Alex的博客

本博客的文章均为原创,是本人从事行业多年来所遇见一些小问题的解决心得,希望可以帮助到大家!



McAfee企业版常见问题解答(copy)

一、安装
1. 我想安装McAfee企业版,应该安装哪些模块呢?


答:我们通常说的McAfee企业版包括防病毒(VirusScan Enterprise)和反间谍模块(Antispyware Module),应分别在官方网站下载安装,或者在http://bbs.kafan.cn/thread-802149-1-1.html贴中下载安装。从8.8版本开始,反间谍模块集成进McAfee企业版当中,不需要另行安装。也就是说,在出现下载列表之后,8.8只需下载VirusScan Enterprise 8.8就行了,而8.7则要下载VirusScan Enterprise 8.7i以及AntiSpyware Module 8.7。

2. McAfee企业版目前有哪些版本,什么是Patch 1,2,3,4?

答:目前市面上主流的McAfee企业版有8.5i、8.7i和8.8三个版本。大部分人用的是8.5或8.7。8.7在8.5的基础上增加了月神的选项(具体在后面介绍),而8.8则主要改进了性能。Patch是McAfee产品特有的版本更新方式,就好象Windows系统的Service Pack一样,用于修复已知的Bug,提升性能,或者增加新的功能。Patch会在官方网站发布,也可以在http://bbs.kafan.cn/thread-802149-1-1.html贴中下载。Patch先通过独立安装包发布,过一段时间后,官方会将Patch综合进入软件,所以如果下载了最新版本的企业版软件,是不需要再安装bug的,就像你安装了带Service Pack 1的Windows 7系统,就不需要再安装Service Pack一样。McAfee企业版8.7目前的Patch是4,已经集成进最新的企业版安装包中。McAfee企业版8.8目前的Patch是1,已经集成进最新版的企业版安装包中。

3. 安装McAfee企业版时,让我选授权选项,我是选一年、两年还是永久呢?我好心虚呀。。。McAfee企业版是不是对个人免费呢?

答:严格意义上讲,个人下载和安装McAfee企业版是不被授权的,McAfee企业版其实是McAfee面向企业推出的安全套件的客户端软件,在卖出的时候已经收了钱,所以客户端没有设置任何验证手段如果图安逸,可以选择“永久”。我们要感谢McAfee。。。

4. McAfee企业版安装需要输入注册码或者激活码吗?安装完毕需要激活吗?

答:不需要。解释见前一题。

5. McAfee企业版支持Windows 7吗?支持64位系统吗?

答:McAfee的软件都拥有良好的兼容性,McAfee企业版8.5以上均支持Windows 7和64位系统。McAfee的引擎是原生64位,其UI是32位兼容模式。

6. McAfee企业版带防火墙吗?我还需要安装什么软件辅助吗?

答:McAfee企业版不带防火墙,虽然自带的规则有端口保护功能(详见后文),但不足以应付所有网络威胁,建议配合Windows自带防火墙使用,或安装单独的防火墙。至于杀软搭配,见仁见智没有统一标准,但需要注意多款杀软可能会造成冲突,破坏系统稳定性。

7. 我的McAfee企业版无法安装,提示“错误1920。服务McAfee Framework服务(McAfee Framework)启动失败。确认有足够的权限启动系统服务。”怎么办?

答:请确保McAfee企业版的安装程序是原版,而非第三方修改或合成版。请确保电脑上没有安装任何其他安全软件。请确保电脑没有用软件进行过系统清理。如果之前安装过McAfee的任何软件,请卸载,并用官方的清理工具清理,重启后重新安装。详见:http://bbs.kafan.cn/forum.php?mod=viewthread&tid=867591http://bbs.kafan.cn/forum.php?mod=viewthread&tid=784765

8. McAfee企业版的安装有好多选项,到底该怎么选呢?防护那里选最大保护是不是更好?

答:新手第一次安装McAfee时,建议保持默认选项安装,所有选项都可以在装好后调整,所以安装时没必要弄得太麻烦。安装只需要注意两点。一,授权选择永久,语言选择中文(除非你想看其他语言),二,安装的最后一步,去掉勾选“立即扫描”。安装好后,建议立即重启一次,这样可以让所有功能都正常运行。

9. 我第一次安装McAfee企业版,看到压缩包里面有那么多文件,该怎么装呢?

答:解压压缩包,找到其中的SetupVSE.Exe文件,双击运行即可。

10. 我是用不同的Grant Number下载下来的组件,能混着安装吗?

答:可以,不同Grant Number下载的安装包是一样的。

11. 刚装好McAfee企业版,我可以离线直接查杀病毒吗?

答:Patch 3之前的版本可以,Patch 3以上不行,因为从Patch 3开始,官方移除了安装包中的病毒库,意在减少安装包大小,同时提高首次升级的效率。

12. McAfee企业版支持升级安装吗?

答:支持,McAfee企业版可以从8.0升级至8.5,8.5升级至8.7,以及8.7升级至8.8。升级后,所有设置和规则都自动保留。推荐升级安装,会省去很多设置上的麻烦,也不用重新导入规则。

二、设置

1. 我觉得McAfee企业版让我的电脑变得有些慢,我该怎么设置才能在保证防护的同时降低资源占用呢?

答:你可以参照“mcafee 8.7i监控资源优化设置”这个帖子(http://bbs.kafan.cn/forum.php?mod=viewthread&tid=544697)的方法进行设置,也可以参考http://bbs.kafan.cn/forum.php?mod=viewthread&tid=509063帖子的说明,选择仅扫描特定扩展名的文件。对于8.8版,设置大同小异,如果是XP的同学可以直接参考http://bbs.kafan.cn/thread-691987-1-1.html帖子来进行优化。

2. 我按照上面的方法设置了,可是还是觉得有点卡,怎么办?

答:请检查卡机是否是由于McAfee引起的,看看电脑上是否安装了其他的安全软件,同时安装多种安全软件会引起冲突或者不兼容。如果电脑配置较低,建议安装8.5版。另外,请参考“mcafee的服务(进程)优化教程(适用于8.0i和8.5i企业版)”帖子(http://bbs.kafan.cn/thread-18974-1-1.html)进行优化。不过,如果你觉得不卡机就不用优化了。

3. 我是新手,第一次安装McAfee,看着那么多的选项好头疼,还听说有规则,高深莫测,我该怎么办?

答:万事开头难,开了头就不难了,建议参照“McAfee8.7i详细讲解教程--含安装、设置以及规则编写这个帖子(http://edu.kafan.cn/html/Mcafee/8946.html)的说明进行设置。另外,论坛也有很多其他资源可以参考,可以多搜索一下。

三、升级

1. 装好McAfee企业版后,第一次更新很久都没反应,怎么办?

答:这是因为McAfee的更新服务器在国外,国内网络尤其是校园网连接比较慢,而第一次McAfee企业版更新需要下载大约60M左右的更新包,所以耗时很久。建议网络不太好的同学点击取消,然后访问http://www.mcafee.com/apps/downloads/security-updates/security-updates.aspx?region=cn,下载SuperDats,然后关闭访问保护,进行离线升级。以后的升级因为下载量较小,大多都可以短时间内完成。

2. McAfee企业版能自动升级吗?需不需要ID之类的东西?

答:McAfee企业版默认于每天下午5点钟自动升级,当然可以自己定义。McAfee有两个默认的更新服务器,在美国,是公开的,不需要任何验证。

3. 我的McAfee企业版升级出错了!怎么说找不到有效的存储库?怎么办?

答:找不到存储库有以下原因:1. 网络原因,2. 缺少sitelist.xml文件,3. 程序自身出错。

第一个原因请排查网络问题,比如看看McAfee的官网(www.mcafee.com)能否上的去,具体解决方法请参考http://bbs.kafan.cn/thread-912376-1-1.html。还有一种情况是规则阻挡,请查看HTTP规则是否有阻挡,最近是否装过P4(比如http://bbs.kafan.cn/forum.php?mod=viewthread&tid=802666),然后做相应排除。

第二个原因是缺少sitelist.xml文件,sitelist.xml里面包含了McAfee升级服务器的信息,如果文件损坏或丢失,会出现升级出错,可以重新下载这个文件,参见http://bbs.kafan.cn/forum.php?mod=viewthread&tid=831816贴的说明。

第三个原因是程序自身出错,如果前两个原因都排除了,大概就是这个原因了,可以尝试修复安装,或者卸载重装,当然要保证安装程序来源正常。

4. 我的McAfee企业版怎么老是不能更新成功?说“没有应用更新,因为它们不在以下存储库中: VSCANCEU1000, EXTRADAT1000, BOCVSE__1000”。

答:其实已经更新成功了,不必理会那句话。

5. 我的McAfee企业版更新失败,提示"初始化Common Updater子系统失败",怎么办?

答:只需要重新注册ole32.dll 即可,具体步骤:点击开始\运行,以XP为例,输入Regsvr32.exe C:\Windows\System32\Ole32.dll,即可。参考:http://bbs.kafan.cn/forum.php?mod=viewthread&tid=888142贴的说明。

6. 我装了McAfee企业版8.8,发现升级的界面底下缺了一块,显示不全,是怎么回事?

答:这是产品中自带的Agent 4.5的一个Bug,解决方法:去官网下载Agent 4.6进行升级。此问题和McAfee企业版8.8产品本身无关。

四、规则

1. McAfee企业版的默认规则是否够用?我还需要进一步设置吗?

答:McAfee企业版自带有一套完整的防护规则,分为标准保护,最大保护和爆发保护三个层次。默认安装McAfee,只会开启标准保护中的一部分规则,用于自我保护和警告(非阻止)一些危险行为,而最大保护和爆发保护默认是不开启的。所以如果安装好后完全不设置规则,防护能力有限。不过用户一旦开启最大保护和爆发保护的所有规则,防护能力就非常强悍,当然如果不加以排除,可能会阻挡正常程序的运行。

2. McAfee企业版的规则到底是什么?我导入了是不是再也不用管了?

答:McAfee企业版的规则是“访问保护”功能中定义的,用于限制系统中文件活动、注册表活动和网络活动,保护系统关键区域,预防未知病毒侵袭的一系列准则。打个比方,假设McAfee企业版是一群士兵,那么规则就是指引他们守护系统的规章条例。很显然,规则的制定,和用户的系统、软件环境和使用习惯密切相关。有些规则重在保护系统关键的注册表值和区域,有些规则注重保护用户数据,而还有些规则关注封堵病毒入侵的途径等等。没有最好的规则,只有最适合的规则。在很多情况下,导入第三方的规则涉及到排除和改动,双击文件导入注册表仅仅是一个开始。

3. 请问我应该导入什么样的规则?谁的规则好?

答:首先应该了解自己的系统,比如64位的系统如果导入32位下制作的规则,则会出现持续触红。其次应该了解自己的使用习惯,问问自己是不是经常会用绿色软件,是不是经常会装一些注册机、破解器、黑客工具,是不是会上一些高危网站,软件装在哪个目录,等等。了解这些后,再在论坛搜索规则,然后看清使用说明,再下载导入。切忌什么都不知道,仅凭别人的宣传和鼓动就胡乱导入规则,或者导入不适合自己的规则。至于谁的规则好,没有定论,因为每个人对系统的理解和对病毒的理解都不同,规则的理念可能都不一样,所以无法比较。

4. 救命!我导入了什么什么规则,结果什么程序都不能启动/什么程序都不能上网/连麦咖啡自己都不能升级,怎么办?

答:首先要做的是打开控制台,将访问保护禁用,然后到http://bbs.kafan.cn/thread-33726-1-1.html贴里面下载官方默认规则导入,或者打开控制台选择修复安装,自动还原默认规则(参考:http://bbs.kafan.cn/thread-931569-1-1.html)。之后,请参照上一题的解释,选择适合自己的规则。

5. 我刚刚安装了McAfee企业版8.8,但是我导入不了规则,没有作用,怎么回事?

答:8.8版改变了规则保存的注册表位置,原来为HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\OnAccess Scanner\BehaviourBlocking,现在为HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking,许多现有规则都还没有针对8.8进行修改,如果需要导入,可以用记事本打开规则文件,将HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking替换为HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking,保存,再导入就可以了。参见http://bbs.kafan.cn/thread-894956-1-1.html贴的说明。

另外,特别需要注意的是,有些规则可能包含盘符的通配符,比如?:\Windows\**之类的,如果导入进8.8可能会造成CPU占用100%。原因现在未查明,可能是产品的bug,在导入第三方规则之前,请确认里面没有包含盘符的通配符。参考http://bbs.kafan.cn/thread-896362-1-1.html贴的说明。

更新:通配符的问题仍未在企业版8.8的Patch 1中修复。

6. 我刚安装了McAfee企业版8.8,导入别人的规则后发现无法上网,持续触红,排除不了,怎么办?

答:McAfee企业版8.8的端口规则有一些bug,不能进行路径排除,建议暂时禁用所有端口规则,包括HTTP和FTP的默认规则,等待官方修复。参考:http://bbs.kafan.cn/thread-894800-1-1.html以及http://bbs.kafan.cn/thread-810551-1-1.html。更新:8.7中的端口规则问题已经修复,请参见http://bbs.kafan.cn/thread-965640-1-1.html进行修复

更新:此问题在8.8的Patch 1中仍没有修复。

7. 我的**软件用不了,McAfee报告“禁止 Svchost 执行非 Windows 可执行文件”,怎么排除?

答:这是一条最大保护规则,对于一些环境不太适用。因为规则本身只针对svchost.exe进程,所以无法排除,排除就等于禁用规则。如果规则影响到某些软件的正常使用,请禁用该规则。

8. 我看见有的规则里写了\??\和\\?\,请问这些符号是什么意思?

答:排除路径中有一种以“\??\”或“\\?\”打头的路径,编写规则时若将“\??\”或“\\?\”去掉的话便法排除该进程,这是因为该进程已注入内存,所以在排除时已不是原路径,而是内存中的路径,所以需要以“\??\”或“\\?\”打头。“\??\”表示内存中的单个进程,多为系统进程,如\??\C:\WINDOWS\system32\csrss.exe;“\\?\”表示在内存中除自身进程外,还注入在内存其他进程中,多为应用程序进程。参考:http://bbs.kafan.cn/thread-896158-1-1.html

9. 我发现“保护Internet收藏夹和设置”这条规则不能自己添加排除项,怎么回事?

答:这是VSE8.8中的一个Bug,推测是官方的排除列表过长,或者是自身不支持那么长的列表。临时解决方案是将列表删除自己写入。该Bug已经在Patch 1中修复。

10. 我已经安装好了McAfee企业版,可我想在“最大保护”和“标准保护”中间切换,如何做到?

答:如现行的是标准保护的话先备一下,MCAFEEi注册表\On Access Scanner\BehaviourBlocking所有值(不详细列明绝对路径,因为X64和X86注册表路径不一样),以下路径都在此项下。然后改ProtectionType值Maximum,在控制台点帮助下的修复安装,修复安装后的规则就是最大保护的,接着备份这个最大保护规则。有了两种等级的注册表保护文件,你可以互相导入。注:导入注册表文件要关闭访问保护。参考:http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=1002515&pid=19537266&fromuid=355794

五、扫描

1. 听说McAfee企业版8.8增加了永久缓存机制,大大提高了扫描效率,那么那些缓存里的文件何时会被重新扫描呢?

答:以下状况,McAfee企业版的缓存会被清除,重新扫描:

(1) 按访问扫描设置改动
(2) 添加EXTRA.DAT文件
(3) 缓存区填满

McAfee官方不会透露缓存机制的具体技术细节,因为涉及商业机密。在其他情况下,缓存的文件不会再被扫描。参考:https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/22000/PD22941/en_US/vse_880_product_guide_en-us.pdfhttps://community.mcafee.com/message/177242#177242

六、其它

1. 我发现右下角的托盘图标周围有一圈红色,怎么回事?怎样消除?

答:托盘周围出现一圈红色表明有程序触犯了McAfee企业版的规则。关于触犯规则请参见“规则”部分的解答。出现红色边框后,应右键单击托盘图标,在菜单中选择“访问保护日志”,查看日志,如果属正常情况,加以排除。如果不加操作,红色边框会在30分钟后自动消失。参考:http://bbs.kafan.cn/thread-875176-1-1.html

2. 我安装好Patch后,在“关于”页面中显示的Patch版本号是1,2,3,4,这是怎么回事?

答:这是由于导入了第三方规则,有些规则导出的是整个HKEY_LOCAL_MACHINE\SOFTWARE\McAfee项,包括了patch的信息,这些规则是在较老版本的McAfee企业版中所作,所以包含的Patch版本信息较老,而升级以后,却又写入了新的Patch信息。参考:http://bbs.kafan.cn/forum.php?mod=viewthread&tid=850677

3. McAfee企业版的月神是什么?McAfee企业版有云吗?
答:McAfee企业版的月神是Artemis技术,是McAfee的云计算技术,运用在McAfee企业版和个人版产品中。在企业版中,月神既用于扫描,也用于监控,可以调整等级,不过监控的灵敏度没有扫描高。详细的介绍推荐看一看“我们的McAfee在云端--------零距离接触McAfee Artemis Technology”这个帖子(http://bbs.kafan.cn/thread-640319-1-1.html)。

4. 我所在的企业安装了McAfee企业版软件,可是我不想受到网管的制约,想自己控制McAfee的运行,怎么办?

答:你可以通过卸载Agent来摆脱企业对McAfee企业版的控制,但会引起网管的注意,请权衡这样做的得失,如果不是特别必要,请不要这样做。方法是下载http://bbs.kafan.cn/thread-846007-1-1.html帖里面的附件,进入安全模式运行,强制卸载,然后打开regedit,找到HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection这个项,找到UIP这个键,清除里面的内容。最后重启进入控制台设置新的密码即可。参考:http://bbs.kafan.cn/thread-846007-1-1.html

5. 我发现我的McAfee里面没有“缓冲区溢出保护”,怎么回事?

答:因为对于64位系统,McAfee没有开发缓冲区溢出保护的功能,可能认为针对64位系统的缓冲区溢出攻击非常少吧。

6. 我想更改McAfee企业版的图标,改成那个Agent带的M图标,怎么改?

答:你可以参考http://bbs.kafan.cn/thread-711475-1-1.html帖的方法安装Agent 4.5,修改注册表来开启图标,如果你安装了8.8版本,可以不用再安装Agent 4.5。除了修改注册表,你也可以修改C:\ProgramData\McAfee\Common Framework\Agent.ini (Windows Vista/7)或C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\Agent.ini (Windows XP),将其中的ShowAgentUI=0改成ShowAgentUI=1。同时,为避免出现两次图标,可以禁用shstat.exe这个启动项。注意:在进行上述修改时,请关闭McAfee的访问保护功能。参考:http://bbs.kafan.cn/forum.php?mod=viewthread&tid=874469

7. 我想上报病毒或者误报,如何上报呢?

答:企业版目前有两种方法。
一是网页上报,访问https://www.webimmune.net/scanfile.asp,注册一个帐户,就行了~支持单文件或者打包上传,有大小限制。
二是邮箱上报,发邮件给virus_research@avertlabs.com,样本打包成zip并加密,密码为infected。如果是误报上报,则邮件标题写上false alarm。

8. 我发现McAfee企业版8.8的按访问扫描可以在访问保护启用的时候禁用,我记得8.7版的时候是不行的,怎么回事呢?

答,这的确是8.8的一个改变,只有在锁定控制台选项后,访问扫描才不能直接禁用。只要解除控制台锁定,就能禁用访问扫描。但是,尽管在未锁控制台时能手动禁用按访问扫描,McAfee的自我保护并没有丧失,第三方程序如果没有规则允许,仍然不能自动禁用按访问扫描。8.8的这个改变可能是为了方便用户控制软件,同时解除按访问扫描和访问保护之间的关系。在8.8之前,访问保护功能是基于按访问扫描的,如果禁用按访问扫描就不能开启访问保护。8.8版解除了这个限制,可以在按访问扫描禁用时,仍然开启访问保护。
浏览1510  评论0  Alex于 2016-1-7 14:34
发言