※ 安裝更新伺服器（LUA）

1.   執行「LUAESD_CH.exe」。

 

2.   正在擷取檔案。

 

3.   點選「下一步」。

 

4.   選取「我接受該授權合約中的條款」，接著點選「下一步」。

 

5.   確認安裝路徑以及更新檔下載路徑，接著點選「下一步」。

 

6.   輸入「使用者名稱」、「密碼」以及管理員「電子郵件」，接著點選「下一步」。

 

7.   接著點選「安裝」。

 

8.   安裝中。

 

9.   安裝完成，點選「完成」。

 

 

※ 設定更新伺服器（LUA）

1.   執行「LiveUpdateAdministrator」。

 

2.   點選「繼續瀏覽此網站（不建議）」。

 

3.   輸入「使用者名稱」和「密碼」，接著點選「登入」。

 

4.   點選「架構」。

 

5.   點選「新增產品」。

 

6.   點選「Symantec Endpoint Protection」。

 

7.   於下方網頁選取欲加入更新的 Symantec Endpoint Protection 版本。

 

8.   接著將網頁拖曳至最下方，點選「確定」。

 

9.   點選「架構」→「喜好設定」，設定清除更新檔頻率和時間。

 

10.   接著拖曳至最下方點選「更新」。

 

11.   點選「架構」→「派送中心」，勾選「Default Production Distribution Center」，接著點選「編輯」。

 

12.   於「產品清單」旁點選「新增」。

 

13.   選取「所有產品」，接著點選「確定」。

 

14.   設定完成，將畫面拖曳至最下方，點選「確定」。

點選「下載與派送」→「排程」，接著點選「新增下載」。

 

10.   輸入「排程名稱」，於選取產品的部份點選「新增」。

 

11.   選取產品，接著點選「新增」。

 

12.   確認剛剛所設定的產品，接著選取排程，最後點選「確定」。

 

13.   點選「下載與派送」→「排程」，接著點選「新增派送」。

 

14.   輸入派送排程名稱，接著點選「新增」。

 

15.   選取產品，接著點選「新增」。

 

16.   選取排程，接著點選「確定」。

 

17.   選取「下載排程」，接著點選「立即執行」。

 

18.   下載中。

 

19.   下載完成後，請選取「派送排程」，接著點選「立即執行」。

 

20.   帶下載皆完成後，請點選「架構」→「派送中心」，複製下方「URL」。

 

21.   登入 SEPM，點選「管理員」→「伺服器」→「本機站台」→「編輯站台屬性」。

 

22.   選取「LiveUpdate」，接著點選「編輯來源伺服器」。

 

23.   點選「使用指定的內部 LiveUpdate 伺服器」，接著點選「新增」。

 

24.   輸入「伺服器名稱」，並將剛剛的 URL 貼上，並輸入 LUA 伺服器帳號密碼，接著點選「確定」。

 

25.   設定完成，請點選「確定」。

 

26.   接著再點選「確定」。

 

27.   接著點選「下載 LiveUpdate 內容」。

 

28.   點選「下載」，即可使用剛剛所設定的 LUA 伺服器。

1.   解壓縮「SymantecEncryptionWeb3.3.2MP11Full.zip」。

 

2.   打開「Symantec Encryption Server」，可看到一個 ISO 檔案。

 

3.   掛載之後，進行安裝，輸入鍵盤「Enter」。

 

4.   選擇「Continue」，接著輸入鍵盤「Enter」。

 

5.   輸入「IP Address」、「Netmask」，接著選取「OK」，接著輸入鍵盤「Enter」。

 

6.   輸入「Gateway」、「Primary DNS」、「Secondary DNS」，接著輸入鍵盤「Enter」。

7.   輸入「Hostname」，必須為FQDN，接著輸入鍵盤「Enter」。

 

8.   安裝中。

 

9.    安裝完成，請登入下列網址。

 

10.   點選畫面中間下面「箭頭」。

 

11.   將「License Agreement」拉至最底，點選「I Agree」。

 

12.   點選「New Installation」，接著點選畫面右下角箭頭。

 

13.   輸入時區相關資訊，接著點選畫面右下角箭頭。

 

14.   確認資料無誤後，接著點選畫面右下角箭頭。

 

15.   確認上述資訊無誤，接著點選「Done」。

 

16.   Server 重新啟動中，並且使用新的 URL 登入系統。

 

17.   輸入「License Number」，勾選「Enable Mail Proxies」（若僅使用全硬碟加密可不勾選）接著點選畫面右下角箭頭。

 

18.   輸入密碼（需符合複雜度原則），輸入Email，接著點選畫面右下角箭頭。

 

19.   選取模式，接著點選畫面右下角箭頭。（若啟用 Enable Mail Proxies 需設定）

 

20.   輸入「Mail Server」、「Primary Domain」，接著點選畫面右下角箭頭。（若啟用 Enable Mail Proxies 需設定）

 

21.   設定「Primary Domain」，接著點選畫面右下角箭頭。（若無啟用 Enable Mail Proxies 需設定）

 

22.  點選「Skip」。（啟用 Enable Mail Proxies 才需設定）

 

23.   點選「Backup Key」。

  

 

24.   儲存 Key。

 

25.   備份 Key 完成後，接著點選畫面右下角箭頭。

 

26.   安裝完成，點選「Done」。

 

27.   重新啟動中。

 

28.   輸入剛剛安裝時所設定的帳號密碼、接著點選「Login」。

 

29.   登入系統。

問題：

Symantec Endpoint Protection（SEP）將 DWH * .tmp 檔案建立並標記為惡意程式。

• 通常檔案名稱通常為 DWHxxxx.tmp
• 檔案路經通常為：%App Data%\Symantec\ 或是 %TEMP% 資料夾。

解決方案：

※ 從管理主控台修改設定

1.   開啟「政策」→「病毒和間諜軟體防護」，開啟使用中的政策。

 

2.   於「Windows 設定」→「進階選項」→「隔離」，選取「一般」頁籤，於當新的病毒定義檔到達時，選取「不執行任何動作。

 

3.   選取「清理」頁籤，於修復的檔案勾選「啟用自動刪除修復的檔案」，並設定天數，接著勾選「刪除最舊的檔案，將資料夾大小限制在 MB」（預設為 50  MB），接著點選「確定」。

 

4.   重新開機進入安全模式，清空 %App Data%\Symantec\ 和 %TEMP% 資料夾。

 

※ 清空 Client .DWH files 檔案

1.   停止 Symantec Endpoint Protection service。

• 開啟 Windows 中「執行」。

• 輸入「smc –stop」

• 點選「確定」。

 

◎ 以下指令請使用「命令提示字元」執行，或手動執行

2.   刪除使用者 Temp 資料夾內容

（請依照使用者名稱更改 ” NAMEOFUSER “）

Windows 2000/XP/2003:
DEL /F /Q “C:\Documents and Settings\NAMEOFUSER\Local Settings\Temp”

Windows Vista/7/2008:
DEL /F /Q “C:\Users\NAMEOFUSER\AppData\Local\Temp”

 

3.   刪除 C:\ 底下的 Temp 資料夾內容

DEL /F /Q C:\temp 

 

4.   刪除 Windows Temp 資料夾內容

DEL /F /Q C:\WINDOWS\Temp 

 

5.   刪除 xfer 和 xfer_temp 資料夾內容
（請對照 Symantec Endpoint Protection 版本號輸入 “silo“）

Windows 2000/XP/2003:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\”
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\xfer\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\”
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\”

Windows Vista/7/2008:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer_tmp\”
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\xfer\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\”
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\”

 

6.   刪除隔離區資料夾
（請對照 Symantec Endpoint Protection 版本號輸入 “silo“）

Windows 2000/XP/2003:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”
RD /S /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\”
RD /S /Q “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\”

Windows Vista/7/2008:
Symantec Endpoint Protection 12.1
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”
RD /S /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
DEL /F /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\”
RD /S /Q “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\”

 

7.   重新建立隔離區資料夾
（請對照 Symantec Endpoint Protection 版本號輸入 “silo“）

Windows 2000/XP/2003:

Symantec Endpoint Protection 12.1
MD “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
MD “C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine\”

Windows Vista/7/2008:

Symantec Endpoint Protection 12.1
MD “C:\ProgramData\Symantec\Symantec Endpoint Protection\silo\Data\Quarantine\”

Symantec Endpoint Protection 11.x
MD “C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine\”

 

8.   啟動 Symantec Endpoint Protection service。

• 開啟 Windows 中「執行」。

• 輸入「smc –start」

• 點選「確定」。

 

參考來源：https://support.symantec.com/en_US/article.TECH102953.html

1.   開啟「Symantec Endpoint Encryption Manager」。

 

2.   展開「Symantec Endpoint Encryption Software Setup」。

 

3.   點選「Management Agent」。

 

4.   設定「限制密碼嘗試」（僅支援 Drive Encryption），登入 User Client（或是使用忘記密碼的問題答覆），若失敗四次，要等候 1 分鐘才能進行第五次嘗試；若第五次也失敗，就要等候 5 分鐘才能再重新進行登入嘗試

5.   設定「密碼複雜度」（僅支援Removable Media Encryption），接著點選「Finish」。

 

6.   選取存檔路徑，接著點選「存檔」。

 

7.   存檔完成，點選「確定」。

 

8.   從剛剛所選定的路徑可看到檔案。

※ 安裝前置作業

• 請先安裝「Microsoft .NET Framework v3.5」
• 下載安裝壓縮檔「Symantec_Endpoint_Encryption_11.0.1_MP1_EN」
• 解壓縮安裝檔「Symantec_Endpoint_Encryption_11.0.1_MP1_EN」

※ SEE Management Agent 安裝

1.   執行「SEE Management Agent」（請依照作業系統執行 64 位元安裝程式或是 32 位元安裝程式 ）。

 

2.   點選「Next」。

 

3.   點選「Next」。

 

4.   選取「I accept the terms in the license agreement」，接著點選「Next」。

 

5.   選取「None (password authentication only)」，接著點選「Next」。

 

6.   確認安裝路徑，接著點選「Next」。

 

7.   取消勾選「Use SEE Server」，接著點選「Next」。

 

8.   選取「Create a new OTP key」，接著點選「Next」。

 

9.   輸入管理密碼，接著點選「Next」。

 

10.   確認安裝，接著點選「Install」。

 

11.   安裝中。

 

12.   SEE Management Agent 安裝完成，點選「Finish」。

 

※ SEE Drive Encryption 安裝

1.   執行「SEE Drive Encryption」（請依照作業系統執行64位元安裝程式或是32位元安裝程式 ）。

 

2.   點選「Next」。

 

3.   選取「I accept the terms in the license agreement」，接著點選「Next」。

 

4.   確認安裝，接著點選「Install」。

 

5.   安裝完成，點選「Finish」。

請先準備於授權書上查詢 Support ID

※ 電話建立案例：

請撥打國際免付費 0080-186-1032，並依照語音指示選擇

 

※ 網站建立案例：

1. 開啟網頁 https://my.symantec.com，輸入帳號密碼，點選「登入」。

2. 點選「建立案例」。

3. 選取「技術 (需要選取一種產品)」，於產品名稱輸入產品關鍵字，接著點選產品「Endpoint Protection」，最後點選「繼續」。

4. 於產品版本輸入版本關鍵字，接著選取版本，輸入其他資料，接著點選「繼續」。

5. 確認輸入資料無誤，接著點選「我仍需要協助！」。

6. Case 開啟成功。

7. 接著會收到一封信件，代表 Case 已開啟。

預防措施

• 不要按照電子郵件中不認識的網絡連結或上傳提交任何資料至網路連結中。
• 開啟電子郵件中的附件時要小心。
• 保持作業系統和各項軟體，包括防毒軟體，為最新的版本與最新的更新。
• 進行所有系統／資料定期備份，以避免受到攻擊的嚴重後果。
• 在電子郵件中使用應用程式和裝備控管來阻擋已知附件類型（.SCR、.CAB、.EXE）

如何使用應用程序和設備控制阻止用戶。

1. 登入到 Symantec Endpoint Protection Manager 中（SEPM）。

 

2.  點選「政策」。

 

3.  點選「應用程式與裝置控制」。

 

4.  點選「新增應用程式與裝置控制政策」。

 

5.  在左上角點選「應用程式控制」。

 

6.  點選「新增」。

 

7.  輸入「規則集名稱」、「規則名稱」。

 

8.  於「套用此規則至下列程序」，點選「新增」。

 

9.  請您設定欲禁止下載檔案的程序。例：IEXPLORE.EXE、OUTLOOK.EXE 或 CHROME.EXE。

 

10.  點選「確定」。

 

11.  於左邊規則下方點選「新增」。

 

12.  點選「新增條件」。

 

13.  點選「檔案和資料夾存取嘗試」。

 

14.  於「套用至下列檔案和資料夾」點選「新增」。

 

15.  輸入”*.extension”。例如：“* .EXE，* .SCR”（不帶引號）。

 

16.  點選「確定」。

 

17.  於「動作」頁籤中，讀取嘗試和建立、刪除或寫入嘗試，選取「拒絕存取」。

可另外選取：通知使用者，並設定通知內容，例如「不允許下載該檔案，請聯繫管理員」。

 

18.  點選「確定」。

 

19.  點選「已啟用」，接著選取「正式」。

20.  點選「確定」。

 

21.  點選「是」欲套用該政策。

 

22.  選取欲套用的群組，接著點選「指派」。

23.  選取「是」。

 

24.  套用成功。

 

http://www.symantec.com/connect/blogs/support-perspective-ctb-locker-and-other-forms-crypto-malware

問題：

• 如何透過指令移除 Agent

產品：

• Symantec Data Center Security
• Symantec Embedded Security: Critical System Protection

解決方案：

MsiExec.exe /X{<PRODUCT CODE>} /qn /l*v!+ <UNINSTLL LOG FILE>

上面的指令結構顯示排序：

在<PRODUCT CODE> 是必要參數。可從以下登錄機碼目錄查詢

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

Windows 2008 64位系統，<PRODUCT CODE>是在以下目錄：

HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

瀏覽右方列表。從右方列表 Display Name 確認產品名稱，接著可複製 UinstallString 字串。

Symantec Data Center Security

Symantec Embedded Security: Critical System Protection

 

例如：
MsiExec.exe /X{3D24482F-98BD-48DD-AA62-8B24BFDE7329} /qn /l*v!+ C:\SISAgentUninstall.log

上述指令將於背景模式移除 Agent 並且，將移除 Log 儲存至 C:\SISAgentUninstall.log

 

※使用上述指令前請自行確認 Product Code

產品架構

 

 

https://support.symantec.com/en_US/article.HOWTO95309.html 

 

產品介紹

 

 

 

 

 

 

 

 

 

 

1. 「控制台」→「時鐘、語言和區域」→「地區及語言」→「變更位置」→「位置」，將目前位置修改為「台灣」。

2. 「控制台」→「時鐘、語言和區域」→「地區及語言」→「變更位置」→「系統管理」，將非Unicode程式目前使用的語言，修改為「中文 (繁體，台灣)」。

3. 開啟「登錄編輯程式」找到「HKEY_CURRENT_USER\Control Panel\International」，檢查「locale」值是否為「409」，若是請修改為「404」。（修改登錄值前，請自行做好備份）

4. 重新開機應可恢復正常。