Ru-Board.club
← Вернуться в раздел «Программы»

» Symantec Endpoint Protection - SEP

Автор: SkyRE
Дата сообщения: 22.05.2014 11:59
oshizelly 17:39 02-05-2014
Цитата:
Есть компонент Application and Device Control driver (sysplant.sys), автоматически устанавливаемый при инсталляции пакетов Symantec Endpoint Protection. Однако этот компонент жестоко конфликтует с некоторыми сторонними приложениями, в частности, блокиреут запуск портабельных сборок VMware ThinApp (вот здесь статья об этом).
А я то думал, почему у меня перестали запускаться некоторые сборки.
Автор: SkyRE
Дата сообщения: 22.05.2014 21:16
Отключил этот "Application and Device Control driver (sysplant.sys)" переименованием и перезапуском, в Диспетчере устройств показало что устройство отсутствует. Но потрабельный офис так и вываливает с ошибкой.
Автор: SkyRE
Дата сообщения: 23.05.2014 00:36
Обновился до последнего SEP 12.1.4, не помогло.
Автор: oshizelly
Дата сообщения: 23.05.2014 01:44
SkyRE 21:16 22-05-2014
Цитата:
Отключил этот "Application and Device Control driver (sysplant.sys)" переименованием и перезапуском, в Диспетчере устройств показало что устройство отсутствует. Но потрабельный офис так и вываливает с ошибкой.

А что с другими сборками? Может, это именно Офис такой капризный? У меня под Windows' 7 x64 больше половины портабельных сборок из нескольких десятков опробованных глючат по-страшному.

Я пробовал разобраться, на каком этапе вмешивается Application and Device Control driver (sysplant.sys) и что именно он делает.

В самый первый раз, когда еще не существуют ни файлы виртуального системного реестра, ни даже папка Thinstall, все проги всегда запускаются без проблем. Но если корректно выйти из этой проги, а потом попытаться запустить её снова в течение той же сессии Windows', то выскакивает ошибка. Иногда после перезагрузки системы прога всё-таки запускается. А иногда - нет. В таких случаях можно просто снести уже существующую папку Thinsatall (или, как минимум, файл виртуального реестра Registry.rw.tvr - и тогда прога опять запуститься беспроблемно, как в самый первый раз. Но все кастомные настройки, история открытых файлов и т.п. у подавляющего большинства прог будут потеряны, поскольку это добро хранится в системном реестре.

Таким образом, вроде бы напрашивается гипотеза, что Application and Device Control driver (sysplant.sys) портит виртуальный реестр портабельной проги что при сохранении файла Registry.rw.tvr в процессе выхода из портабельной программы. Но когда я пару раз пробовал делать копии файла Registry.rw.tvr перед выходом из портабельной проги, а потом при возникновении трабла подменил "испортившийся" оригинал сохранённой копией, то это не сработало. Значит, там как-то всё намного хитрее устроено.

И ещё один нюанс. Я тут спрашивал, для чего этот самый Application and Device Control driver (sysplant.sys) и нельзя ли обойтись без него. Увы, местные спецы вопрос жестоко проигнорировали И в Гугле внятный ответ тоже не отыскивается. Так что, чисто теоретически, нельзя исключать, что этот Application and Device Control driver (sysplant.sys) является центральным компонентом всей защиты SEP. В этом случае, отключая его вручную мы всё равно что полностью снимаем защиту системы, хотя и не подозреваем об этом. Тогда уж лучше вообще снести SEP, чтобы зря не занимал место на диске. Я не утверждаю, что это так и есть, но что так оно может быть.
Автор: SkyRE
Дата сообщения: 23.05.2014 13:34
oshizelly
Вот здесь написано про то как работает этот Application and Device Control driver, в смысле что же он и как защищает. Читать там много.
Автор: NeNeko
Дата сообщения: 26.05.2014 14:57
Тут намедни обновил SEP на серверной стороне до 12.1.4100.4130, как и положено предварительно сделал резервную копию ключей и БД от старой версии 12.1.4100.4013, затем удалив с сервера поставил заново, восстановил БД и ключи, дождался обновления БД, обновил дистрибутивы, распространил, и вот тут начался цирк с конями
- на почти всех компьютерах получил уведомление, что удалённое развёртывание прошло успешно
- однако часть компьютеров не желает обновлять вирусные сигнатуры, причём как реально обновившиеся клиенты, так и оставшиеся "старые"
- прогнал обновление связи с центром управления, клиенты упорно не желают авто обновляться.
- на однос сервере с Windows 2008R2SP1 получили более экзотичную картину - система лишилась возможности работы с сетевой картой, т.е. как устройство сетевая карта видно, но как транспорт не может быть задействована, заборолось сносом SEP с сервера

Собственно у меня очень жгучее желание крепко и до хруста пожать горло тем геям, что выпустили новую версию с такими проблемами, причём отваливание сетевой карты проявилось только после плановой перезагрузки, сначала грешили на Microsoft, но...

З.Ы. Не ужто на всех не обновляющихся компьютерах нужно будет снести SEP и заново поставить?
Автор: SergeyMark
Дата сообщения: 27.05.2014 10:31
NeNeko

Цитата:
Не ужто на всех не обновляющихся компьютерах нужно будет снести SEP и заново поставить?

Сносить не надо. Есть два возможных варианта. 1 - нв диске с программой есть документация (Installation_and_Administration_Guide_SEP12.1.2.pdf), посмотри список портов которые должны быть открыты. Возможно причина в этом. 2 - в настройках сервера временно разреши клиентам самостоятельно получать обновления. Pапусти на клиенте LiveUpdate, после обновления баз, снова запрети им самостоятельно обновляться.
Ну и проверь - получили ли клиенты сертификаты от обновленного сервера.
Автор: NeNeko
Дата сообщения: 27.05.2014 13:09
Смотрел логи клиентов, они подключаются к серверу управления SEP, но дальше странное:

Цитата:

27.05.2014 9:39:35    Информация    Symantec Endpoint Protection Manager готов предоставить обновления, поэтому запланированный сеанс LiveUpdate будет пропущен.    
27.05.2014 8:26:20    Информация    [Отправка сведений о предотвращении вторжений] Информация отправлена в Symantec.    
27.05.2014 3:39:34    Информация    Symantec Endpoint Protection Manager готов предоставить обновления, поэтому запланированный сеанс LiveUpdate будет пропущен.    
27.05.2014 1:10:13    Информация    Сканирование продолжено в все диски и все расширения.    
26.05.2014 21:39:34    Информация    Symantec Endpoint Protection Manager готов предоставить обновления, поэтому запланированный сеанс LiveUpdate будет пропущен.    
26.05.2014 16:21:07    Информация    В Symantec Endpoint Protection уже есть последняя политика.    
26.05.2014 15:39:42    Информация    Превентивная защита от угроз выключена    
26.05.2014 15:39:36    Информация    Установлено соединение с Symantec Endpoint Protection Manager (x.x.x.x)    
26.05.2014 15:39:31    Информация    Установлено соединение с Symantec Endpoint Protection Manager ()    
26.05.2014 15:38:03    Информация    Система предотвращения вторжений для браузера Firefox включена    
26.05.2014 15:38:03    Информация    Система предотвращения вторжений для браузера Internet Explorer включена    
26.05.2014 15:38:03    Информация    Система предотвращения вторжений для сети включена    
26.05.2014 15:38:00    Информация    Установлено соединение с Symantec Endpoint Protection Manager (x.x.x.x)    
26.05.2014 15:37:53    Информация    Symantec Management Client был запущен.    
26.05.2014 15:37:53    Информация    Symantec Endpoint Protection -- Версия модуля: 12.1.4126    
26.05.2014 15:37:49    Информация    Брандмауэр защиты от сетевых угроз выключен политикой    


т.е. SEPM говорит клиентам обождать с установкой обновлений, и вот такая ерунда на всех не обновляющихся клиентах, как бы забороть такое?
Автор: NeNeko
Дата сообщения: 28.05.2014 13:55
И так решение проблемы - оказывается нужно корректно указывать настройки PROXY иначе обновлялка LiveUpdate не сможет скачивать обновления и при определённых настройках будет блокировать клиентам обновления, сообщая, что у неё самые свежие версии и клиент должен отложить попытку скачать обновления с сайта symantec
Автор: 7658
Дата сообщения: 30.05.2014 10:39

Цитата:
Цитата:

Цитата: Никто не столкнулся с тем что en клиент не хочет ставиться на win2003 r2 en?
12.1.4013.4013 встаёт, а тот что 12.1.4100.4126 - ещё на этапе установки резко начинает откат назад.

Да, у меня всё тоже самое. Сегодня мучился весь день, ничего не смог сделать.
Если кто поборол, отпишитесь пожалуйста.
Автор: krut9shka
Дата сообщения: 31.05.2014 10:51
Всем доброго времени суток помогите разобраться с проблемой, имеется сервер SEP 12 обновляется напрямую с интернета клиенты тоже, поставлена задача в изолированном сегменте от интернета поднять сервер SEP и чтобы обновления выкладывались на промежуточном сервере с сервера напрямую обновляемом с интернета и с него сервер и соответсвенно клиенты в изолированном сегменте обновлялись.

Вопрос собственно в том в каком виде необходимо выкладывать обновления и как их правильно формировать с помощью каких средств, можете направить на путь истинный.


Заранее спасибо.
Автор: SergeyMark
Дата сообщения: 02.06.2014 14:00
krut9shka
Есть простое решение:
Папка содержащая базы на сервере SEP - C:\Program Files\Common Files\Symantec Shared\VirusDefs
Возьми любую программу для синхронизации папок и настрой на синхронизацию папки VirusDefs.
Автор: krut9shka
Дата сообщения: 05.06.2014 09:49
SergeyMark. а сервер обновления для клиентов что будет в данном случае?


Добавлено:
SergeyMark
И еще даже когда папки синхронизируешь SEP не видит эти обновления, кстати у меня на сервере Live Updates обновляется в директориях :
C:\ProgramData\Symantec\Definitions\SymcData
C:\ProgramData\Symantec\LiveUpdate\Downloads

Может есть какая-нибудь схема использовать 2 LUA?
Автор: SergeyMark
Дата сообщения: 07.06.2014 11:43
krut9shka

Цитата:
а сервер обновления для клиентов что будет в данном случае?

Клиенты должны обновляться со своего "родного" сервера, с которого их установили.

Цитата:
И еще даже когда папки синхронизируешь SEP не видит эти обновления, кстати у меня на сервере Live Updates обновляется в директориях  : C:\ProgramData\Symantec\Definitions\SymcData C:\ProgramData\Symantec\LiveUpdate\Downloads

Не понятно какую папку ты синхронизировал?
Если не получается, качай обновления с сайта http://www.symantec.com/security_response/definitions/download/detail.jsp?gid=sep
и вручную запускай файл на сервере в изолированном сегменте.
Автор: SergeyMark
Дата сообщения: 10.06.2014 12:07
NeNeko

Цитата:
Тут намедни обновил SEP на серверной стороне до 12.1.4100.4130,

Наступил на те же "грабли". В одном из офисов установил на сервер Symantec Endpoint Protection 12.1 RU4 MP1A (12.1.4104.4130) Russian. На рабочих станциях клиенты разворачиваются и тут же делают откат, отменяют установку. Два дня искал решение. Удалил версию 12.1.4104.4130, установил 12.1.2100.2093 и все сразу заработало.
Автор: Andy78
Дата сообщения: 17.06.2014 00:18
Люди добрые, подскажите плиз, если есть такая возможность, как настроить обновление GUPа от GUPа.
Автор: shystrik
Дата сообщения: 18.06.2014 16:21
Подскажите, установлен неуправляемый клиент Symantec Endpoint Protection на WinXP SP3, несколько дней назад перестала приходить почта на ящик в Outlook 2007 с портами 110 и 25, на ящик 995 и 587 приходит без проблем. При отключении "Автоматическая защита Интернет-почты", либо смене портов в настройках на другие всё прекрасно работает. Настроек по сути дела в том модуле особо нет, где можно ещё посмотреть в чем дело?
Автор: SergeyMark
Дата сообщения: 20.06.2014 07:18
Andy78

Цитата:
Люди добрые, подскажите плиз, если есть такая возможность, как настроить обновление GUPа от GUPа.

Такой возможности не предусмотрено. Но похоже есть обходной вариант, одна из машин первого GUP может служить поставщиком обновлений для второго GUP. Смотри страницу 666 из Installation_and_Administration_Guide_SEP12.1.2.pdf
Цитата :"В организациях с большим числом клиентов
можетпотребоваться использовать поставщики обновлений группы (GUP).
Они позволяют уменьшить нагрузку на сервер управления, и их проще
настроить, чем внутренний сервер LiveUpdate.
Поставщик обновлений группы—это клиентский компьютер, назначенный
для локального распределения обновлений содержимого клиентам.
Поставщик обновлений группы загружает обновления содержимого с
сервера управления и распространяет их по клиентам."

Автор: viktor516
Дата сообщения: 03.07.2014 16:04
где найти образец настроек при установке клиентской части и пост установочных настроек Symantec Endpoint Protection 12.1.4 MP1 Client RU ?!
Ещё живы образцы настроек для клиента SEP 11.0.5002.333 на сайте http://gusoftware.narod.ru/Antivirus.htm
...но для клиента SEP 12.1.4 MP1 они уже во многом не соответствуют
Автор: Lenoc
Дата сообщения: 04.07.2014 11:01
При установке клиента 12.1.4100 на новую пустую машину(только XP SP3 и драйвера) начинается установка,потом она резко обрывается, при следующем запуске setup выскакивает ошибка:
"Продукт Symantec Endpoint Protection Manager обнаружил наличие ожидающих изменений системы, требующих перезагрузки. Перезагрузите систему и повторите установку."
ну и так бесконечно. Пробовала вот так, но не помогло http://mazin.uz/2011/05/06/ne-ustanavlivaetsya-sep/, кто-нибудь сталкивался с такой проблемой?
На сервере клиент появляется,иногда пишет что отключен иногда перезагрузить просит,но в итоге ничего не помогает
Автор: dianaa76
Дата сообщения: 04.07.2014 19:51
Lenoc

Цитата:
При установке клиента 12.1.4100


Цитата:
начинается установка,потом она резко обрывается


Цитата:
кто-нибудь сталкивался с такой проблемой?

Смотри на пять постов выше, пост SergeyMark.

Цитата:
На сервере клиент появляется,иногда пишет что отключен

Ничего страшного. Снова запусти "развертывание клиента" и выбери "развертывание пакета обновления параметрами связи". Выбери компьютеры, помеченные как отключенные. И все начнет работать.

Цитата:
иногда перезагрузить просит

Перед развертыванием в настройках можно указать как должен перезагружаться клиент. Можно дать команду на перезагрузку прямо из консоли. В инструкции это подробно описано.
Автор: Necroic
Дата сообщения: 07.07.2014 10:29
Коллеги, доброго дня, подскажите пожалуйста, как разрешить на клиентском компе отключать службу SepMasterService ? Версия 12.1.4100.4126, Галка "Защита от изменений" снята.
Автор: SkyRE
Дата сообщения: 07.07.2014 20:30
Necroic 10:29 07-07-2014
Цитата:
Коллеги, доброго дня, подскажите пожалуйста, как разрешить на клиентском компе отключать службу SepMasterService ? Версия 12.1.4100.4126, Галка "Защита от изменений" снята.
Предоставьте права в реестре для этой службы.
Автор: Necroic
Дата сообщения: 08.07.2014 12:46
Пользователи - чтение (Этот раздел и его подразделы)
Администраторы - Полный доступ (Этот раздел и его подразделы)
система - полный доступ (Этот раздел и его подразделы)
Создатель-Владелец - Особые (Только подразделы)
Автор: vcrank
Дата сообщения: 11.07.2014 10:24
В организации установлен Endpoint Protection + несколько дополнительных модулей защиты (такие как Revocation Data)
В здании интернет раздаётся хозяином помещения
Антивирус не обновляется.
Просили открыть доступ к Liveupdate.symantecliveupdate.com и Liveupdate.symantecliveupdate.ru
Сказали, что доступ открыли, но обновление всё равно не проходит.
Может надо какой-то специфический порт открыть или ещё какие-либо адреса разрешать ?
Автор: dianaa76
Дата сообщения: 13.07.2014 10:55
vcrank


Цитата:
Может надо какой-то специфический порт открыть или ещё какие-либо адреса разрешать ?

На диске с программой есть файл Implementation_Guide_SEP12.1.pdf
См. "Сведения о брандмауэрах и портах связи" на стр. 129.
Автор: 7658
Дата сообщения: 14.07.2014 20:56
Всем несчастным у кого происходит откат установки последней версии клиента SEP, помогло обновление корневых сертификатов. Подробности - http://www.symantec.com/docs/TECH217284
Автор: monsoon
Дата сообщения: 30.07.2014 13:45
Нужно чтобы клиент мог обновляться через LiveUpdate. При запуске пишет, что эта функция заблокирована адмминистратором. Пробовал переустановить LU - тоже самое.
Клиент подключался к серверу в домене, теперь связи с доменом или другим сервером нет и не будет. Сделать клиента управляемым в таком случае можно только переустановив его?
Автор: 7658
Дата сообщения: 31.07.2014 18:35
monsoon
Раз связи с сервером управления больше нет,- значит клиент должен быть неуправляемым. И, действительно проще его переустановить.
Автор: pnester
Дата сообщения: 04.08.2014 14:28
Добрый день. Есть SEP manager 12 и клиенты 11/12 версий. Если на группу добавляешь установочные пакеты и выбираешь параметр загрузить с сервера управления, то обновление происходит без проблем, но там есть еще пункт "загрузить по след. URL", где требуется указать путь. Вопрос - на веб сервере в каком виде должен лежать пакет обновления? в едином пакете *.exe или как-то под другому? адрес пакета должен быть в ввиде http://myserver/packet.exe?

В мануале администратора описания не нашел, может кто делал так и подскажет или ткнет в нужный мануал? Спасибо

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104

Предыдущая тема: Аудиофайлы *.mix


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.