» Корпоративные продукты McAfee / Networks Associates (NAI)

brassnet
так расписания задавать тасками или полисами? не понятно. по идее я так понимаю задается время коннекта агента к серваку. и тогда должны проверятся базы на валидность. если не актуальные то обновляются. но на деле этого не происходит. почему так? валидность везде стоит каррент. реально базы обновляются только по расписанию из самого вирусскана.

пысы. сегодня получил еще одну ложку дегтя. стоп ошибка 8е при совместной работе вирусскана и впн чекпойнт. оказалось есть патч и он помог. но блин патч выпущен еще в октябре прошлого года неужели нельзя было перепаковать инсталлятор вирусскана?

и еще вопрос по поводу алертов? в епо настроил что слать чрез смтп определенные типы алертов. но нифига никто не шлет ни разу. при настройке пакета через дезингер видел что можно установить отдельный алертер или на сервак или на все подряд. вопрос где его брать? и что он делает. и вообще почему не шлются письма?

Zuh
создай таск update agent и настрой его по расписанию!
по поводу алертов, если вы хотите чтобы к вам шли письма сразу после обнаружения вируса или вредоносной программы - можно поступить иначе, в "Automation" - "Notification Rules" - создала правило: "Когда локальный вирускан находит вирус в системе, отсылать сообщение, там-то и там-то найдено"
могу поделиться кодом для тела письма на 4 шаге установки правила

{ReceivedEventCategories}

{ReceivedProductFamilies}

{AffectedObjects}

{AffectedComputerIPs}

{AffectedComputerNames}

{FirstEventTime}

{ReceivedThreatNames}

{SourceComputers}

{EventDescriptions}

Этого будет достаточно для понимания ситуации.

Rossiyanka
пасип. там и настраивал но приглядевшись увидел свою ошибку.

еще появился вопрос.
не инсталится агент. вернее инстал проходит но как бы не до конца. на компе запускается только служба фрамевок сервис. и все. процесс мс трей не запускается. и в епо этот компьютер отображается как без агента.
ни кто не сталкивался почему инстал проходит не до конца? может есть какието противопоказания?

Добавлено:
Rossiyanka
пасип. там и настраивал но приглядевшись увидел свою ошибку.

еще появился вопрос.
не инсталится агент. вернее инстал проходит но как бы не до конца. на компе запускается только служба фрамевок сервис. и все. процесс мс трей не запускается. и в епо этот компьютер отображается как без агента.
ни кто не сталкивался почему инстал проходит не до конца? может есть какието противопоказания?

Привет всем!

У меня возник такой вопрос:
ePo раньше не использовал, на всех раб. станциях стоял McAfee 8.5 и 8.7i(локально все ставилось)

сейчас поставил ePo 4.0
добавил дополнительный софт типа: HIP, AntiSpyware,McAfee 8.7i, Anti-spam..

после просмотра ролика
https://kc.mcafee.com/content/tutorials/epo/ePO4_jg_614021.htm
и еще ряда роликов из сапорта..

создал несколько подгрупп,на подгруппы создал задачи для инсталяции
хотел создать следующие:
1. установка агента на станции
2. WakeUp агента
3. удаление McAfee 8.5
4. Установка McAfee 8.7i (а так же Anti SpyWare) на некоторых группах
5. Установка McAfee 8.7i (а так же Anti SpyWare, HIP) на некоторых группах

возникли вопросы:
1. как будут выполняться данные задачи? имено в таком порядки как я их создавал? или все зависит от времени в шедуле которое я указал? (по ролику из сапорта они 8.5 ставили в шедуле ежедневно)
2. в ролике что ссылку дал там в расписании указан режим ежедневно..т.е получается 8.5 у них будет ежедневно ставится? или они просто на этом упор не сделали? м.б. там стоило поставить мне немедленно или один раз? для какой цели они ставили режим ежедневно? или агентпроверяет, если софт установлен то он ео повторно не ставит?
3. еще вопрос такой как узнать запустился McAfee на рабочей станции или нет? ч/з ePo я еговроде как залил..в логах видно, но вот работает ли?? будет ли он защищать систему? на рабочей станции значка же не видно..есть какой то способ узнать что установлено и что запущено на рабочей станции?
4. если требуется установить софт или драйвера.. раньше McAfee в Access Protection блокировал изменение в системных файлах винды..и я обычно тормозил аццесс на время установки а поом запускал заново..как сейчас это нужноделать?
5. на некоторых компах уже стоит 8.7i но установка там локальная..как ее теперь заменить на установку с ePo, не бегая по всем рабочим станциям? чтобы и обновления были ч/з ePO и не висел щит в трее..
6. еще не понятно, если задачи можно создаватьна группы и подгруппы, то почему мне ePo не позволил создать на разных подгруппах задачи с одним названием?
7. не пойму как создать задачи на конкретные системы(компы) т.е. то что в ролике отмечали галочкой системы, все фигня, я отметил..но задача не ставилась на отмеченную ссистему а ставилась на всю группу.
8. почему то не получилось в epo в софт добавить zip для инсталяции на exchange
у меня вот этот архив: GSE603ENE.zip или его надо ставить непосредственно на эксченже? но тогда как обновление баз будет происходтиь? (для 8.7. обновления баз у меня появилось только после добавления софта 8.7 и выполнения соотв. задачи в automotion)
9. в расписании рабочих станций стоит обновление в определенное время..но если раб. станция вдруг не будет работать в
то время, то тогда обновления вообще не будут закачиваться? а если ставить расписание " при старте системы" то тогда могут не обновляться компы которые не выключаются..или нужно создать обе такие задачи?
10. Anti-Spam Engine его достаточно поставить на эксченже или клиентам тоже его надо стаивть?
11. и еще последний вопрос, какие службы должны быть запущены на раб. станции, чтобы агент успешно поставился? есть один комп на который агент не постаивлся..

Заранее всем спасибо.

п.с. таги как я понял позволяют создавать различные настройки Policy? и все?
на установку того или иного софта ими не разрулить?
а то боюсь те группы что создал придется дробить еще сильнее в будущем..

Kwasti
Привет!
Попробую ответить по собственному опыту.


Цитата:

создал несколько подгрупп,на подгруппы создал задачи для инсталяции
хотел создать следующие:
1. установка агента на станции
2. WakeUp агента
3. удаление McAfee 8.5
4. Установка McAfee 8.7i (а так же Anti SpyWare) на некоторых группах
5. Установка McAfee 8.7i (а так же Anti SpyWare, HIP) на некоторых группах

возникли вопросы:
1. как будут выполняться данные задачи? имено в таком порядки как я их создавал? или все зависит от времени в шедуле которое я указал? (по ролику из сапорта они 8.5 ставили в шедуле ежедневно)

8.5 можно не удалять, сразу ставь 8.7, он нормально установится сверху.
Я все свои компы так проагрейдил - все путем.


Цитата:

2. в ролике что ссылку дал там в расписании указан режим ежедневно..т.е получается 8.5 у них будет ежедневно ставится? или они просто на этом упор не сделали? м.б. там стоило поставить мне немедленно или один раз? для какой цели они ставили режим ежедневно? или агентпроверяет, если софт установлен то он ео повторно не ставит?

У меня стоит немедленно. Софт ставиться один раз, потом, если уже установлен, не ставится.
А ежедневно или немедленно есть смысл оставлять для того чтобы новые компы сразу получали полный комплект антивируса.


Цитата:

3. еще вопрос такой как узнать запустился McAfee на рабочей станции или нет? ч/з ePo я еговроде как залил..в логах видно, но вот работает ли?? будет ли он защищать систему? на рабочей станции значка же не видно..есть какой то способ узнать что установлено и что запущено на рабочей станции?

1.После установки появляется в Программах папачка McAfee, можешь запустить консоль и посмотреть что работает.
2.Посмотри какие сервисы установлены и работают в системе.
3.Иконку в трей можно и вывести. По моему, юзера лучше себя чувствуют, когда видят что антивирус в системе есть и за безопасностью их компа следит админ.


Цитата:

4. если требуется установить софт или драйвера.. раньше McAfee в Access Protection блокировал изменение в системных файлах винды..и я обычно тормозил аццесс на время установки а поом запускал заново..как сейчас это нужноделать?

Дрова обычно ставлю еще до того как водружаю McAfee на рабочку.
Ну а с установкой софта обычно проблем не было.
Возможно, у меня политики McAfee достаточно мягкие.


Цитата:

5. на некоторых компах уже стоит 8.7i но установка там локальная..как ее теперь заменить на установку с ePo, не бегая по всем рабочим станциям? чтобы и обновления были ч/з ePO и не висел щит в трее..

У меня не было такой ситуации. На макафи переходил с каспера и сразу корпоратив ставил.
Но если у тебя в политиках прописана установка вирусскана, то как только ты установишь агента, то и вирусскан у тебя переустановится с соответствующими настройками.
Думаю что есть и другие способы заставить вирусскан тянуть обновления и политики из епо.


Цитата:

6. еще не понятно, если задачи можно создаватьна группы и подгруппы, то почему мне ePo не позволил создать на разных подгруппах задачи с одним названием?

мне тоже не позволил


Цитата:

7. не пойму как создать задачи на конкретные системы(компы) т.е. то что в ролике отмечали галочкой системы, все фигня, я отметил..но задача не ставилась на отмеченную ссистему а ставилась на всю группу.

аналогично, думаю что это и не нужно. Сделай в группе еще подгруппу, туда этот комп засунь. И вообще в политиках действует наследование - пользуйся.


Цитата:

8. почему то не получилось в epo в софт добавить zip для инсталяции на exchange
у меня вот этот архив: GSE603ENE.zip или его надо ставить непосредственно на эксченже? но тогда как обновление баз будет происходтиь? (для 8.7. обновления баз у меня появилось только после добавления софта 8.7 и выполнения соотв. задачи в automotion)

эксченджем не пользуюсь, но по моему руками надо ставить.
Скачай мануал, там все описано.


Цитата:

9. в расписании рабочих станций стоит обновление в определенное время..но если раб. станция вдруг не будет работать в
то время, то тогда обновления вообще не будут закачиваться? а если ставить расписание " при старте системы" то тогда могут не обновляться компы которые не выключаются..или нужно создать обе такие задачи?

Обновление чего?
Агент самостоятельно проверяет политик (по умолчанию раз в час), если есть изменения - применяет.
Если обновились антивирусные базы, то они применятся в течении часа.


Цитата:

10. Anti-Spam Engine его достаточно поставить на эксченже или клиентам тоже его надо стаивть?

По моему это клиентский продукт. На эксчендж его как раз не надо ставить.
Могу ошибаться - не пользуюсь, хотя планирую внедрить. Но говорят он не очень хорош.


Цитата:

11. и еще последний вопрос, какие службы должны быть запущены на раб. станции, чтобы агент успешно поставился? есть один комп на который агент не постаивлся..

удаленный реестр, служба доступа к файлам и принтерам (привязана к нужному сетевому адаптеру) + административные виндовые шары.
По умолчанию это все включено.
Ну и ты должен знать пароль локального администратора для установки агента.

Есть ePO 4 pack4, в репозитарии:
VSE 8.5 pack 8 как current
и VSE 8.7 как current,

начал тестировать на клиентах, у них стоял VSE 8.5 pack 6 , так вот вручную локально задал на одном из клиентов обновление, он и обновился до VSE 8.5 pack 8.

а вот другие клиенты обновились по назначенному таску, но они обнови полностью VSE до версии 8.7, хотя это не являлось задачей. Это нормально?

Насколько я понял он берет самое последнее в репозитарии, но я думал что он не должен софт обновлять.

Еще вопрос, поставил задачу на удаление 8.7, но она не сработала, а другие задачи на установление, к примеру, работают исправно, может что то надо недоучёл?

И еще вопрос, при задаче установления софта удаленно, например HIP, на каком уровне грузится сетевой канал со стороны клиента? Никто не замерял?

Добавлено:

Цитата:

[/q]
Цитата:

Цитата:

[q]Цитата:9. в расписании рабочих станций стоит обновление в определенное время..но если раб. станция вдруг не будет работать в
то время, то тогда обновления вообще не будут закачиваться? а если ставить расписание " при старте системы" то тогда могут не обновляться компы которые не выключаются..или нужно создать обе такие задачи?


Обновление чего?
Агент самостоятельно проверяет политик (по умолчанию раз в час), если есть изменения - применяет.
Если обновились антивирусные базы, то они применятся в течении часа.

Спасибо за ответы на большинство моих вопросов .


Цитата:

Обновление чего?
Агент самостоятельно проверяет политик (по умолчанию раз в час), если есть изменения - применяет.
Если обновились антивирусные базы, то они применятся в течении часа.

я имел ввиду обновление баз и движка в расписании стоит же ежедневно..
или при изменении баз или движка шедуле воообще чтоли роли не играет?
сам агент (точнее задачи) да получает каждый час..и как я понял ставит их в расписание. А вот с базами как?

если в задаче стоит немедленно то в какой момент это немедленно считается? в то время когда задача создалась? а если раб. станция была выключена? то получается она больше не выполнит задачу?

что-то я туплю с задачами..сори за дурацкие вопросы.но хочу точно понять.


Цитата:

3.Иконку в трей можно и вывести. По моему, юзера лучше себя чувствуют, когда видят что антивирус в системе есть и за безопасностью их компа следит админ.

наверно ты прав..но изменять они ничего не смогут, когда видят иконку, там не появляется меню если ткнуть туда мышой?

если все закрыто, то подскажи где (какой) параметр надо указать в ePO?
еще вопрос появился..

по правой копке мыши не вижу в меню диска строки проверить на вирусы...
пользователь сам теперьне может проверять? а если кто то с флешкой прийдет?

showbegin
NAC у меня не стоит.

"Расклад" не проверял, но базы на рабочках все время свежие.
Проверял только "ручное обновление". Если в репозитории свежая база и сделать на рабочке ручное обновление, то свежие даты закачиваются.
Я надеялся, что на автомате происходит то же самое, и, собственно, ничто не указывало что это не так.

Надо будет протестировать.

Kwasti

Цитата:

если в задаче стоит немедленно то в какой момент это немедленно считается? в то время когда задача создалась? а если раб. станция была выключена? то получается она больше не выполнит задачу?

"немедленно" значит сделать тогда когда агент синхронизируется с сервером.
Если надо это сделать прямо сейчас, то надо послать агенту WakeUp.


Цитата:

наверно ты прав..но изменять они ничего не смогут, когда видят иконку, там не появляется меню если ткнуть туда мышой?

Меню появляется.
даже если ничего изменять не смогут, то хотя бы логи могут увидеть (кстати это удобно когда ты сам придешь к юзеру и сразу можешь все посмотреть по логам), опять же ручное обновление доступно и About опять же статус агента и т.п.
Практически полезного мало, но зато видно что система работает. А логи больше тебе будут полезны, когда придется прийти на рабочку посмотреть.


Цитата:

если все закрыто, то подскажи где (какой) параметр надо указать в ePO?

смотри политику McAfee Agent, там за иконку только одна галка отвечает.
Для Вирусскана отдельная политика "User Interface Policies"


Цитата:

по правой копке мыши не вижу в меню диска строки проверить на вирусы...
пользователь сам теперьне может проверять? а если кто то с флешкой прийдет?

У меня есть "Scan for threats" называется.

Цитата:

У меня есть "Scan for threats" называется.

у меня похоже что то не поставилось..
т.к. нет такой строчки..
еще в политике я не увидел строки в которой можно было бы настраивать сканирование..
есть
аццесс протекшн
алерт полиси
буфер оверлоу
несколько Он-аццесс (5 строк)
он деливери е-майл
карантин менеджер полиси
анвонтед програмс
юзер интерфейс

и все.. это в продукте VirusScan Enterprise 8.7

Kwasti
Все это и есть политики сканирования.
Посмотри их все, разберешься.

Стоит корпоративный McAfee 8.7.0
Scan Engine Version 5301.4018
Dat Version 5585.0000
Dat created On 15 апреля 2009


Цитата:

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.

Столкнулся с такой проблемой. Антивирус ничего не находит. Подскажите как с ним пороться...

AlexRNeos

Цитата:

Подскажите как с ним пороться...

Возьми лайф сиди от дохтора веба и почекай комп...

Kwasti
к ответам res2001 могу только добавить про Anti-Spam Engine. Это движка к модулю для почтового сервака.

Kwasti
свои добавки

п. 5
У меня было так: если 8.7 уже стоял, то после деплоя агента на эту систему - тот видит установленный VSE и просто передает управление в ePO даже без всяких тасков инстала.

п. 7
неаналогично У меня таски на отдельные компы создаются без проблем... Не знаю почему у Вас не получается

AlexRNeos
Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
http://news.drweb.com/show/?i=304&c=5

вот такие траблы с запуском агента:
если агент ставится на комп то при wakeUP
появляется ошибка:

Waking up agent INVEST-OMP6 using NetBIOS
Unknown error contacting agent

просмотрел на компе все службы и протоколы не нашел ничего что бы отличало его от других компов..

и на компах с такой ошибкой системы есть и win2k и winXP
в событиях ошибок не нашел никаких..

где и как подробности можно узнать/посмотреть?

на всех компах применяется едеиная политика домена...

Переезжаем в следующую часть:
Корпоративные продукты McAfee / Networks Associates (NAI) II