» Symantec Endpoint Protection - SEP

Focusrite

Цитата:

Как теперь его выдрать из этого пакета отдельно?

"Выдрать" никак, а выборочно установить неуправляемый клиент SEP, оставив только компонент <Брандмауэр> можно. И никто его иначе не обзывал, просто теперь это "Брандмауэр в составе Symantec Endpoint Protection". А чем не нравится полный клиент SEP? Не первый год работает, денег не просит, систему не грузит...

mig73

Цитата:

А чем не нравится полный клиент SEP?

да как-то люди 1Гб выше пишут, что ставят:

Цитата:

Устанавливаю на XP "Клиент уменьшенного размера", после LiveUpdate размер базы стандартый (~1Gb).

А фаерволл тот, весил 25 мб вроде бы, да и опять выше пишут проблемы постоянно какие-то:
http://forum.ru-board.com/topic.cgi?forum=5&topic=24492&start=2960#2

и почему бесплатно, если Вы в ветке варезника пишите:

Цитата:

Если я ничего не путаю, то триал 30 дн.

Focusrite

По приведенной вами ссылке речь не о проблеме, а о новой возможности облегченного варианта установки полного клиента на встраиваемые спец. системы (Embedded), которым не нужны такие большие базы и уровень защиты. Весь клиент займет на диске прилично места (в основн. ант-ые базы), один же брандмауэр займет на диске около 450 MB вместе с базой защиты от вторжений.
Голого фаервола (25 MB) как раньше больше не будет, имхо лучше поискать др. аналогичный и актуальный тогда.

Триал касается только корпоративного модуля управления SEPM, который вам не нужен. Вам нужен только клиент 32 или 64 bit.

mig73
так он не бесплатный же? или что надо качать чтоб был бесплатный, но не ломаный?

Focusrite
За только неуправляемый клиент Symantec денег не просит.

А какую надо скачать?


Цитата:

Russian
Symantec_Endpoint_Protection_12.1.6_Full_Installation_RU.exe 675,5Mb
Symantec_Endpoint_Protection_12.1.6_SEPM_RU.exe 482,8Mb
Symantec_Endpoint_Protection_12.1.6_All_Clients_RU.zip 230,4Mb
Symantec_Endpoint_Protection_12.1.6_Win64-bit_Client_RU.zip 80,0Mb
Symantec_Endpoint_Protection_12.1.6_Win32-bit_Client_RU.zip 65,3Mb

на домашнюю машину надо.

Кстати там ссылки на rghost не работают:
http://forum.ru-board.com/topic.cgi?forum=35&topic=37917&start=2900#21

Focusrite
Зачем вам ссылки на rghost? См. какой разрядности у вас система и качайте только клиент (x64) - Symantec_Endpoint_Protection_12.1.6_Win64-bit_Client_RU.zip 80,0Mb или (x32) - Symantec_Endpoint_Protection_12.1.6_Win32-bit_Client_RU.zip 65,3Mb.

mig73
Symantec_Endpoint_Protection_12.1.6_Win32-bit_Client_RU.zip 65,3Mb.

65.3 мб, а где тогда:

Цитата:

брандмауэр займет на диске около 450 MB

Focusrite
Все в порядке. Для сокращения объема и повышения скорости установки из дистрибутива исключены антивирусные базы, текущие базы будут подключены после первого же обновления клиента.

Как добавить в исключения службу Ammyy Admin? Сам файл AA_v3.exe, SEP не трогает, а службу регулярно "убивает".

dianaa76
в фаерволле под XP был раздел Tools-> Application или кнопка Applications и там можно было выбирать приложения и правила для них (спрашивать, разрешить, запретить)
Правда это под приложения, а не под службы.

mig73
А как задать в этом Фаерволле максимальный запрет на все соединения, кроме разрешенных, а то вот почитал, народ жалуется что по всем портам лезут. Причём в Seagate такого не было.

Focusrite

Цитата:

А как задать в этом Фаерволле

Знать что и по каким портам ходит, соответственно общий алгоритм такой: Создаете разрешающие правила, а в конце разрешающего списка правил - блокировать все.
Кроме того в SEP, <Защита от сетевых угроз> - <Параметры> - "Спрашивать перед разрешением трафика приложения". Тогда он будет спрашивать, а вы принимаете решение пускать в сеть или нет. И еще вот Тема по настройке персональных файерволов.

mig73
спасибо большое!

А интересно, если включить "Спрашивать перед разрешением трафика приложения",
то при попытке не приложений, а именно Виндоуз когда сам полезет за обновлениями и прочим, тоже спрашивать будет?

Просто хотелось бы закрыть вообще всё, кроме http, skype,icq и ftp.

Кстати, я смотрел по трафику как работает Скайп, так он подключается к сотни разным портам и постоянно конектит с Пакистанскими какими-то IP , специалисты по Скайпу вроде бы сказали что так оно и должно быть, хотя у меня сомнения. Но в таком случае Скайп это дыра ведь.

оффтоп: А что Вин7 такая дырявая?)
Я как говорил раньше, Seagate Firewall продержал XP лет 7 без всяких антивирусов.
Приложения никакие не выпускал, всегда спрашивал.
А когда сканировали порты, и начинали передавать трафик, то он блокировал это IP на ооочень долго).
И вот всего лишь эти 2 фишки, позволили прожить XP – 7 лет без переустановок и вирусов.

А в SEP есть такое тоже? Tools -> Options->Security->Блокировка входящих IP (Automatically Block attackers IP-adress и время (на сколько их блокировать).

Цитата:

Виндоуз когда сам полезет за обновлениями и прочим, тоже спрашивать будет?
Просто хотелось бы закрыть вообще всё, кроме http, skype,icq и ftp.

Будет запрос на любые исходящие действия, только как вы это будете определять если svchost куда-то рванул. Еще раз повторю - тогда надо знать всю исходящую активность по портам для ОС (а это не возможно). И обратите внимание уже на встроенные правила.

Цитата:

Automatically Block  attackers IP-adress и время (на сколько их блокировать)

Да конечно, в Параметрах защиты от сетевых угроз.

p.s. Заблокируйте все, а потом по журналам попробуйте определить надо оно вам или нет

mig73 (20:35 30-06-2015)
Цитата:

Еще раз повторю - тогда надо знать всю исходящую активность по портам для ОС (а это не возможно).

Не то чтобы невозможно, но возни многовато, да и смысла нет. Проще ему все исходящие разблокировать.
В этом смысле с виндовым фаером проще. Там все правила для винды уже есть, и с ними проще разобраться.

boi1eI
Согласен, вообще брандмауэр в SEP требует приличных знаний и не умеет блокировать по доменному имени... В гугле много сайтов для проверки уязвимости фаера, кто желает может заняться проверкой настроек по-умолчанию и отписаться, будет интересно.

boi1eI,

Цитата:

Проще ему все исходящие разблокировать.

чтоб дать троянам сливать наши пароли?))


Цитата:

В этом смысле с виндовым фаером проще.

что ж он тогда всё пропускает, в отличии от Sygate Firewall ), хотя у меня речь про Брендмауер в XP, может в семёрке он конечно лучше. Хотя судя по тому что в какой-то ветке тут отписывали что по всем портам грязь пускает, то видимо не лучше.



Добавлено:
скайп вот интересно себя ведёт, причём с этими людьми я не переписываюсь:
http://s017.radikal.ru/i415/1506/b4/c88eed53d0f2.jpg

Focusrite

Цитата:

 в фаерволле под XP был раздел Tools-> Application или кнопка Applications и там можно было выбирать приложения и правила для них (спрашивать, разрешить, запретить) Правда это под приложения, а не под службы.

При чем здесь файрвол? Файрвол не удаляет службы. Вопрос про SEP.

Валялся на одном компе древний Сумантек, даже какие-то трояны ловил. Только непонятно, откуда он взял лицензию.

dianaa76

Цитата:

Как добавить в исключения службу Ammyy Admin?

В настройках клиента зайди в исключения - исключения угроз безопасности - известные угрозы. Там найди в списке Remacc.Ammy и поставь напротив него галку.

Victorkoly
Ну валялся скорее Norton Antivirus, а он и будет ловить по актуальной базе, просто обновляться не будет.

mig73

Цитата:

За только неуправляемый клиент Symantec денег не просит.

А почему так? неуправляемый, он упрощённый что ли какой-то?

При установки SEP хочет выключить Windows Defender, обязательно ли выключать?

И хочет включить Автоматическую свою защиту, а что это значит?

Как можно отключить обновления и скачку баз, если такое там бывает, что бы он не накачал несколько гигов?

нашёл тут на форуме:


Цитата:

Смотрите... Фаерволы делятся грубо говоря на две части. Просто стенка. Прога стартует с каталога, фаер спросил можно или нет, разрешить или нет требуется решить от вас, да или нет, и на этом закончились все телодвижения (Комодо 2,4). Второй вариант. Типа Агнитума. Проактивная защита HIPS которая контролирует все изменения с прогой, ее котрольную сумму, и при ее изменении (при обновлении или заражении ее трояном она меняется) спрашивает допустить ли ее изменения, а потом спросит пропустить ли ее такую измененную в сеть, и на какой IP и на какой DNS и тд, и тп. Хотя автоматический режим тоже есть, но я рассказываю те возможности что бывают в хороших и продвинутых фаерах. Ну и, например, Комодо 2,4- просто стенка. Вход+выход и все... 3,0 и там билды на основе 3 это уже и HIPS и более тщательные контроль на нулевом уровне и все прЭлести навороченного фаера.
Хотя поверьте, использования такого фаервола класса Комодо 2,4 это фактически стенка только с одной стороны-Вашей. Червей он не заметит, изменениями троянами тоже. Ну тоесть простые фаерволы надо использовать тогда, когда хотите просто не пускать что от себя лезть на сайты за обновами без вашего ведома, что бы активация не слетела, а как стена из вне, без современных наворотов они малоэффективны.

А SEP с HIPS или нет?

Цитата:

неуправляемый, он упрощённый что ли какой-то?

Отсутствует централизованное управление, конроль устройств, центральный карантин и др. фунц. для сети предприятия...

Цитата:

При установки SEP хочет выключить Windows Defender, обязательно ли выключать?

Необходимость в Defender отпадает, лишний расход ресурсов и скачка не нужных баз. Лучше выключить.

Цитата:

хочет включить Автоматическую свою защиту, а что это значит?

Ну как что, именно вкл. антивирус. Его же можно и выключить например.

Цитата:

Как можно отключить обновления и скачку баз,

Изсенить параметры > Управление клиентами > Настроить параметры > LiveUpdate. Здесь можно выключить или тонко настроить.

Цитата:

А SEP с HIPS или нет?

К этому классу у него относится Превентивная защита (SONAR). Только нет настоящей песочницы и скудное обнаружение изменений системы.

mig73

Цитата:

скудное обнаружение изменений системы.

ну он хотя бы покажет как прошлый Сигейт, например:
"Файл opera.exe был изменён, у него было разрешение доступа в сеть, что теперь с ним делать?"

а режим Обучения как включить в SEP?

Цитата:

ну он хотя бы покажет как прошлый Сигейт, например:  
"Файл opera.exe был изменён

Да покажет, это уже к фаеру относится. Windows Firewall то же переведется в ручной режим запуска.

Цитата:

а режим Обучения как включить в SEP?

Так он и так учится на запросах по приложениям. Новый файл - запрос, изменен - запрос. Спец. правила в фаере только вручную.

mig73 09:01 11-07-2015
Цитата:

Необходимость в Defender отпадает, лишний расход ресурсов и скачка не нужных баз.

Немного офф-топ, но уже давно хотел спросить: в какой мере являются полноценной защитой Microsoft-овский Defender и встроенный в Windows' 7 штатный фаерволл? Или лучше всё-таки поставить "настоящий" антивирусный продукт от стороннего производителя вроде Symantec или Кашпировского? Пытался консультироваться по этим вопросам с Гуглом, но внятного ответа от него не получил.
Спасибо!


Цитата:

Только нет настоящей песочницы

А у кого из антивирусников есть?

oshizelly
Лично считаю, что специализированный пакет будет лучше. Но также знаю пользователей, для которых встроенных средств за глаза хватает. Наверное лучше поискать сравнения антивирусов за разные годы. В win7 фаер нормальный и проще чем в SEP. Про чистые песочницы писали на http://www.comss.ru/list.php?c=HIPS. Вообще своя проактивка в любом современном есть и в KIS, и в NIS, Comodo, ESET 4.x...

Цитата:

В win7 фаер нормальный

ну в Вин7 фаер выпускает вроде всё по умолчанию, а если всё заблокировать и после открывать, то там говорят не удобный эвент_лог, который еще сам по себе выключен изначально.

В первый день столкнулся с проблемой. Подхожу к ноутбуку, а сетевой экран (там где движется зелёный график в SEP входящего и исходящего трафика) во всю шпарит трафик ко мне, что-то скачивает. Такой поток обычно когда качают фильмы.
Обновления Win выключены.
LiveUpdate SEP’a тоже выключен через:
Изменить параметры > Управление клиентами > Настроить параметры > LiveUpdat

в Журнале (где время, порты, приложения) показывает что всё блокируется, всякие вещи по UDP и т.д.

А самое главное, что в том Сетевом экране (где график виден), нет ни одного приложения кроме браузера (который заблокировал специально) и несколько системных процессов, которые в порядке и трафик не передают. Лишь rasspppoe.sys (это к модему) во всю шпарит входящий трафик. Но какое конкретно приложение это делает - не понятно.
Еще где-нибудь можно посмотреть?

Focusrite
В меню <Вид> включите <Показать службы Windows>, <Показать широковещательный трафик> и <Сведения о приложении>. В столбцах <Всего входящих> и <Всего исходящих> наблюдайте за количеством трафика. Скрин вы не сделали, предположу, что ваш провайдер пингует вашу систему на присутствие активности, трафик при этом скачкообразный от 0B - 100B и вполне может ни кем не учитываться и происходит это не всегда, а время от времени. Если терзают сомнения - качайте HTTPNetworkSniffer и убеждайтесь, что никто у вас фильмы не качает