SecureAnywhere Technical Training

Slides:



Advertisements
Similar presentations
第 1 章 使用 APP INVENTOR 2 開發 ANDROID APP
Advertisements

亞洲大學的數位學習資源與應用 鍾仁宗老師 101年12月4日.
Windows 2003 Server FTP站台的架設
程式設計概論 1.1 程式設計概論 程式語言的演進 物件導向程式 程式開發流程 1.2 C++開發工具
MIT App Inventor簡介及 「Hello World」程式初體驗 靜宜大學資管系 楊子青
TCP協定 (傳輸層).
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
JDK 安裝教學 (for Win7) Soochow University
第1章 認識Arduino.
第二章 Linux基本指令與工具操作 LINUX 按圖施工手冊.
Working with Databases (II) 靜宜大學資管系 楊子青
HiNet 光世代非固定制 用戶端IPv6設定方式說明
R教學 安裝RStudio 羅琪老師.
ASP.NET基本設計與操作 建國科技大學 資管系 饒瑞佶 2007年.
安裝JDK 安裝Eclipse Eclipse 中文化
自由軟體介紹(一) 把flash通通帶回家 報告人:陳俊銘.
Windoop操作步驟 於作業系統Windows 10 專業版.
OpenID與WordPress使用說明
2017 Operating Systems 作業系統實習 助教:陳主恩、林欣穎 實驗室:720A.
連結資料庫管理系統.
App Inventor2呼叫PHP存取MySQL
Android App簡介及 App Inventor 2體驗 靜宜大學資管系 楊子青
檔案與磁碟的基本介紹.
EndNote Web 2.0 ISI Web of Knowledge 金珊資訊有限公司
EBSCOhost App應用程式 安裝方式.
FTP檔案上傳下載 實務與運用.
私立南山高中 信息組 電腦研習 電腦資料的備份 中華民國 99年4月20日 星期二.
DHCP for W2K.
電腦攻擊與防禦 使用電腦教室VMware軟體說明.
網路安全技術期末報告 Proxy Server
人事差勤系統 網路簽到退 資訊室 黃怡智.
Java程式設計 Eclipse.
VS.NET 2003 IDE.
UpToDate Anywhere 設定方法
本院使用建教合作之輔仁大學 圖書館資料庫 設定方式說明
Firewall-pfsense Mars Su
人文與科技的結合 人文與科技的結合 Right Fax使用說明.
電子商務新版面問題排除.
網路工具運用 講師:鍾詩蘋.
資料來源 2 網路過濾軟體之安裝說明 資料來源 2.
中信行動祕書,Android安裝「中信行動祕書」
WinPXE 無硬碟系統 6.0 安裝說明 憶傑科技股份有限公司
安裝 / 操作 flashget SOP (以Win 7 作業系統為範例)
Google協作平台+檔案分享(FileZilla+網路芳鄰)
個人網路空間 資訊教育.
賽門鐵克安全系統進化史-正確選用賽門鐵克防護系統
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
雲端計算.
利用 EditorConfig 自訂文字編輯器設定
取得與安裝TIDE 從TIBBO網站取得TIDE
案件名稱: 資安預警通報 通報等級: 第一級 發生時間: 2019/02/24 03:53:28 案件說明:
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
基本指令.
Dreamweaver 進階網頁製作 B 許天彰.
1. 查詢個人電腦版本 1.進入控制台 2.點選“所有控制台項目” 3.點選“系統”.
Cloud Operating System - Unit 03: 雲端平台建構實驗
2018 Operating Systems 作業系統實習 助教:林欣穎 實驗室:720A.
Brief Guide of FrontPage
班級:博碩子一甲 授課老師:鐘國家 助教:陳國政
MultiThread Introduction
介紹Saas 以Office 365為例 組員: 資工四乙何孟修 資工四乙 黃泓勝.
安裝JDK 配置windows win7 環境變數
Cloud Training Material- 事件 Sherman Wang
連結資料庫 MYSQL.
多站台網路預約系統之 AJAX即時資料更新機制
NFC (近場通訊, Near Field Communication) 靜宜大學資管系 楊子青
Chapter 4 Multi-Threads (多執行緒).
Jquery Mobile開發須知 周季賢.
Develop and Build Drives by Visual C++ IDE
雲端電腦教室 Matlab 使用介紹 1. 工作目錄切換 2. 把 matlab 的檔案存出來 3. Matlab 軟體介面.
Presentation transcript:

SecureAnywhere Technical Training

Agenda Webroot SecureAnywhere “幕後花絮” 端點產品功能 網頁主控台 產品安裝佈署 技術支援 Q&A

Webroot SecureAnywhere “Behind the Scenes” An insight into the infrastructure that powers Webroot SecureAnywhere and a deep-dive into the client.

The Leader in Cloud based Security Software as a Service 2013年 營業淨利 1億1千萬(美元) 北美市場佔有率 第一名 400 位員工 750萬 個人用戶 130萬 行動裝置用戶 150萬 企業用戶 Webroot, 網路威脅防禦技術領導者 針對APT攻擊提供最有效的辨識與防禦技術.

獎項與榮譽 – Gartner Magic Quadrant (Visionaries)

Webroot SecureAnywhere® 資訊安全無妥協 企業資訊安全的範疇發生了巨大的變化 Webroot的產品保護客戶最需保護的三個領域 公司網路 電腦端點 手機 Webroot的三個資安產品使用共通的智慧網路(WIN),所以產品優勢會有技術共通性。 capture Webroot® Intelligence Network analyze Contextual database Common Technology Platform Common Technology Platform 共同的技術平臺 classify publish internet file mobile 共同的技術平臺

使用 EC2 • 網頁伺服器服務 高可用性服務 • 高擴展性 全球最先進的威脅分析引擎 外部威脅資料回應 100TB 以上 惡意程式資料庫 即時雲端防禦機制 全球企業用戶的網址與IP資料 >25K Webroot® 智慧網路™ (WIN) 遠端漫遊使用者 (用戶程式<1MB) 即時檔案資料 管理主控台 (瀏覽器) 惡意程式 行為資料庫 已知檔案 雜湊值資料庫 其他威脅 資料庫 使用 EC2 • 網頁伺服器服務 高可用性服務 • 高擴展性 企業工作站 (用戶程式<1MB) WIN 智慧網路狀態 13 億筆以上網址, 4.6 億筆以上網域 評等與分類 100 TB 以上 PC, Mac 與Android 的惡意程式與病毒資料 – 每天新增20萬筆以上的全新資料 180 萬以上 Android apps, 20萬 iOS apps –分析與評等資料.(7萬筆以上的惡意內容分析與惡意行為.) 4.3億筆以上 IP 位址分析, 1200萬筆以上 惡意 IP位址 4億筆以上的檔案行為紀錄 800萬個以上的感應器 即時釣魚網頁防護 Webroot 客戶資料回應 百萬以上的個人用戶與企業用戶 每天提供 200GB以上的有效資料

Webroot 執行程序 C:\Program Files\Webroot\WRSA.exe C:\Windows\system32\WRusr.dll (32位元) C:\Windows\SysWow64\WRusr.dll (64位元) C:\Windows\system32\drivers\WRkrn.sys WRKrn.sys 驅動程式會在系統啟動前期時自行載入並執行全面的檔案過濾與系統 監控服務。 Webroot SecureAnywhere System service (WRSVC)會早於全部的使用者服務之 前自行載入服務,同時無論使用者切換或是登出該系統服務也會保持載入狀態。 使用者端應用程式載入到最後階段時會顯示狀態圖示(選用)與短暫顯示功能狀 態。 Wrusr.dll 提供使用者服務分析,Ex:如果一台電腦同時登入5個使用者帳號, WRSA.exe將會在每個帳號下都各別載入服務提供防護。

掃描程序 安裝於數秒內完成,並會立即進行掃描。 監控所有啟動中的程序、解析所有的檔案系統以偵測是否有rootkits與其他的感染項目,也會讀取所 有的登錄檔與其中的相關連結,並自動移除已知的惡意檔案。 Webroot 掃描引擎結合既有磁碟與登錄檔掃描技術,藉此大幅降低掃描時間並提高對於rootkit與隱 藏式惡意程式的偵測率。 掃描檔案副本紀錄於本機並於加密的連線下透過Webroot 智慧網路(WIN)去確認每一項檔案是否為 “已知”的正常檔案、有害檔案或未定義檔案類型。 一般狀態下會將傳送300KB到2MB所學習到的掃瞄檔案並接收少於250KB的檔案,平均每一個端點的 每天傳輸量大約1MB左右。

掃描程序 Webroot SecureAnywhere 主要掃描學習機制會去收集所有系統與軟體的運作行為並產生數項基本的系統資料: 分配給每台端點的獨立金鑰 檔案屬性,例如 ‘hidden’ 或 ‘locked’ 檔案雜湊值,例如 MD5, SHA1 程式碼段落 Webroot Genome Signature 相容的特徵碼 行為模式資料,例如程式所產生的檔案、連結 的網址或IP位址或是在登錄機碼的變更行為 檔案的 meta data Path, File, Size, Vendor, Product, Version 登錄機碼資訊,例如 reg run keys, service entries, associations 每台端點所存取過的有效執行物件,Webroot SecureAnywhere 也會蒐集: When Seen? Registry Data Where Seen? Behavior Data – Network; Disk; Registry Times Seen Code Data Meta Data

防護運行機制 雲端主動式智慧辨識 GOOD

防護運行機制 雲端主動式智慧辨識 BAD

Webroot Intelligence Network 防護運行機制 全新檔案 Webroot 保護的 端點工作站 雲端主動式智慧辨識 UNKNOWN 本機電腦模擬執行分析行為模式類型 行為模式分析與類型 封鎖 Sandbox 檔案雜湊值 WIN 是否曾經有行為模式紀錄? No. Unknown. Yes! Bad. WIN 是否曾經有 檔案紀錄? Webroot Intelligence Network 已知檔案 雜湊值資料庫 行為模式 資料庫 其他威脅 將害檔案的雜湊值新增至資料庫

掃描回應動作 掃描過程之中與資料的交換溝通都是透過HTTP 或HTTPS 協定使用資料混淆的方式回應給Webroot 智 慧網路(WIN)。 根據所接收即時回應與說明去允許、封鎖、封鎖TCP連線、監控模式下執行、本機沙箱下執行、擷取 樣本並監控行為模式。 允許(Allow) – 檔案允許運行 封鎖(Block) – 檔案封鎖執行 封鎖TCP連線(Disallow TCP) – 封鎖檔案的網路連線與傳輸 監控模式下執行(Run in preview mode) – 允許檔案在監控與紀錄模式中運行 本機沙箱下執行(Run in the local sandbox) – 允許檔案在本機沙箱環境中執行,所以行為模式 可以更加真實地去監控,而且確保可以安全、獨立運行在在真實的端點作業系統環境。 擷取樣本並監控行為模式(Capture sample and monitor behavior) – 允許檔案在監控與紀錄 模式中運行並會擷取程式碼樣本。

啟發式演算法分析 啟發式演算法分析可以透過 Webroot SecureAnywhere去根據威脅分析結果的觸發等級。 Webroot SecureAnywhere啟發式分析可以根據不同環境微調計算標準:本機磁碟、USB磁碟、網際 網路環境、區域網路環境、本機CD/DVD磁碟環境與端點離線環境(無網際網路存取)。 啟發式演算法分析方式包含: 進階:可疑檔案行為 年齡:在雲端資料庫中的存在時間 人氣:在雲端資料庫中的可見頻率

完整離線防護 新檔案會根據本機最新一次的威脅防護檔案進行行為模式分析。 透過基因組特徵碼去辨識已知與類似行為的惡意威脅。 增強式的離線演算法分析可以自動封鎖大量惡意威脅。 在下圖中,即使執行檔已經通過了本機掃描確認,但是在行為模式防護與核心系統防護下仍然無法 做出任何不可逆的破壞行為。因為該檔案依舊會被密切監控與紀錄活動以便可以隨時藉此對於惡意 行為事件進行辨識(無論處於本機模式或回覆網路連線後的雲端模式)並將所有的惡意行為異動回 溯還原。

自我保護機制 Webroot SecureAnywhere 自我保護機制可以防止惡意程式去變更Webroot SecureAnywhere設定與 執行程序。                                                           假使有偵測到任何產品嘗試來影響,本功能將會啟動保護掃描來偵測來源是否存在任何威脅。 整合了非常小的程式分佈與雲端結構的特點,與其他大型的防毒軟體相較之下更難以讓駭客去影響 或是停用端點程式。

即時防護盾 即時防護盾透過Webroot 智慧網路(WIN)即時分析資訊可以自動封鎖有害威脅執行。 自動保留之前已封鎖檔案的資訊。 假使在離線環境,依舊會透過本機資料庫或類似特點(基因組特徵碼)去封鎖任何已知的惡意檔案。

行為防護盾 行為防護盾會分析端點上所執行的任何應用程式與程序。 檢測惡意檔案行為並封鎖”已知”惡意行為特徵的威脅。 設計透過Webroot 智慧網路(WIN)上大量的惡意行為特徵碼去檢查惡意程式行為。 預設對於任何未知與惡意程序會進行監控與行為紀錄,假使一但有應用程式允許執行但事後偵測出 惡意行為,Webroot SecureAnywhere將會自動在端點執行完整回溯並修正該檔案的信譽評等。

核心系統防護盾 核心系統防護盾持續性的監控系統結構異動。 封鎖有嘗試修改核心記憶體或系統程序的不信任程序。 在檔案寫入之前先行測試所有可能的系統異動。例如:新服務安裝 偵測並修復毀壞的系統元件。例如:Layered Service Provider (LSP) chains 或病毒感染檔案 LSP (Winsock 網頁綁架)

網路威脅防護盾 網路威脅防護盾保護使用者上網不受侵擾並且封鎖惡意網站。 透過惡意程式定義引擎檢測所有網址,並立即封鎖所有相關惡意網址的下載行為。 透過Webroot 智慧網路(WIN)的其他威脅資料去提供進階的入侵防護。例如:釣魚網站、網頁掛馬

身分防護盾 身分防護盾會確保使用者在上網時的敏感資料安全。 假設端點工作站已感染未知的惡意程式時,身分防護盾將會降低資料外洩的風險。 使用系統核心層級服務去防禦作業系統與瀏覽器不會被特定的惡意威脅所攻擊:網路釣魚(phishing)、 DNS快取攻擊(DNS poisoning)、鍵盤側錄 (keystroke logging)、螢幕擷取攻擊(screen grabbing)、暫存 擷取攻擊(cooking scraping)、剪貼簿擷取攻擊(clipboard grabbing)與惡意程式導致的瀏覽器綁架 (browser hijacking)、連線綁架(session hijacking)、中間瀏覽器跳轉攻擊(man-in-the-browser)、中間 人攻擊(man-in-the-middle) 身分防護盾主要功能: 分析網址並封鎖有害內容 分析並封鎖釣魚網址威脅 驗證每個網址的合法性並分析IP位址是否惡意 以及意否被重新導向 驗整 DNS/IP 解析結果以防禦中間人攻擊 DNS快取攻擊:dns Cache include malicious website

防火牆 智慧型外部防火牆會根據Webroot 智慧網路(WIN)的回應去判斷對於該應用程式是否放行或是封鎖網 路流量。 透過智慧型防火牆的即時回應機制,可以避免無意的使用者或管理者讓有風險的應用程式可以存取 網際網路。 可以透過Windows 內部防火牆做到內部的防護機制,需求使用者可以透過此去監控與網路管理需求。 自動監控所有的對外連線並且封鎖不合法的惡意伺服器呼叫行為與其他惡意程式嘗試對外傳輸偷取 的機敏資料。

使用中處理程序控制 端點應用程式的系統控制工具中提供直覺化的方式,以管理所有在作業系統上使用中的程序,並且 可以快速的檢視目前執行程序的狀態並可以依照不同的需求對於程序允許執行、封鎖啟動或是監控 活動。 對於不信任與監控中的未知程式,也可以從網頁主控台→報告→”發現到的所有未確定用途的軟體” 或 “上次掃描時具有未確定用途之軟體的端點”,進行檢視與統一管理。 可針對單一主控台或是政策進行一致性的黑白名單管理。

SafeStart 沙箱 本機沙箱對於Webroot SecureAnywhere 有兩種用途價值。 第一種用途,Webroot 智慧網路(WIN)需要嘗試將分類一項新應用程式時,將會透過本機的沙箱進行 再次模擬驗證再將其真正釋出到端點的資料庫中。 第二種用途,當使用者端點被份配再”未管理”的政策時,建議使用者對於執行檔案都先於沙箱模擬測 試過後並確認無害後再安裝使用。 (A Sandbox is a security device used to run programs in a separate, isolated environment that simulates the real endpoint by providing a highly controlled set of resources for programs to run in. It allows untrusted programs or code to be run without their actions making any real changes to the endpoint.)

系統最佳化程式、安全清除 系統最佳化程式可以清除不必要的檔案、釋放硬碟空間並改善電腦效能。 清理項目包含: Windows 作業系統:剪貼簿內容、Windows 暫存資料夾、系統暫存資料夾、Windows Update 暫存資料 夾、Windows 登陸串流、預設登入使用者歷程記錄、記憶體傾印檔案、CD燒錄儲存資料夾、Microsoft Management Console(MMC)最近的檔案紀錄、Microsoft Office 最近的檔案和資料夾清單 Windows 桌面:Flash Cookie、資源回收筒、最近的文件歷程紀錄、開始功能表單歷程記錄、開始功能表 排序歷程記錄、執行歷程記錄、清除Index.dat(重新開機時清除) 瀏覽器紀錄:網址列歷程記錄、Cookie、暫存網際網路檔案、URL歷程記錄、安裝紀錄、Microsoft 下載資 料夾、Google Chrome 暫存紀錄搜尋歷程記錄、、MediaPlayer 歷程記錄、自動完成表單資訊 應用程式紀錄:Picasa 暫存檔案、Sun Java Cache 記錄檔、 Sun Java Cache 快取檔案、Windows DirectInput 最近使用的歷程記錄、Windows WBEM Log files 記錄檔、Windows Archiver 最近使用過的檔 案清單 安全清除功能可以執行1-7次不等的複寫清除紀錄,確保將數位資料無法回復 安全清除功能可以設定於功能右鍵

系統最佳化程式、安全清除

Web-based Central Management Console A detailed technical demonstration of the capabilities of Webroot SecureAnywhere Central web-based management console

網頁主控台 無論從任何地方,只要使用使用者帳號密碼,再加上一組獨立的安全代碼登入機制,可以確保只有 合法的管理者可以登入存取。 首頁可以提供端點產品與行動裝置產品的直覺化的統一管理,也可以存取客戶支援連結提供支援服 務、佈署說明、知識庫。 狀態頁面可以立即提供端點防護所需要注意的事件,假使有有任何需要處理的事件可以直覺化的點 擊端點或威脅進一步的了解任何詳細資訊並進行處理。

網頁主控台 首頁上同時會顯示多項頁籤,以便對於端點用戶進行檢視、遠端操作管理: 政策: 政策可以定義所佈署的端點上的Webroot SecureAnywhere 的監控層級與動作。 群組管理: 群組可以讓組織端點更易於管理,您可以選擇不同的使用者歸屬的群組,並對於該群組 定義不同的政策、佈署與檢視端點狀態等功能。 報告:報告可以檢視 您的管理環境中的威脅、尚未定義的檔案、端點軟體的版本、數量與有威脅風 險的端點。 警告: 可以對於安裝的端點、已感染的威脅寄送即時警或定期摘要示給需要的管理者,以便可以立 即處理。 覆寫:可以讓管理者對於環境中的各項執行檔進行控制,您對於指定的檔案定義”良好“與”不良”的 狀態,並將其定義規則套用至整體或是獨立的政策規範。 記錄檔:記錄檔可以提供管理者檢視任何指令、政策、覆寫檔、帳號的變更與歷程記錄,並可以經 由各項條件篩選。 資源:提供管理者對於可以下載Windows與Mac 的安裝程式下載,提供獨立檔案、安裝指令與電子 郵件範本方式以便於佈署。

An in-depth look at the Agent Commands.

Agent Commands – 執行客戶支援腳本 Scripts 使用一種端點agent可以讀取的語言編寫。 Scripts 在於端點Agent 無法清除惡意程式感染時,透過分析師特地編寫, 以協助用戶端運行以清除惡意程式。 Sample Script: # Cleanup Script - Generated at 28/02/2012 - 10:42:40 GMT TOT(7) BACK(TRUE) AUTOL(TRUE) INTEN(UMATC) INTEN(KMC) RUN(Removing c:\ati\tdl4installer.exe...#(PX5: 0237FC5528562AE04E0B02A87D794A0012B5198C - MD5: 8F3948B03B9C5A68D8FE9858B4D730B8)) CFFR(c:\ati\tdl4installer.exe, 8F3948B03B9C5A68D8FE9858B4D730B8) DEL(c:\ati\tdl4installer.exe) END() RUN(Removing c:\programdata\jungledisk\cache\jd2-4928b311901e05191aa263224c840193-eu\62090037-philcontant\cf- 2135.tmp/prevxtestmalware.exe...#(PX5: 8115F36900AD43B04EA2004475808C00174BB814 - MD5: 7B0883FA033B48326EA22206D1078AD0)) CFFR(c:\programdata\jungledisk\cache\jd2-4928b311901e05191aa263224c840193-eu\62090037-philcontant\cf- 2135.tmp/prevxtestmalware.exe, 7B0883FA033B48326EA22206D1078AD0) DEL(c:\programdata\jungledisk\cache\jd2-4928b311901e05191aa263224c840193-eu\62090037-philcontant\cf- 2135.tmp/prevxtestmalware.exe) END() # End of Cleanup Script

Agent Commands – 下載並執行檔案 檔案如果獨立下載使用,需要透過命令提示字元呼叫與執行。 該執行檔案可以運用在故障排除與解毒的事件-以提供一種集中並可以簡單在 用戶端點執行的客戶支援工具。 檔案的執行是透過wrsa程序去呼叫與執行,所以並不會見到獨立的執行程序 (工作管理員)。 作業系統有帳號限制權限的環境(UAC)會造成檔案無法執行,請變更使用者帳 號權限或是使用管理帳號操作。

Agent Commands – 執行 DOS 指令 指令是透過系統帳號執行,所以並不會見到任何執行畫面。 在需要遠端進行系統變更時非常有效,您可以透過指令提升權限或是 去呼叫所需要的Script。

Agent Commands – 執行登陸檔指令 該功能可以在端點電腦上使用與 reg.exe 相同的語法,並無需指定用 戶電腦名稱或是登錄機碼路徑, 例如您如果需要在 HKLM\Software 增加TEST 機碼: ADD HKLM\SOFTWARE\TEST 如果有任何針對特定使用帳號進行的機碼變更,請要指定在 HK_USER 內既有的路徑才會發揮作用。 這功能最常被運用在去修復 被 惡意程式的所異動過的相關機碼。

Endpoint Protection Deployment

產品佈署建置 端點產品佈署 行動裝置產品佈署 網頁安全產品佈署 手動安裝 電子郵件安裝 群組原則(GPO)安裝 手動安裝(DWP.exe) 手動指定Proxy .Pac 檔案引導

端點產品佈署 – 資源下載位置 端點產品佈署 1. 手動安裝 2. 電子郵件安裝 3. 群組原則(GPO)安裝 檔案位址: http://anywhere.webrootcloudav .com/zerol/wsasme.exe http://anywhere.webrootcloudav .com/zerol/wsasme.msi

端點產品佈署 – 手動安裝 靜默安裝 檔名改序號 靜默參數 手動安裝 強制安裝沒有防護

端點產品佈署 – 安裝參數

端點產品佈署 – 安裝參數 – 佈署端點給指定群組

端點產品佈署 – 電子郵件安裝 預設靜默安裝 勿改檔案名稱

端點產品佈署 – 群組原則(GPO)安裝 Orca msi編輯器 (如需請參考最後”其他參考資料”的Windows SDK 套件) Webroot SecureAnywhere MSI安裝檔案 (wsasme.msi) http://anywhere.webrootcloudav.com/zerol/wsasme.msi

端點產品佈署 – 群組原則(GPO)安裝 - 派送步驟 開啟Orca修改wsasme.msi,加入金鑰序號 建立網路共用資料夾,確認使用者存取權限,置 入wsasme.msi 安裝檔 新增群組原則,電腦原則下新增軟體安裝 指定群組連結剛新增的群組原則 待下次電腦重新開機即會自動安裝 註:沒有網際網路連線環境下,Webroot僅會安裝預設英文介面。

端點產品佈署 – 群組原則(GPO)安裝 – 使用Orca 開啟 .msi 金鑰序號請用 – 區隔

端點產品佈署 – 群組原則(GPO)安裝 – 建立網路分享資料夾 新增共用資料夾與讀取權限,置入Webroot msi安裝檔案

端點產品佈署 – 群組原則(GPO)安裝 – 建立群組原則 新增群組原則→電腦設定→軟體安裝→新增.msi檔案路徑

端點產品佈署 – 群組原則(GPO)安裝 – 指定群組連結原則

行動裝置產品佈署 支援行動裝置平台 行動裝置產品佈署方式 佈署步驟 Android iOS 手動安裝 電子郵件安裝 新增用戶 新增設備 送出設備邀請碼 安裝並鍵入邀請碼

行動裝置產品佈署 – 電子郵件安裝

行動裝置產品佈署 – 手動安裝

Technical Support An introduction to Webroot’s unique support tool “Open Webroot”, plus common support queries that you’ll see from customers.

Enzo ENZO 稱為雲端資料庫,對外稱為 Webroot 智慧網路 “WIN” (Webroot Intelligence Network) 資料庫連結了所有已知良好應用程式、惡意程式、正常行為與惡意行 為模式,但是並不包含應用程式運行資訊。

客戶支援診斷(工具) 客戶支援診斷工具是一項協助用戶可以方便與快速的在任何地方,讓原廠工程師可以的 接收您的需求並快速改善產品管道。 當工具在用戶端執行後,會自動傳送以下資訊: 掃描紀錄 用戶端操作的相關紀錄(升級路徑、安裝版本、已監控的檔案、掃描時間) 金鑰代碼, 用戶端版本, 完整作業系統資訊, 最後掃描時間, 電腦名稱 其他相關詳細資訊: 金鑰代碼 - 有效日期, 授權數量, 類型 金鑰已佈署的數量與狀態(啟用、未啟用) 控制台中已管理用戶的資訊 工具可以讓每個需要的用戶非常快速與簡單的在任何地方存取。 5個不同地理位置的支援中心,提供了全時且更為快速的服務。 建立案件,必須提供下列資訊才是有效的案件: 寄出的有效電子郵件帳號 主旨與內文提供有效內容 金鑰代碼

客戶支援診斷(工具) 下載位址:http://download.webroot.com/wsalogs.exe 收集系統資訊、上傳夾檔、LOG手動收集

客戶支援診斷(主控台)WSAB Logs WSAB Logs 預設將收集以下資訊: WSAB Logs 可以額外設定產生: WSA Logs 工具可以協物收集、壓縮與加密許多進階資訊紀錄並自動傳送至Webroot團 隊進行分析。 WSAB Logs 預設將收集以下資訊: 掃描紀錄 WRLog.log – 紀錄許多用戶端的詳細運作資訊。 完整事件紀錄 網路設定資料 登錄機碼檔案資訊 排程工作資訊 Hosts 檔案 微軟系統診斷資訊(System MSD) WSAB Logs 可以額外設定產生: Full Windows Dumps 指定路徑檔案

客戶支援診斷(主控台)WSAB Logs WSAB 可以透過主控台的”客戶支援診斷”遠端啟動。 WSA 紀錄會透過 PSCP 與加密FTP 協定連線回傳資料。

本機端點紀錄 位置: C:\ProgramData\WRData 或 C:\Documents and Settings\All Users\Application Data\WRData 掃描紀錄 (WRLog.log) 包含用戶操作的相關資訊 (升級位置、安裝版本、已監控檔案、檔案掃描時間) Wed 12-06-2013 17:35:12.0058 Begin Installation Wed 12-06-2013 17:35:12.0080 Installation successfully completed (WSASME.EXE/0) Wed 12-06-2013 17:35:12.0135 >>> Service started [v8.0.2.147] Wed 12-06-2013 17:35:13.0112 User process connected successfully from PID 8240, Session 1 Wed 12-06-2013 17:35:13.0195 Protection enabled Wed 12-06-2013 17:35:13.0232 Scan Started: [ID: 1 - Flags: 551/16] Wed 12-06-2013 17:35:13.0356 Connecting to 5 - 5 Wed 12-06-2013 17:36:02.0976 Connected to B2 Wed 12-06-2013 17:39:10.0684 Scan Results: Files Scanned: 45498, Duration: 3m 57s, Malicious Files: 0 Wed 12-06-2013 17:39:12.0309 Scan Finished: [ID: 1 - Seq: 69406558] 監控: Wed 20-03-2013 12:23:28.0173   Monitoring process c:\documents and settings\username1\local settings\temp\tmpf7d91154\p.exe [36C62CF759055DA9D5671DE1EE090733]. Type: 9 (7471) 檔案行為定義: Wed 20-03-2013 12:23:35.0142   Blocked process from accessing protected data: C:\Documents and Settings\username1\Local Settings\Temp\tmpf7d91154\p.exe [Type: 10] 即時檔案封鎖: Wed 20-03-2013 12:28:23.0798   Infection detected: c:\documents and settings\username1\local settings\temp\165393625.exe [MD5: D4859E9ED812242F1FF7EAB9DFA4F5E0] [3/00080000] [W32.Infostealer.Zeus] Wed 20-03-2013 12:28:23.0798   File blocked in realtime: c:\documents and settings\username1\local settings\temp\165393625.exe [MD5: D4859E9ED812242F1FF7EAB9DFA4F5E0, Size: 317440 bytes] [524288/00000003]

如何聯繫Webroot 技術支援 原廠回報技術服務問題的主要管道。 問題回報程序步驟: 開啟主程式畫面,點擊”支援服務/社群” 瀏覽器會開啟客戶產品支援網頁 點擊”傳送訊息給支援團隊” 輸入電子郵件帳號,點擊”確定” ”主旨”欄位輸入問題,下拉選擇您的問題服務項目分類,”訊息”欄位輸入您的問 題敘述。 點擊”寄送至Webroot支援”即可

如何聯繫Webroot 技術支援 問題提報與查詢:http://zh-detail.webrootanywhere.com/howcanwehelp.asp 檔案查詢與回報:主畫面→公用程式→報告→提交檔案 原廠論壇:https://community.webroot.com/t5/Business/ct-p/ent0 原廠知識庫:http://www.webroot.com/us/en/support/support-business 原廠威脅部落格:http://www.webroot.com/blog/ 網址與IP評等查詢:http://www.brightcloud.com/tools/url-ip-lookup.php 網頁類別回報:http://www.brightcloud.com/tools/change-request-url- categorization.php IP信譽評等回報:http://www.brightcloud.com/tools/change-request-ip-reputation.php 網址信譽評等回報:http://www.brightcloud.com/tools/change-request-url- reputation.php

Q&A

Thanks!