» Корпоративные продукты McAfee / Networks Associates (NAI)

SpasitelofMoney

Цитата:

Следует ли тогда клиентам VSE8 не использовать Outlook Express
или можно использовать и никаких проблем не будет?

можно использова и проблем не будет. ток проверятся почта в нем не будет

Добавлено:
Apocalipsis

Цитата:

да это я еще раньше проверил, доступ есть

можно еще какнибуть проверить чтот epolicy туда точно ломится, но его например непускает???

я бы начал со стандартных проверок доступности этого клиента по сети, event log поизучал бы на клиенте. еПО сервер и клиент в домене? какая ось на клиенте? попробывать агента поставить в ручную. агент не ставится только на одного клиента или нет? имя клиента в директории еПО = сетевому имени клиента?

SergeyCVS
Что значит проверяться почта в нем не будет?
Вирусы с почты - загрызут компьютер или он не будет проверять зараженные
почтовые базы Outlook Express если такие появятся?
Кстати SAV также не проверяет зараженные почтовые базы ведь.

SpasitelofMoney

Цитата:

Что значит проверяться почта в нем не будет?

при получении письма с зараженным вложением оно спакойно попадет в почтовую база Outlook Express. при попытке сохранить/запустить токое вложение vse8 прореагирует соотв. образом.

SergeyCVS
А как я смогу после этого удалить зараженное письмо из почтовой базы OE?

Наверное антвирус будет блокировать эту возможность, а если я отключу real-time при нахождении зараженных писем в базе - произойдет заражение.
С этим SAV лучше так как его real-time проверка не пустит зараженное письмо в базу.

SpasitelofMoney
А вот и не угадал! McAfee тебе не Каспер, очень спокойно даст удалить(и при включённом реал-тайме), а вот стартануть вирусу не даст. Вирус в базе - это НЕ в памяти, и real-time его не трогает.

SpasitelofMoney
тут все зависит от того как организованна база писем в OE, если там используется стандартный механизм MIME(например, как в бате), то vse8 (при вкл. соот. опции) при попадинии туда письма с вирусом просто отреагирует на это как на обычный зараженный файл. а если база OE имеет свой хитрый формат, то vse8 ни как не отриагирует, реакция будет ток при попытке сохранить/запустить инфицированное вложение. если тебя интересует конкретное повидение того или иного антивиря, то ты можеш использовать Anti-Virus test file (подробнее тут http://eicar.com/anti_virus_test_file.htm ) для эксперементов, любой приличный антивирь должен отреагировать на этот файл как на вирус, сам этот файл вирусом неявляется

SergeyCVS
Цитата:

при попадинии туда письма с вирусом

а вот разве в момент попадания антивирусник не отследит, что мессага с вирем и не грохнет её нафиг?! У меня в Bat-е, вроде так и происходит.. Письмо просто до базы не доходит (если только аттач запаролить в архиве, тогда - да..)

странно в McAfee SecurityShield for Microsoft® ISA Server есть фильтры:
FTP, SMTP Inbound/Outbound Filter, а для HTTP нет, как же он обрабатывает HTTP трафик?


Добавлено:
поставил посмотреть McAfee SecurityShield for Microsoft® ISA Server
настроил ISA чтобы качались обновления, но доходит где то до 5900 или больше и обрывает
dat-4713.zip (порядка 7145 Кб)

качаю с рабочей станции, напрямую, тоже обрывает...
_hххp://216.143.70.75/Products/CommonUpdater/Current/VSCANDAT1000/DAT/0000/dat-4713.zip

скачал мимо ISA, как теперь поставить обновление вручную?

в архиве файлы:

clean.dat
file_id.diz
internet.dat
names.dat
packing.lst
pkgdesc.ini
readme.txt
reseller.txt
scan.dat
validate.exe


Добавлено:
Чудеса, включил в HTTP - Enable Comfort Page, закачалось и установилось

kolakola

Цитата:

а вот разве в момент попадания антивирусник не отследит

что ты понимаеш под моментом попадания? после того как письмо забирается по поп3 с сервака его сразу бат (ну или OE) пытаются сохранить в свою базу и в этот момент антивирь должен просечь попытку записи и прореагировать, именно это я имел ввиду под фразой "при попадинии туда письма с вирусом"

SergeyCVS

Цитата:

пытаются сохранить в свою базу

ну да..в принципе, да.
Если Оутглюк реально не дает проверить - то ну его нахвиг тогда..

Рядом с GroupShield for Exchange поставил SecurityShield for ISA. То, что хотел от негодобится - сделать не удалось. Деинсталлировал SS.
1) Exchange перестал обрабатывать почту, ругаясь на отсутствующий фильтр. После переустановки GS стало обрабатывать.
2) теперь AlertManager достаёт каждую минуту сообщениями типа
Alert Manager Event Log Alert:
Unknown Event 8503.Alert 8503 from GS Exchange occurred. Event description is missing. You may need to reinstall.(from SERVER1 IP 192.168.1.2 user NT AUTHORITY\SYSTEM running GS Exchange 6.0.0 OnAccess (Trans)
Попробовал переустановить AlertManager - не помогло.
И что теперь предпринять? Сносить все продукты McAfee и заново ставить?

Добавлено:
Так и поступил. Вроде бы отпустило
Но был один вопрос (ещё с прошлой установки) - периодически появляются сообщения об ошибке от GroupShield for Exchange
The OnAccess (Transport) scanner failed to initialize with error 80004005.
При этом, по показаниям приборов, почта проходит...
Как исправить и чем грозит?

возврашаюсь к своему вопросу URL filtering заработал у когонибудь в SIG ???

Iv Michael

Цитата:

Но был один вопрос (ещё с прошлой установки) - периодически появляются сообщения об ошибке от GroupShield for Exchange
The OnAccess (Transport) scanner failed to initialize with error 80004005.
При этом, по показаниям приборов, почта проходит...
Как исправить и чем грозит?

http://knowledgemap.nai.com/KanisaSupportSite/search.do?cmd=displayKC&docType=kc&externalId=KBkb38892xml

SergeyCVS
Спасибо!
Общий смысл рекоммендаций производителя (см. ссылку) сводится к тому, что данное сообщение об ошибке может быть проигнорировано.
Что я, собственно говоря, долгое время и делал
К слову, у меня установлен GroupShield for Exhcange SP2.
Вопрос: есть ли ещё обновления, которые стоит установить?

Iv Michael
у меня в логах та же хрень, я тож не особенно стродаю. у меня Product Version: 6.0.1148.100

SergeyCVS
Аналогично. Т.е., видимо, обновлять нечего.
Будем жить пока с этой ошибкой.

Iv Michael
на форуме mcafee эт проблема несколько раз поднималась
http://forums.mcafeehelp.com/viewtopic.php?t=56052&highlight=80004005
http://forums.mcafeehelp.com/viewtopic.php?t=29837&highlight=80004005

Привет всем!
Установил McAfee VirusScan Enterprise 8 + McAfee AntiSpyware Ent 8. В настройках на On demand scan в Visrus Console стоит при обнаружении вируса:
1. Вылечить
2. Если вылечить не удается - в КАРАНТИН!
На реально, при запуске On demand scan, когда антивирус находит файл и не может его вылечить он его УДАЛЯЕТ! (Действительно удаляет без возможности восстановления вместо того чтобы поместить в карантин). Так у меня пропало много креков (например активатор WXP SP2 и програма Remote Administrator). У кого-нибуть такое случалось? Облазил все настройки , ьольше ничего не нашел. Помогите плиз.

Как вариант: VirusScan Console - Unwanted Programs Policy - снять птичку с Other Potentially Unwanted Programs. Мне помогло, теперь кряк к зебату не удаляется. Оставшиеся файлы можно добавить в исключения в спайваремодуле. Хотя да, действительно, общение с юзером не очень продумано. В дрвеб, например, при обнаружении вируса можно выбрать и копировать файл и просто залочить к нему доступ и др. А тут, чуть что, сразу удаляется. Тесты файрвола у меня почти все поудалялись. Теперь вирусы и тесты храню в архивах.

volk79
А действия для "Unwanted program"?

volk79

Цитата:

Так у меня пропало много креков (например активатор WXP SP2 и програма Remote Administrator).

это относится к Unwanted Programs, соотв. нужно настраивать реакцию для этого рода обноружений. в On demand scan см. вкладку Unwanted Programs

Насколько я понимаю, у McAfee антивирусника и антиспайваря разные по идее базы.
И вот интересно - если SIG отлавливает в потоке всю заразу, тогда получается, что база у SIG-а, дожна быть единая, а?

Добавлено:
volk79

Цитата:

Если вылечить не удается - в КАРАНТИН

зря - лучше сразу в карантин...
а там видно будет.. на предметное стекло и ножки по одной отрывать..

kolakola

Цитата:

Насколько я понимаю, у McAfee антивирусника и антиспайваря разные по идее базы.

базы единые

SergeyCVS
>> это относится к Unwanted Programs, соотв. нужно настраивать реакцию для этого рода обноружений. в On demand scan см. вкладку Unwanted Programs

Этот способ, к сожалению, SergeyCVS, не помогает. У меня на вкладках Unwanted Programs в On demand scan и Scan all fixed disk стоит :
1. Clean file
2. Move file to folder
и не смотря не это все мои кряки дематереализировались.
Попробую совет baribalа, и абсолютно согласен с ним что общение с юзером не очень продумано.

volk79

Цитата:

Попробую совет baribalа, и абсолютно согласен с ним что общение с юзером не очень продумано.

а кто те мешает настроить так, что бы при обнаружении спрашивалось у пользователя о дальнейших действиях как в том же самом дрвебе?

Народ а русик у вас есть а то по англ ничего не понимаю

Ilyha58343
не видел

ЗЫ а какой продукт собственно интересует?

SergeyCVS

Цитата:

а кто те мешает настроить так, что бы при обнаружении спрашивалось у пользователя о дальнейших действиях как в том же самом дрвебе?

Это врядли получится, т.к. закладке Actions для Primary Actions можно выставить deny, clean, move, delete. Стоит clean, а в Secondary Action - move. И пофиг, тесты интернета и кряки удаляются сходу и только некоторые муваются в карантин. Глюк? А если мне один вирус надо заблокировать, а другой мувать в карантин, а третий сразу кильнуть? Фиг с два настроишь такое в макэффи. В дрвеб на экран выдаётся бокс, где есть куча кнопок (deny, move, delete etc.). И всё чОтка! Хацу такое в макэффи.

baribal
выставляеш Deny access to files. В этом случае как раз и появляется "бокс, где есть куча кнопок (deny, move, delete etc.)"

Цитата:

When the scanner denies access to infected files, it also renames files that cannot be cleaned and new infected files by appending the filename with a .vir extension, when the file is saved.

SergeyCVS
Ого, век живи - век учись. Хотя написано мудрёно.
ЗЫ Spyware сразу киляются. Как сделать, чтобы как с вирусами было?