보안관닷컴 [우키의 보안 이야기]

  Trendmicro는 세계백신시장에서 점유율 3위의  보안기업입니다.  타 업체와는 달리  바이러스방어와 연관된 사업에만 집중하고 있는 기업이지요. 과거에 국내의 A사와  글로벌기업인 S사의 백신을 사용한 적이 있었는데  4년전부터 Trendmicro의 Officescan이란 백신시스템을 사용하고 있습니다.   개인이 백신을 사용할 때의 주된 선택 기준은 백신자체의 치료율입니다.  하지만  기업에서 백신시스템을 선택할 때의 기준은  운영및 통제가 얼마나 쉽고 정확하게 이루어 지느냐라고 할 수있습니다.  치료율이 좋은 백신들이 대부분 무겁다는 사실은  기업에서는 그다지 반가운 일이 아니지요..    Officescan이 확실히 치료율이 우수한 백신이라고 하기는 힘든 면이 있습니다.  하지만 기업내에 흩어져 있는 수많은 클라이언트들을 한눈에  보고 쉽게 관리할 수 있게 해주는 면에 있어서는 탁월하다고 할 수 있습니다.

  기업내에선 네트웍 대역폭이 매우 작은 지점들이 다수 존재합니다.  백신은 매일 한번씩은 패턴 업데이트를 다운받아야 하는데  패턴의 용량이 갈수록 커지는 현실을 놓고 볼때   어떻게 백신 클라이언트들을 관리할 것이냐는 어려운 문제라고 할 수있습니다.  트렌드에서는 기존에 Update agent를 통해서  이런 고민에 대해서 해결책을 제시해왔고  최근 Officescan10 버전이 나오면서 Smartscan이라고 하는 새로운 Cloud방식의 관리로  새로운 해결책을 제시했습니다.  Smartscan은 차후에 다시 언급하기로 하고 여기서는 Update agent을 구성하고 사용하는 방법에 대해서 정리해보았습니다.

==================================================================
상      황 : 1M 대역폭의 전용선 에  50대의 PC를 보유하고 있는  A지점
요구사항: 50대의 pc중에서 한 대만 중앙서버로부터 패턴을 업데이트 받고 
              이 pc를 통해  내부의 다른pc들에 설치된 백신이 업데이트 되게하라.
              백신업데이트때문에  업무트래픽이 느려지거나 장애가 발생해서는 안된다.
해 결 책:  지점의 한 PC를 Update agent로 설정하고  
              A 지점에서는 이 update agent를 통해서  패턴을 업데이트 받게 한다.
===================================================================

1. 준비: 일단 Updateagent로 사용할 시스템을 준비한다.  서버가 아니라도 상관이 없다 (XP도 가능)
    될수있으면 24시간 켜있는 시스템을 활용하는것이 좋다. (이중화를 위해 여러대를 설정할 수도 있다)
    지점의 시스템은 Officescan 백신 client가  이미 설치되어 있어야 한다.

2.  먼저 Update agent를 만들어야 한다.  (중앙서버의 웹콘솔에서 작업 가능)
   1) Networked Computers / Client Management 메뉴로 이동
   2) Update agent로 사용할 시스템을 클릭한다.
   3) 상부의 Settings메뉴를 클릭하여  [Update agents settings]항목을 클릭한다.    4) update agent settings 창이 나오면 아래와 같이  [clients can act as Update agents] 항목을 체크한다   5) 이제 막 만든 Update agent를 웹콘솔에서 확인할 수 있다.  아이콘이 색다르다. (약간의 시간 소요)
3.  이제는 Update 정책을 만들어 주어야 한다.
   1) 웹콘솔에서  Updates / Network computers/ Update source 메뉴로 이동
   2) A지점의 네트웍 대역을 입력한다.
   3) 조금 전에 만든 Update agent가 리스트에 나오는데  이것을 선택해준다.
   4) 저장
 
4. Update정책의 확인하고 배포합니다.
   1) A지점의 아이피 대역과  Update agent 시스템의 업데이트 주소를 확인합니다.
   2) Notify All Clients 버튼을 클릭하여  정책을 배포합니다.
  
    3) 제안: Update agent외의 어떤 pc도 중앙서버에서 패턴을 받아가는 일이 없도록 하기위해서
        Update source 메뉴의 상단에 보이는 [Update from Officescan server if all ......]을 체크한다.
        실제로 Update agent가 다운되면  A 지점의 pc들은  중앙서버가 아닌 인터넷상에 존재하는
        Trend update  서버에 접속하여  업데이트를 받게된다.  

5. Update agent의 정상 작동 확인
    1) 실제로 A지점의 백신클라이언트들이  Update agent로부터 업데이트를 잘 받아 갈 수 있을지 확인하려면
       http://update_agent_update_url/server.ini 를 접근해 본다.
       다운로드가 되면  update agent가 정상 작동하고 있는 것이다.  

     2) 클라이언트 PC의 아래 경로에서 실제 클라이언트들의 업데이트 로그를 확인해본다.
       디렉토리 위치: C:\Program Files\Trend Micro\OfficeScan Client\ConnLog\
       가장 확실한 점검이죠.. ^^

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신 officescan, Updateagent

1. Go to Services and stop the OfficeScan Master Service.
  
2. Open a command prompt and then go to C:\Program Files\Trend Micro\OfficeScan\PCCSRV.
  
3. Run the following command:
    SVRSVCSETUP.EXE -uninstall
4. Exit the command prompt.
 
5. Open the Registry Editor.
   Important: Always back up the whole registry before making any modifications. Incorrect changes to the registry can cause serious system problems.

6.Go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
 
7.Make sure that ofcservice hive is deleted.
 
8.Go to HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\OfficeScan\.
 
9.Delete the OfficeScan hive.
 
10.Go to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
 
11.Delete the OfficeScan Management Console-<ServerName> folder.
 
12.Go to the C:\Program Files\Trend Micro\OfficeScan\PCCSRV folder.
 
13.Undo the sharing of the \PCCSRV folder.

14.Reboot the server.
 
15.Go to C:\Program Files\Trend Micro\OfficeScan\PCCSRV and delete the \PCCSRV folder.
 
16.Delete the OfficeScan Web site in the Internet Information Services (IIS).
    a.Open the IIS console.
    b.Expand the ServerName.
    c.If you installed OfficeScan on a separate web site, go to Web Sites folder and then delete OfficeScan.
    d.If you installed OfficeScan virtual directories under Default Web Site, go to Default Web Site and then delete the OfficeScan virtual directory.
 

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신 officescan

     Note: Make sure you have logged on using an account with Administrator privileges.
 1. Right-click on the OfficeScan system tray icon then select Unload OfficeScan.
If you are asked for a password, enter the unload password then click OK. If you do not know the password, skip this step.
 2. Open the Windows Services console (services.msc).
 3. Stop the following services:
   - OfficeScanNT Listener
   - OfficeScanNT RealTime Scan
   - OfficeScanNT Personal Firewall
    Note: The services will already be stopped if you were able to unload the OfficeScan client in Step 1.
 4. Click Start > Programs, right-click on Trend Micro OfficeScan Client then click Delete.
 5. Open the Registry Editor (regedit.exe).
   Important: Always make a back up copy of the whole registry before making any modifications. Incorrect changes to the registry can cause serious system problems.
 6. 
    a. Delete the following registry key(s):
         If only the OfficeScan client program is installed:
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro
         If there are other Trend Micro products installed:
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp
    b.Delete the following registry key:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT
    c. Delete the following registry value:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      Name: OfficeScanNT Monitor (REG_SZ)
    d. Delete all instances of the following registry keys in the following locations:
            Locations:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
           Keys:
       ntrtscan
       tmcfw
       tmcomm
       TmFilter
       Tmlisten
       tmpfw
       TmPreFilter
       TmProxy
       tmtdi
       VSApiNt
       ntrtscan
7. Close the Registry Editor.
8. Click Start > Settings > Control Panel then double-click System.
9. Click the Hardware tab then click Device Manager.
10.Click View > Show hidden devices.
11.Expand Non-Plug and Play Drivers then uninstall the following devices:
    tmcomm
    Trend Micro Filter
    Trend Micro PreFilter
    Trend Micro TDI Driver
    Trend Micro VSAPI NT
 
12. Uninstall the Common Firewall Driver:
    a. Right-click on My Network Places then click Properties.
    b. Right-click on Local Area Connection then click Properties.
    c. On the General tab, select Trend Micro Common Firewall Driver then click Uninstall.
      For Windows Vista clients, do the following:
    a. Right-click on Network then click Properties.
    b. Click Manage network connections.
    c. Right-click on Local Area Connection then click Properties.
    d. On the Networking tab, select Trend Micro Common Firewall Driver then click Uninstall.
13. Restart the computer.
14. Delete the following directory:
     If only the OfficeScan client program is installed:
     C:\Program Files\Trend Micro
     If there are other Trend Micro products installed:
     C:\Program Files\Trend Micro\OfficeScan Client

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신 officescan-uninstall