» Корпоративные продукты McAfee / Networks Associates (NAI)

Vernik77

CMA360LEN.zip

в себе содержит PkgCatalog.z

Добавлено:
Вопрос в следующем..
Запущена задача репозитори пулл с FTP NAI.
В этом состоянии болтается на 0% уже несколько часов.
раньше такого небыло, каким образом ее отменить легально?
Перезагрузка сервака не рекомендуется.

yurl
у меня такое время от времени раньше наблюдалось на ePO 3.5. В чем глюк не знаю.... как лечится тоже не знаю... само сабой проходит...
Просто рестартани сервис Mcafee ePolicy Orchestrator Application Server.
Иногда в 3.5 глючила авторизация и вход в админ косоль, после перенесения на другой сервер... лечится перезагрузкой выше оного сервиса и сервиса Mcafee ePolicy Orchestrator Server....

TitanMK
Спасибо, помогло. У меня такая ситуевина проявилась 2-й раз, и я заметил оба раза когда я вручную запускал обновление с удаленной консоли. может в этом закономерность?

yurl
да нет... у меня было и подвисали таски которые по расписанию запускались... или еще любимый глюк был то что в начале таск как бы подвис.. потом например на 30 или 40 процентах, когда как, просто брал и заканчивался, статус комплит, а ни фига ни че не обновил....
на других форумах лазил смотрел, так внятного ответа и не нашел...

Скачал с офсайта VirusScan 8.5i (VSE850LML.ZIP, 20mb), а он паскуда не устанавливается. Точнее процесс доходит до выбора типа лицензии (годовая, 2-х годовая, постоянная), но ни одну из них нельзя выбрать. Такое ощущение, что теперь нужно иметь файл с лицензией, но где его взять?

Помогите советом, пожалуйста.

mumbojumbo
попробуй изменить пути временных папок на более короткие типа C:\Temp

Установлен под xp sp2 pro rus Cel1700/i845pe/1G...
- McAfee VSE8 + patch 14 + antispyware +engine 5100 + самые новые базы.

Настройки дефолтные. В On Accsess Scanner стоит
V - Enable on-accsess scanning at system startup
Maximum archive scan time (seconds) - 15
V - Enforce a maximum scaning time for all files
Maximum scan time (seconds) - 45

Систематически в журнале событий появляется следующее сообщение:

Тип события:    Предупреждение
Источник события:    Alert Manager Event Interface
Категория события:    Отсутствует
Код события:    257
Дата:        11.12.2006
Время:        12:57:46
Пользователь:        Н/Д
Компьютер:    *
Описание:
VirusScan Enterprise: The scan of C:\Documents and Settings\Alexandr\Рабочий стол\motherboard_driver_audio_microsoft_bus.exe has taken too long to complete and is being canceled. Scan engine version used is 5100 DAT version 4912.(from * IP *.*.*.* user *\* running VirusScan Enter 8.0 OAS)

Получается что каждый раз этот файл не до конца проверяется на вирусы и система может оказаться зараженной если пользователь этот файл отправит на запуск и этот файл окажется зараженным на самом деле ?

alx19

Цитата:

Получается что каждый раз этот файл не до конца проверяется на вирусы и система может оказаться зараженной если пользователь этот файл отправит на запуск и этот файл окажется зараженным на самом деле ?

Да. Именно так.

ЗЫ За motherboard_driver_audio_microsoft_bus.exe на рабочем столе у нас бы убили...

FreemanRU

Цитата:

Именно так

не думаю, при запуске произойдет распаковка файла и отдельные файлики должны будут быть проверены.

FreemanRU



Цитата:

Да. Именно так.

Почему тогда ты считаешь, что можно доверить защиту системы антивирусу от McAfee, а не сидеть на SAV, так как несмотря на глюки с управлением, у SAV такой уязвимости нет ?
Или по твоему мнению, аргумент wood и есть ответ на этот вопрос ?


Цитата:

ЗЫ За motherboard_driver_audio_microsoft_bus.exe на рабочем столе у нас бы убили...

Вообще-то я и есть тот, кто "убивает". Поэтому позволяю это только себе и только на своем компьютере.

alx19

Цитата:

SAV такой уязвимости нет

Просто САВ не пишет об этом в логи, и всего-то. Любой антивирус, из мне известных (NOD, KAV, VSE, SAV) имеют настройку "Прекращать сканирование, если файл проверяется более N секунд/минут/часов/дней".
wood
Ключевое слово в логе - "too long". Т.е. время сканирование файла привысило указанные в настройках.

FreemanRU

А какое ограничение по времени сканирования по твоему мнению лучше выбрать для VSE ?

В SAV такой настройки нет. SAV сам берет на себя ответственность в решении вопроса когда прекращать сканирование, если оно затянулось слишком надолго.

В KAV 5/6 такая настройка есть, но по умолчанию время проверки не ограничено.




VSE8 не хочет обновлять базу по шедулеру и ничего не пишет при этом в лог (файл Updatelog.txt). Может быть надо изменить в настройках что тип файла лога это не Unicode (UTF8), а ANSI ?

При попытке изменить дату обновления, в журанал событий попало следующее сообщение:

Тип события:    Ошибка
Источник события:    Alert Manager Event Interface
Категория события:    Отсутствует
Код события:    257
Дата:        11.12.2006
Время:        13:28:39
Пользователь:        Н/Д
Компьютер:    P4
Описание:
VirusScan Enterprise: Failed to save schedule data into CMA.(from * IP *.*.*.* user * running VirusScan Ent. 8.0.0 UPD)

Прокси нет. (хотя xp sp2 фаервол - включен)

Есои нажимаю Update now - обновление проходит успешно. А по шедулеру через сайт McAfee не хочет.

alx19
Всё зависит от сети/типа файлов в вашей сети и т.д. Подбирается индивидуально.
По поводу "уязвимости" - ИМХО как раз бесконечная проверка может быть использована для атаки. Ибо найти вирус на 200-500 метров трудно. А вот сгенерить такой файлик, спрятав зловредный код - можно.

FreemanRU

В таком случае SAV и KAV - антивирусы на случай ядерной войны. В первом вообще нет возможности ввести ограничение на время сканирования (он сам решает когда прекращать), а во втором оно по умолчанию бесконечное.

А можно еще что-нибудь сказать на вопрос о том почему не работает Auto Update по шедулеру ?

FreemanRU

Цитата:

Ключевое слово в логе - "too long".

я понял.
Но как понимать вот это (стр 88 руководства):

Цитата:

5 Under Scan time, specify the maximum archive and scanning time, in seconds,
for all files. If a file takes longer than the specified time to scan, the scan stops
cleanly and a message is logged. If the scan cannot be stopped cleanly, it
terminates and restarts, and a different message is logged. Select from these
options:
�� Maximum archive scan time (seconds) (Default = 15 seconds). Accept the
default or select the maximum number of seconds the scanner should
spend scanning an archive file. The time you select for the archive scan
must be less than the time you select for scanning all files.
�� Enforce a maximum scanning time for all files (Default). Define a maximum
scanning time and enforce it for all files.
�� Maximum scan time (seconds) (Default = 45 seconds). Accept the default or
select the maximum number of seconds the scanner should spend
scanning a file.

wood
В смысле? Что тебе не понравилось в тексте? "Если сканирование идет долго, оно прерывается. Если не прерывается нормальными средствами, то обрывается принудительно."

В сети установлен McAfee Сервер и есть управляемые клиенты.

Ставлю на машину McAfee VSE8+patch 14 + AS. Хочу чтобы сервер к нему не приставал (то есть обновление происходило через mcafee.com, а не через сервер. То есть клиентом LAN сервера быть не надо)

Как сделать так чтобы этот сервер не приставал к антивирусу, при условии что доступа на этот сервер нет ?

Иначе загорается буква M в трее, потом она изчезает и после этого выбирать в шедулере, когда обновлять базы нельзя. Можно только нажатием на кнопку Update Now.

В Edit AutoUpdate Repository List все ссылки на ресурсы самой McAfee.

Развернул в сети VSE 8.5+Antispyware. До того использовался 7.1.
Появившиеся проблемы:
Периодически блокирует базы данных .MDB и .DOC файлы. Они становятся "только для чтения". Изменить-переименовать-удалить нельзя вплоть до перезагрузки. Остановка сервиса антивируса не помогает. Через некоторое время после перезагрузки ситуация повторяется. Помогает исключение этих файлов из сканирования.
Есть самописное приложение на VB6. Оно используя компоненты MS Outlook подключается к Exchange серверу, получает/отправляет письма. После установки VSE8.5 перестало работатать в фоновом режиме (из таск шедулера или задач MSSQL), выдает ошибку MAPI. При ручном запуске все в порядке. Снес 8.5 - все заработало.
Win2000, Office 2000. В обоих случаях никаких ошибок или извещений антивурус не выдавал.
Что-нибудь похожее у кого-нибудь было?

Volia
А блокировку портов отключал? В 7-ке её небыло, с 8.0 появилась

так он блокирует по-умолчанию только 6666 и 25. Но в Access Protection я вообще все правила отключил

И как может влиять блокирование портов на неудаление локального файла?

Нужно на один компьютер в сети поставить McAfee VSE8 в неупраляемом сервером режиме.
Ставлю стандартным образом, к нему начинает цепляться McAfee локальный сервер и мешать производить его настройку (например задавать дату обновления баз по шедулеру с сайта McAfee). Доступа к тому локальному серверу нет.

С какой командой надо ставить McAfee клиент, чтобы он поставился в неуправляемом режиме ?

(вот с SAV все просто - при установке выбираешь unmanaged и все)

alx19
Управляемость можно отключить 2мя способами:
1. Удалить агент ePo (из консоли ePo тоже, иначе агент заново установится)
2. В политиках ePo для данного компьютера в заклдке VirusScan поставить Enforce Policy в No

FreemanRU

У меня нет доступа на локальный McAfee сервер.
Смогу ли я то что ты сказал сделать на том компьютере, куда я ставлю VSE8 ?

Или в таком случае поможет только закрыться от сервера фаерволом ?

Запускал
C:\Program Files\McAfee\Common Framework\Frminst /?

Там пишется про возможность переключения managed/unmanaged.
Может в этом дело ?

alx19
Еще раз:

Цитата:

из консоли ePo тоже, иначе агент заново установится

Ключевая фраза выделена.

FreemanRU

Наверное глупый вопрос - но как зайти в консоль ePo ?

Получается, что если у человека на ноуте стоит McAfee и он придет к кому-нибудь в гости, подключится к сети где стоит McAfee сервер - есть шанс, что этот сервер покацает ему его VSE8 так, что он ему подчиняться перестанет.

alx19

Цитата:

Получается, что если у человека на ноуте стоит McAfee и он придет к кому-нибудь в гости, подключится к сети где стоит McAfee сервер - есть шанс, что этот сервер покацает ему его VSE8 так, что он ему подчиняться перестанет.

Именно так при собблюдении следующих условий:
1. Учетная запись, от имени которой устанавливаются агенты имеет доступ к ноутбуку
2. Настроено автообнаружение новых компьютеров.

Цитата:

Наверное глупый вопрос - но как зайти в консоль ePo

Ставишь её себе, выбираешь LogOn, вводишь имя сервера, имя пользователя и пароль, и всё.

Имеется сетка с доменом на 2003 и клиентами - 2000.
До недавних пор отлично работал ProtectionPilot 1.1 и на машинах VirusScan Enterprise 8.0i patch 14 с модулем AntiSpyware. Обновил ProtectionPilot до 1.5.0, через него обновил агентов до 3.6.0 и попытался задеплоить 8.5i с модулем (просто поставив галочки на этих продуктах и не трогая 8.0i) - все клиенты (включая сам сервер) до сих пор висят в статусе Pending и ничего деплоится не хочет. Логи с агентов нормальные - таски запускаются, но пакетов для деплоинга он не находит, никаких ошибок нет. Причем 8.0i продолжает нормально обновлятся.
На одной из маших пробовал полностью анинсталлить 8.0i (тоже через пилота само собой) - ноль реакции. Все в статусе Pending. И как его заставить?

В логе клиентских апдейтов последняя запись - патч 14, завершена успешна и все. Даже неуспешных попыток установки 8.5i нет.

FreemanRU

Имеется компьютер на котором установлен вручную
McAfee VSE8 + patch 14 + AntiSpyware
настроены обновления баз с сайта McAfee.com

Правильно ли я понял, что чтобы к этому клиенту не смог пристать McAfee локальный сервер, я должен поставить EPO и дать команду с ней этому клиенту
- Enforce Policy в No. Только после этого режим станет Unmanaged.

Только после этого можно будет не бояться, что при использовании этого компьютера в других сетях - ихняя McAfee EPO сумеет подчинить его себе.

Установки EPO избежать нельзя. Нет такой утилиты, которая сама даст команду Enforce Policy в No, вместо использования для этого EPO.

После этого чтобы сделать такой клиент опять Managed - уже придется что-то делать на нем самом, а с EPO уже его в Managed превратить не удастся.

Так?

alx19

Цитата:

Имеется компьютер на котором установлен вручную
McAfee VSE8 + patch 14 + AntiSpyware
настроены обновления баз с сайта McAfee.com

Правильно ли я понял, что чтобы к этому клиенту не смог пристать McAfee локальный сервер, я должен...

а) не ставить вааще на этот комп агента epo
б) если агент epo, для определенного epo-сервера, стоит то нуна выставить , на этом epo сервере, Enforce Policy в No. агент epo привезан к конкретному серверу epo и с "левым" работать не будет.

эт все, кста, достаточно подробно описано в соот. мануале....

SergeyCVS

Дома, на компьютер подключенный к локальной сети города, поставил
McAfee VSE8 + patch 14 + AS (вручную с помощью exe дистритутива VSE8).
Выставил обновление баз с сайта McAfee.com по шедулеру каждый день в 20:00.
Через некоторое время в трее зажглась буква M потом она изчезла.
После этого обновление баз по шедулеру работать перестало. Обновление происходит только при нажатии на кнопку -Update Now.

При попытке изменить дату обновления, в журанал событий попадает следующее сообщение:

Тип события: Ошибка
Источник события: Alert Manager Event Interface
Категория события: Отсутствует
Код события: 257
Дата: 11.12.2006
Время: 13:28:39
Пользователь: Н/Д
Компьютер: *
Описание:
VirusScan Enterprise: Failed to save schedule data into CMA.(from * IP *.*.*.* user * running VirusScan Ent. 8.0.0 UPD)

Предположение: В сети находится где то настроенный EPO, который и пристал к моему "неуправляемому" клиенту и попытался подчинить его себе. Доступа к этому EPO у меня нет.

Как мне от него избавиться чтобы у меня опять работало обновление баз по шедулеру + нужно чтобы и другой EPO к нему пристать не мог?