔離所及安裝Symantec AntiVirus Quarantine Console，最後兩項非必要。這些都可在Symantec網站找到。

銳傑科技提供幾個Symantec AntiVirus升級安裝的注意事項：

1.先了解企業內的作業系統及網路架構，並確認用戶端的系統需求符合要求。在升級前，管理者必須先檢查軟硬體是否合乎系統需求，特別是一些較舊的作業系統，不但作業系統廠商早已不支援，新的應用程式也可能無法支援，以Symantec AntiVirus 8.1為例，用戶端已經不支援Windows 95平臺。還好的是，Symantec AntiVirus 8.1能夠向下相容7.x版的用戶端，如果用戶端無法安裝8.x版，可以安裝7.6版，再由8.1版伺服器控管。

2.確認Windows NT/2000/XP/2003的使用者具備本機管理員權限。

3.防毒伺服器避免與郵件伺服器和資料庫伺服器安裝在同一臺機器上。因為郵件伺服器（Exchange和Notes）會接收到病毒信，可能會與防毒系統產生衝突；資料庫主機則有可能與Symantec AntiVirus本身的資料庫相衝突。

4.防毒伺服器避免安裝兩片（含）以上的網路卡。

5.防毒伺服器最好設定固定IP，並能透過DNS解析該伺服器，以方便用戶端由外部或跨網域連結。

6.若由Norton AntiVirus 7.x升級時，建議先移除再安裝Symantec AntiVirus 8.x，以便後續的管理。

7.在安裝防毒軟體時，有一個重要的注意事項，那就是關掉所有的程式，特別是Office軟體。

除了以上的注意事項，我們考量到幾個問題，經過專家的解答後，提出來與你分享：

原機升級或新機升級：由於iThome的員工人數並不多，所以廖竣生建議原機升級即可，但若企業的規模較大，或有擴編的打算，則要考量原先的伺服器是否能夠負擔。Symantec System Center、主控臺元件及Symantec AntiVirus伺服器可以安裝在同一臺伺服器上。

用戶端升級：如果要到每一臺機器前執行安裝，那MIS人員可能會抓狂。Symantec AntiVirus有5種用戶端安裝方式，包括Login Script、Web Install、Symantec System Center派送、Packager派送（MSI 2.0）及光碟安裝，除了最後一種，其他的方式都可以從遠端進行安裝。廖竣生表示，Login Script是最快也最簡單的安裝方式。如果該用戶已經安裝個人版防毒軟體，最好先手動移除再安裝用戶端軟體。

所佔硬碟空間與系統資源：通常新的應用程式會佔用較多的硬碟空間與系統資源，但由於8.x版的病毒碼處理方式不同，所以佔的硬碟空間反而比較少，林育民表示，7.x版約佔50MB、8.x版約34.6MB（拿掉Windows 3.1版的程式碼），即將上市的9.0版則只佔18.2MB；在系統資源方面，管理者可從主控臺調整，系統預設的掃描優先權是3，最高則為13，如果制定得過高，可能會影響到系統的整體效能。

備分與還原：新版本的功能增加，設定選項也越來越複雜，建議做好系統備分工作，以方便日後的還原。目前系統設定只能採用手動備份與還原，由使用者手動備分系統的機碼。專業的顧問服務價值不斐
後記

林育民表示，Symantec完整的防毒系統導入過程包含5個階段，從最初的評估環境、規畫、移除既有的解決方案、測試安裝（Pilot Test，在企業的真實環境進行測試）、執行及教育訓練。但原廠的顧問服務價格較高，臺灣大多由合作夥伴提供顧問諮詢服務，所以，iThome是向銳傑購買產品及授權，並提供相關的售後服務。

銳傑在協助企業進行建置時，也是遵循Symantec的規範，包括系統架構說明、安裝平臺確認、測試方式與移除方式、測試行程規畫及測試注意事項等內容。安裝過程約需1天，測試與訓練約7~14天。最後，在兩位專家的協助之下，iThome順利升級到Symantec AntiVirus 8.1。

在iThome 3年的時間，筆者收到無數的病毒信，開過無數病毒檔，但從沒有感染過病毒，這完全歸功於防毒系統（把駭客工具隔離除外），但有些人未遵守公司的安全政策，可就沒這麼幸運了。

防毒仍是企業最大的困擾之一，加上病毒和蠕蟲發病的時間越來越短，除了制訂良好的安全政策，還要經過良好的規畫與建置，才能發揮防毒系統的最大功效。文⊙陳世煌