» Корпоративные продукты McAfee / Networks Associates (NAI)

Цитата:

На ноутбуках возникла необходимость скачивать обновления с сервера, если ноутбуки в сети, или прямо из инета, если юзер пользуется ноутом дома или в командировке.

Вопрос примерно такого же характера. Конкретно по HIP 6.1. В настройках на сервере есть IPS политики, так же IPS сигнатуры и пользовательские сигнатуры. На клиентах сигнатуры не не представлены, но есть возможность создавать собственные. Из чего я сделал вывод, что клиенту сигнатуры не закачиваются, как в MDF. Так вот, как быть с мобильными пользователями которые
Цитата:

пользуется ноутом дома или в командировке

Репозитри сделал, все работает, все зашибись. Но как пользователь получит обновы для HIP если мой еРо сервер будет недоступен? Для VSE понятно - вперед на nai.com....
Т.е. - в MDF я, по крайней мере, видел, какие сигнатуры используются на клиентах, а тут как-то неспокойно...
И еще. Отсутствуют правила для AntiSpyware модуля на сервере. Так и должно быть?

FreemanRU:

julia4
Тебе надо создать на сервере новый репозитарий со ссылкой на сайт McAfee и сделать его приоритет ниже..
----------

помогите пожалуйста.
у мемя ничего не получилось.
я не разобралась как новый репозитарий сделать.

если можно, то по-подробнее.
иначе меня начальство убьет.

julia4
Способ первый:
1. Запускаешь ePo, логинешься на сервер, далее по дереву выбираешь SERVER_NAME -> Reposotiry
2. Жмешь на Source Repositories.
3. Выбираешь нужный тебе из McAfee (FTP или HTTP), а затем жмешь кнопку Make Fallback в панели инструментов.
4. В политиках (SERVER_NAME->Directory->....) на нужном тебе уровне выбираешь политику ePO Agent 3.5.5, создаешь новую/изменяешь старую, в редакторе политики выбираешь складку Repositories и отмечаешь тот, у которого Type = Fallback.

Способ второй:
1. Запускаешь ePo, логинешься на сервер, далее по дереву выбираешь SERVER_NAME -> Reposotiry
2. Жмешь Add Distributed repository, и вписываешь туда параметры сервера McAfee. Их можно посмотреть, если на эта этапе 1 кликнуть на Source Repository.
3. В политиках (SERVER_NAME->Directory->....) на нужном тебе уровне выбираешь политику ePO Agent 3.5.5, создаешь новую/изменяешь старую, в редакторе политики выбираешь складку Repositories и отмечаешь нужный.
4. Опцию Repository Selection ставишь в User Defined list.

Способ третий:
1. Запускаешь ePo, логинешься на сервер. В политиках (SERVER_NAME->Directory->....) на нужном тебе уровне выбираешь политику ePO Agent 3.5.5, создаешь новую/изменяешь старую, в редакторе политики выбираешь складку Repositories и там жмешь кнопку Add.
2. Добавляешь сервер McAfee, где взять параметры я писал выше.

2FreemanRU

Цитата:

затем жмешь кнопку Make Fallback в панели инструментов

что это значит и как от этого измениться что-либо? У меня же стояло до этого "Make Source" и все работало, на что повлияет это изменение?

и второе, про
Цитата:

Опцию Repository Selection ставишь в User Defined list.

, опять же что это значит? У меня стояло по умолчанию "Ping Time". На что повлияет это изменение?

ps^ нет темы снова искать в инструкции...


А как у тебя рядышком, во вкладке "Updates" в "Repository Branch Update Selection" у меня во всех четырех стоит "Current" - правильно ли это?

Rossiyanka
1. После задания опции Make Fallback репозитарий, доступный как Source (т.е. проще говоря - только для сервера) становиться доступным и для клиентов.

Цитата:

опять же что это значит? У меня стояло по умолчанию "Ping Time". На что повлияет это изменение?

Есть 3 способа выбора репозитария: по времени отлика (ping), по подсети (Subnet) и по списку.
В первом случае будут опрашивать все репозитарии и выбирать тот, у которого наименьшее время отклика.
Во втором (Subnet) будет выбираться репозитарий в той же подсети, что и клиент.
В третьем - регулируется списком. Чем выше - тем приоритетнее.

Если один из репозитариев в любой из опции недоступен - происходит выбор следующего по критерию.


Цитата:

у меня во всех четырех стоит "Current" - правильно ли это?

Да, т.е. ты скачиваешь текущие обновления.

Предоставляет ли пока еще под 2K / XP
McAfee VSE 8.0i + patch 15 + Antispyware 8.0i + Engine 5100
достаточную защиту от вирусов
или
уже необходимо использовать более тормозной
McAfee VSE 8.5i + patch 1 + Antispyware 8.5i + Engine 5100
даже на P2/P3 компьютерах ?

Tретий способ прошел на ура.

FreemanRU, огромное спасибо.

FreemanRU ок! теперь мне все стало понятно!

Цитата:

Предоставляет ли пока еще под 2K / XP
McAfee VSE 8.0i + patch 15 + Antispyware 8.0i + Engine 5100
достаточную защиту от вирусов

пользуюсь и по сей день, не жалуюсь, все работает, я довольна!

Цитата:

или
уже необходимо использовать более тормозной
McAfee VSE 8.5i + patch 1 + Antispyware 8.5i + Engine 5100
даже на P2/P3 компьютерах ?

вот, вот! Вот этого я и боюсь, хотя имею данную версию, но ставить до сих пор не решаюсь, начиталась проблем с еРО 3,6 и VSE 8.5i. не много подожду и как - нибудь повешу, глянем...

Rossiyanka
Работаю на 8.5 с момента его появления. Проблем не обнаружил. Работает реально быстрее 8.0. Ибо движок та тот же, что и сейчас в 8.5.

Добавлено:
А вобще 90% егопроизводительности зависит от настроек. Ибо первый раз поставили еще 8.0 - пользователи застонали. тормоза неимоверные. Потом прикрутили политики (без уменьшения защиты) - всё забегало просто шикарно.

FreemanRU

Цитата:

А вобще 90% егопроизводительности зависит от настроек. Ибо первый раз поставили еще 8.0 - пользователи застонали. тормоза неимоверные. Потом прикрутили политики (без уменьшения защиты) - всё забегало просто шикарно.

Можно тебя попросить поделиться пусть может не самими настройками (хотя это лучше всего), но хотя бы принципами, которым ты следовал, что тебе удалось уменьшить real-time тормоза VSE 8.5.0i + patch 1 + AntiSpyware 8.5i (имею в виду тормоза не полной проверки на вирусы, а тормоза постоянной защиты), не потеряв в достаточности степени защиты. Помогло ли в этом разделение на доверенные и недоверенные процессы в настройках VSE ?
Или здесь дело в том что просто AntiSpyware 8.5i не ставился ?

Пожалуйста.

У меня получилось что при дефолтных настройках тормоза постоянной защиты VSE 8.0 + AS 8.0 существенно меньше чем у VSE 8.5 + AS 8.5 даже на P4 3 Ghz.

alx19
1. По умолчанию он сканирует процессы как при записи на диск, так и при чтении. Нужно выбрать что-то одно.
2. Поставить в исключения все файлы почтовых баз и образов.
3. Можно выключить проверку архивов в почте, если на почтовом сервере стоит антивирь.
По агенту
4. Поставить время обращения к севреру пореже.

FreemanRU
А почему п.1 нельзя считать потенциальным риском?
Потому что ко всему еще и каждую ночь делается проверка по требованию всей системы на всех компьютерах ?

http://www.anti-malware.ru/phpbb/viewtopic.php?t=3232
http://www.anti-malware.ru/phpbb/viewtopic.php?t=3233


По п.1 отключение чтения ускоряет на много больше чем отключение теста при записи.


Пользователи скачали вирус, антивирус его не знает. Если не запускать Full Scan, то никогда его не найдет, даже если завтра придет на него обновление (за исключением случаев, когда зловред активно создает свои копии).

alx19
Что есть вирус/троян/спайвер и пр? Это есть программа (библиотека ли, выполнимый файл - не важно). Чтобы любая программа работала - ей надо попасть в память. Память компьютера постоянно мониторится антивирусом. Так что как только зловредный код попадает в память - его режут, вместе с источником. Проверка при записи позволяет оградить от появления вирусов с различных сетевых источников.

FreemanRU
Если оставить проверку в
On-Access Scanner ->All Processes -> When writing to disk
а галочку When reading from disk - убрать,
то непонятно какая настройка VSE 8.5 будет определять, что все файлы которые попали в память, должны быть проверены VSE (до отключения я также не понимал где находится такая настройка) ?
Или все что попадает в память проверяется по полной программе всегда и никаких настроек этого нет ?

В качестве критики получил следующий аргумент:
Убирать галочку When reading to disk однозначно критическое ухудшение защиты - ибо бывают случаи когда стартует Downloader тянущий несколькольких троянов и пока антивирус мочит одного, другой успевает записаться на диск. Это просто пример.

Может здесь как раз и играет свою роль параметр DMA у HDD то есть данные приходят с сетевой карты и сразу попадают минуя ОЗУ на HDD?


ЕЩЕ ПРИМЕР ИЗ ЕГО ЖИЗНИ
Не разбирался в тонкостях - проходил на практике. Стартует вирус - VSE его грохает - ребутим машину- Оп-ля! Вирус. Когда и как он успел записаться - это проблемы разработчиков.
Ещё были примеры когда вирусняк отлавливали по блокированию VSE переполнения буфера. Symantec с McAfee начали эту хрень ловить через 4 дня. Касперыч с Вебом - через 2 дня.

То есть возможно что
самая большая опасность не ставить галочку When reading from disk в том что пока компьютер перезапускается - антивирус не работает и соотвественно вирусы которые будут лежать на HDD могут действовать ?

$$$$$$$$$$$$$$$$$$$$$$$$
$$$$$$$$$$$$$$$$$$$$$$$$

ТЕСТ КОТОРЫЙ ПРОВЕЛ сам:

1. Убрал галочку When reading from disk
2. отключил постоянную защиту VSE 8.5
3. создал на рабочем столе текстовый файл с содержимым
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
4. далее включил постоянную защиту VSE 8.5
5. открыл этот текстовый файл
6. АНТИВИРУС СПОКОЙНО ПОЗВОЛИЛ ОТКРЫТЬ ЗАРАЖЕННЫЙ ФАЙЛ И НЕ СООБЩИЛ ЧТО ТАМ ВИРУС
7. поставил галочку When reading from disk
8. попробовал открыть этот текстовый файл - файл не открылся, антивирус сообщил что файл заражен

FreemanRU
Очень прошу, прокоментируй пожалуйста последний пример.

Получается что отключение проверки When reading from disk гарантированно приводит к заражению системы и тот кто это делает рискует данными пользователей !

{ Зараженный файл можно запустить например с флешки !!! }

Например зараженные файлы можно подложить пока ОС грузится, то есть когда антивирус не проверяет на запись.

Опять же если при проверке на запись не будет нужной сигнатуры в базе, то до полной проверки по требованию (даже если нужная сигнатура будет добавлена в базы) пользователь может успеть запустить зараженный файл, вирус в котором даст команду на уничтожение всех данных пользователя например.

alx19
Мда.

Цитата:

отключил постоянную защиту VSE 8.5

Ну если ты, прежде чем втыкать флешку будешь отключать защиту - то велкам

FreemanRU

Посмотри пожалуйста мой предыдущий пост.
В тесте перед тем как открыть зараженный файл я сначала включил защиту VSE
(пункт 4 -> пункт 5)

Я же правильно понял что ты предлагаешь галочку
When reading from disk
убирать ?

Приведенный пример показывает что это приводит к 100% заражению.
Этот пример мне посоветовали здесь:
http://www.anti-malware.ru/phpbb/viewtopic.php?t=3232


То есть если галочка When reading from disk будет убрана а постоянная защита VSE 8.5 включена, то если вставить в компьютер где он стоит флешку и запустить с нее зараженный файл - VSE 8.5 гарантировано пропустит вирус!

Что ты об этом думаешь ?

alx19
Млин... Ну коперни на флешку и проверь.

FreemanRU
Попробую попозже запустить с флешки.

Но при запуске с рабочего стола зараженного файла уже доказано выше, что вирус при этом пропускается если галочка When reading from disk убрана.
Разве этого недостаточно, чтобы считать этот способ неподходящим для уменьшения тормозов постонной защиты VSE 8.5 с сохранением достоточности защиты ???

Цитата:

Млин... Ну коперни на флешку и проверь.

Попробовал провести этот тест с зараженным файлом на флешке.
(то есть воткнул в системник флешку с зараженным файлом txt с eicar последовательностью)
Галочка When reading from disk убрана.

АНТИВИРУС ПОЗВОЛЯЕТ ЗАРАЖЕННОМУ ФАЙЛУ ЗАПУСТИТЬСЯ !

(стоило вернуть галочку When reading from disk на место - сразу начал видеть зараженный файл)

Значит ли это, что твой совет п.1 - не подходит ?

Хлопци! Та ви шо! Сказылысь, чи шо?!!!
Что-ж вы на пустом месте такую дискуссию развели? Давно известно - вы можете поменять любые настройки любого продукта, НО настройки по умолчанию выработаны разработчикам которые лучче Вас знают продукт. И эти настройки оптимальны в БОЛЬШИНСТВЕ случаев!! )))

Помогите новичку ПОЖАЛУЙСТА! На клиентах не включается Host IPS, Application Protection List пустой. Галка в ClientGUI стоит но пишет, что HostIPS is disabled. На сервере все включено. Что надо сделать шоб работало? Поиск на McAfee knowledge base ни кчему не привел.

Добавлено:
На стационарных работает через раз, на ноутах не пашет....

FreemanRU
Можешь сказать, что ты думаешь о критике твоего способа оптимизации McAfee чтобы тормозил поменьше ?
http://forum.ru-board.com/topic.cgi?forum=5&topic=0730&start=1600#lt

Например:

Цитата:По умолчанию он сканирует процессы как при записи на диск, так и при чтении. Нужно выбрать что-то одно.
имхо, глупо... имело б некоторый смысл только если монитор включен постоянно и никаких файлов в обход его записаться не могло. Но тогда вообще зачем антивирь включать при работе оффлайн? )) Если он только показывает иконку, но не выполняет свою функцию )))

Цитата:Чтобы любая программа работала - ей надо попасть в память. Память компьютера постоянно мониторится антивирусом.
за исключением случаев, когда она попала в память ранее загрузки антивиря.
Цитата:Так что как только зловредный код попадает в память - его режут, вместе с источником.
если код не использует средств маскировки

как видите, слишком много "если" получается, чтоб считать защиту достаточной.

alx19

Цитата:

чтоб считать защиту достаточной

Ключевая фраза. Каждый сам для себя выбирает это самое достаточно. Заметь, я не предлагал выключать проверку при чтение - ты сам предложил. А я лишь предложил некоторые приемы снижения нагрузки на рабочие станции.

В логах ProtectionManager пишет "Server rask 'DefaultAvertAlerts' failed"
Как устранить эту ошибку?

Коллеги! Вопрос имею...
Установил некоторое время назад Orchestrator, сегодня проапгрейдил его до 3.6.1. На паре машин установлен через orchestrator desktop firewall 8.5.0. Могу удаленно проапгрейдить фаервол, удалить, но не могу применить к нему свои полиси. Включено наследование в группах, выключено - все едино. Ставит дефаултные полиси и все. Точнее - в самом orchestrator'e в полиси на группу/компьютер все прописано нормально, а фактически на компьютере стоят дефаултные полиси, в которых не появляется ни одного "моего" правила. Агент с сервером коннектится, полиси проверяет, обновляет, ошибок нигде не видно - и ничего не меняется. В форуме, навскидку (последние страниц 10), ответа не нашел. Куда рыть? Ну не могу же я на всю контору фаервол разворачивать, а потом на всех машинах правила ручками прописывать...
Спасибо заранее.

Отвечаю сам себе.
После деинсталяции фаервола с последующей инсталяцией - все заработало. Версия фаервола не изменилась. Классические танцы с бубном...

Здравствуйте коллеги.
С днем сисадмина.

В наследство от предыдущего админа достался ePolicy Orchestrator 3.6.0 с имеющимися в мастер репозитории McAfee VirusScan Enterprise 8.0.0 с 11-м патчем и ePO Agent 3.5.0.513, current&previous ветками DAT'ов к ним, scan engine 5100, а так же еще примерно 20 различными продуктами.
Для всего домена настроены политики. Global Update не используется. Обновление прописано из Master Repositori.
Репозиторий обновляется с сайта NAI каждый день (по крайней мере DAT всегда свежие).
Обновления на клиентах по всему домену проходят по расписанию каждый день.
Но, вот, обновления на клиентах (примерно 50) в Virus Definitions показываются разные и на разные даты с разбросом в 6-8 месяцев.
В логах клиентов следующее (у всех одинаково):

27.07.2007    12:09:18    NT AUTHORITY\SYSTEM    Checking update packages from repository ePO_TECH.
27.07.2007    12:09:19    NT AUTHORITY\SYSTEM    Initializing update...
27.07.2007    12:09:19    NT AUTHORITY\SYSTEM    Verifying catalog.z.
27.07.2007    12:09:19    NT AUTHORITY\SYSTEM    Extracting catalog.z.
27.07.2007    12:09:19    NT AUTHORITY\SYSTEM    Loading update configuration from: Catalog.xml
27.07.2007    12:09:20    NT AUTHORITY\SYSTEM    Update Finished
27.07.2007    12:09:20    NT AUTHORITY\SYSTEM    Closing the update session.

Помогите понять где могут быть грабли и как заставить все обновляться корректно.

P.S. Установка агентов и VirusScan идет через политики без проблем. Пробовал переустанавливать агентов (из консоли ePO). Проходит так же без проблем.
Правда MyAVERT пишет, что Current DAT в репозитории 5084.0000 (Engine 5.1.000194), а Latest Avaliable 4.0.4478 (Engine 4.4.00) и Last Chesk 27.07.2007 Failed.

помогите советом ... на Exchange 2003 установил GroupShield 6.02 + addon antispam + VirusScan. В итоге все работает, но обновляются только DAT файлы для антивируса, а antispam ну никак обновляться не хочет. В чем может быть проблема ?

Добавлено:
в реестре ключ PerlVersion проверял, ручной апдейт делал ... автоматический для antispam всеравно не идет ... help!

Цитата:

помогите советом ... на Exchange 2003 установил GroupShield 6.02 + addon antispam + VirusScan. В итоге все работает, но обновляются только DAT файлы для антивируса, а antispam ну никак обновляться не хочет. В чем может быть проблема ?

имя сервера - Settings - Signatures & Engines - должна стоять галка "Anti-Spam Engine & Rule Update"