» Корпоративные продукты McAfee / Networks Associates (NAI)

jaf

Цитата:

Задача следующая: Клиент хочет сунуть чужую флешку. Так как клиент является продвинутым пользователем, он знает, что на чужой флешке есть вероятность поймать вирус. Он сует флешку, жмет на появившемся диске правую кнопку мыши, выбирает пункт Scan for treats... и терпеливо ждет.
А вот здесь и появляется проблема. По умолчанию первое действие у сканера почему то - "продолжать сканирование". таким образом вирусы обнаруживаются, но не лечатся.

централизованно изменить это, насколько я знаю, нельзя. если найдеш способ - напиши, самому стало интересно.


Цитата:

Изменить действие на "лечить" пользователь не может, так как я защитил все настройки паролем.

Ну раз пользователь продвинутый почему бы ему самому не разрешить изменять именно эти настройки? А также, при этих настройках, и обноружении заразы пользователь сам сможет принять решение о дальнейших действиях: лечить, грохнуть и т.д. (эт, кста, возможно настроить централизованно). Имхо, некоторая логика в таких дефолтный настройках есть

Ну а с точки зрения вирусной безопасности то тут нет ни какой дыры. Даже если вирус и есть и его on-demand scan, взванный через scan for threats, найдет, и ни каких действий производится не будет у нас ведь есть on-access scanner который всеравно будет проверять файлы при попытке чтения с этой флэшки, а уже его ты можеш центролизованно настроить нужным тебе способом

Привет все жителям. вот скачал ePO 4.0 Сейчас стоит ePO 3.6.1 +Patch2. SQL2000SP4
Попытался обновиься и тут наткнулся на ошибку когда утановка проверяет доступ на SQL
Пишет что мой логин не правильный или данные не верны. Хотя пытался с другой тачки установить оркестратора все проходит нормально. Может кто сталкивался с такой проблемой. Облазил сайт McAfee.com ничего похожего не нашел.

GnomS
какую авторизацию используеш? сиквельную или виндовую?

SergeyCVS

Цитата:

Ну раз пользователь продвинутый почему бы ему самому не разрешить изменять именно эти настройки?

У меня таких пользователей около тысячи. Разбираться кому разрешить менять настройки, а кому нет не получается.

Цитата:

А также, при этих настройках, и обноружении заразы пользователь сам сможет принять решение о дальнейших действиях: лечить, грохнуть и т.д. (эт, кста, возможно настроить централизованно).

В том то и дело, что нельзя. Иначе я бы поставил лечение по умолчанию и проблема была бы решена.

Цитата:

Ну а с точки зрения вирусной безопасности то тут нет ни какой дыры.

С точки зрения безопасности - дыры нет. А с точки зрения нервов пользователя (и соответственно меня, как администратора) - есть. Он копирует файлы с флешки - монитор находит вирус. У пользователя возникает разумное желание вылечить флешку. И здесь происходит описанная выше проблема. Епрст. Вирус находится, но не лечится.

столкнулся вот с такой проблеммой. стоит ePo4.0, перестало проходить обновление баз. в логах говорит что у вас с SQL не лады. вот фрагмент
20071101082727    E    #4216    DAL    COM Error :80004005 in CConxIndex::CConxIndex
20071101082727    E    #4216    DAL    Meaning = Неопознанная ошибка
20071101082727    E    #4216    DAL    Source = Microsoft OLE DB Provider for SQL Server
20071101082727    E    #4216    DAL    Description = [DBNETLIB][ConnectionOpen (Connect()).]SQL-сервер не существует, или отсутствует доступ.
20071101082730    E    #4216    DAL    CConxIndex::CConxIndex - giving up retrying connection.
20071101082730    E    #4216    ServLite    FindServerInfo error -1
20071101082730    E    #4216    EPOServer    Initialize Licensing Failed.
20071101082730    E    #4216    mod_epo    Failed to start naimserv module
20071101082730    E    #4216    mod_epo    Initialize epo handler failed
20071101082730    I    #3100    EPOServer    Initializing server...
20071101082730    I    #3100    EPOServer    Initializing DAL Connection Pool...
20071101082730    I    #3100    EPOServer    DAL Connection Pool Initialized.

служба SQL работает, перезапускается нормально.
мож кто из доков по SQL подскажет как подправить?
спасибо..

SergeyCVS

Цитата:

если найдеш способ - напиши, самому стало интересно

Пока не предумал ничего другого, как разрешить в политике Access Protection Policies изменять только свойство Action. Не самое лучшее решение, поскольку основная часть пользователей не станет жать кнопку Properties, будет сразу ждать результата и, не получив его, сердито звонить администратору. Но другого пока не придумал.

Добавлено:
yurl
Судя по всему проблема в авторизации.

jaf

Цитата:

Цитата: А также, при этих настройках, и обноружении заразы пользователь сам сможет принять решение о дальнейших действиях: лечить, грохнуть и т.д. (эт, кста, возможно настроить централизованно).

В том то и дело, что нельзя. Иначе я бы поставил лечение по умолчанию и проблема была бы решена.

и как же ее решить (проблемму авторизации) где копать?

SergeyCVS
используй SQL авторизацию

Добавлено:
SergeyCVS
использую SQL авторизацию, но и при виндовой тоже не пускает

Подскажите, пожалуйста:
После установки VSE 8.5.1i на серверах и рабочих станциях в Application.log постоянно сыпятся ошибки:

Source : Userenv
EventID : 1058
Description: Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=mycompany,DC=local. Этот файл должен находиться в <\\mycompany.local\sysvol\mycompany.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Системе не удается найти указанный путь. ). Обработка групповой политики прекращена.

Source : Userenv
EventID : 1030
Description: Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

В чем может быть причина этого, и как устранить?

подскажите пожалуйста
есть isa2004 и есть epo
неполучается настроить автоматическое обновление репозитори - ошибка чето там 504
причем вручную все отлично обновляется...
на исе может чего прописать надо?

asdq10
По моему совсем не в тему...
Настраивай работу ePo через прокси, настраивай саму ису на пропуск траффика ePo. Короче - тебе в тему по исе...

подскажите, кто знает

есть одинокий почтовый сервер Exchange 2003 на него поставил Groupshield 6.0.2.
Вопрос:
Где найти настройки для доступа к сайту Mcafee. чтобы получать в Groupshield update DAT-файла без EPO?

xicor2000
Если мне не изменяет память, то настройки по умолчанию и так тянут обновы с сайта производителя.

не похоже, получаю Update not found.


на сайте McAfee усть описание как делать вручную

https://knowledge.mcafee.com/SupportSite/search.do?cmd=displayKC&docType=kc&externalId=KB43465&sliceId=SAL_Public&dialogID=6293852&stateId=0 0 6295073

но что-то не особо хочется каждый раз это делать.

В Groupshield нашел системный лог вроде все в порядке.
Кажется я ошибся в определении ошибки:
в Product Log пишет ID 2023 - Update not found.

Возможно это всего навсего информация о том что нет обновления на сайте.
Подожду пока выйдет обновление...

Все хорошо - обновление закачалось.

З.Ы. продолжим дальше разбирать составляющие.....

Добавлено:
кто работает с Groupshield, пожалуйста
подскажите где найти информацию по статусам обработки
почты, а то в мануле только это:

Groupshield - Detecterd Items - result(act)

Result %act% The result of the action taken on the item, this can be
either:
- Clean
- Cleaned
- Replaced
- Removed
- Logged
- Denied Access

Не все пункты понятны...

На EventID нашел - чтобы устранить ошибки 1030 и 1058, нужно исключить из сканирования антивирусом папку sysvol. Подскажите где, в какой категории политик прописать это в ePO 4.0? Вообще то есть у кого-нибудь подобная проблема?

Друзья, интересная проблема. Имеем ePO 3.6 на сервере и на клиентах VirusScan 8.5 патч 4.
Смотрим системный лог на клиенте и видим что каждые пять минут в нем отображается следующее событие:
"Служба "McAfee McShield" перешла в состояние Приостановлена."
"Служба "McAfee McShield" перешла в состояние Работает."
Оба события происходят в одну секунду.
По какой причине его может так колбасить? Кто-нибудь сталкивался? Не нравится мне такая ситуация. До установки патча 4 такого не замечал. Может быть из-за него?


SergeyCVS

Цитата:

а кто юзеру мешает осуществить свое желание? более того, он может сам принять решение о том что лечить, что удалить, а на что забить:

Спасибо. Пока этим решением и ограничусь.

jaf

Цитата:

Смотрим системный лог на клиенте и видим что каждые пять минут в нем отображается следующее событие:
"Служба "McAfee McShield" перешла в состояние Приостановлена."
"Служба "McAfee McShield" перешла в состояние Работает."

таже ботва...

Добавлено:
avk1811

Цитата:

На EventID нашел - чтобы устранить ошибки 1030 и 1058, нужно исключить из сканирования антивирусом папку sysvol. Подскажите где, в какой категории политик прописать это в ePO 4.0?

закладка Policies, далее:
VirusScan Enterprise 8.5.0 > On-Access Default Processes Policies > [pol_name] > Exclusions


Цитата:

Вообще то есть у кого-нибудь подобная проблема?

не сталкивался, ни на одном DC в исключения sysvol не прописан

Добавлено:
jaf

ERROR: Event ID: 7036, The McAfee McShield service has entered the <Running> or <Paused> state (after applying VSE 8.5i Patch 2 or later)

SergeyCVS
Огромное спасибо. Hot Fix пошел клиентам.
В который раз мне помогает ru-board.

Сообщаю. После установки хотфикса проблема решилась. Рекомендую. Наблюдать забитый сообщениями лог не очень приятно.
SergeyCVS
еще раз спасибо.

Кто-нибудь использует SiteAdvisor Enterprise 1.5 ?
Что-то у меня не работает, все время сообщение "We`re experiencing communication problems right now". В политике для него стоит использовать Internet Explorer proxy settings, на проксе открыт доступ к siteadvisor.com

Поставил ePO 4.0
При попытке обновить через репозиторий LinuxShield 1.5 выяснил, что в репозитории не создаеться файлик oem.ini (на офф сайте он есть и в нем храняться чек суммы файлов)

Где в ePO надо прописать генерацию этого файла ?

не подскажите:
1.возможна установка ePO агента на ОС WinXP Home

molotok666
ePo предназначен для работы в составе домена, если изъвернешься и засунешь хоме хрюшу в домен - вопрос отпадет сам по себе.

Возможно обновление VirusScan 8.5i из ePO 3.6 без наличия агента
на локальной машине.

Возможно обновление VirusScan 8.5i из ePO 3.6 без наличия агента
на локальной машине?

molotok666

Цитата:

Возможно обновление VirusScan 8.5i из ePO 3.6 без наличия агента
на локальной машине?

обновление баз, движка, установка патчей для vse возможно.
установка/удаление самого vse, централизованное управление настройками не возможно, нужен агент

Каким образом это осуществляется?