» Symantec Antivirus Corporate Edition (часть 2)

стопудов это не в семантеке дело, ищи проблему в другом месте, в фаере например

Почему сервер не хочет обновлять базы?
Как обычно .XBD попадает в /SAV
VD226412.vdb
VD226412.XDB
VD226613.XDB
Прошлые обновления прошли нормально, а последнее не хочет. Что ему не нравится?

Настройка сервера

Запускаем SSC. Раскрываем в левой части консоли Symantec System Center – System Hierar-chy. Должно появиться имена обнаруженных групп. Если их несколько – то в консоли отобразятся все найденные. Если этого не произошло, кликаем правой клавишей мыши по значку «System Hi-erarchy», из контекстного меню выбираем New – Server Group и вводим имя созданной нами группы, а также ее пароль. Будьте внимательны при конфигурировании целевой группы. Кликаем по требуемой группе правой клавишей и выбираем «Unlock Server Group». Потребуется ввести пароль. Если не хочется вводить его в будущем – установите флажок «Save this Password». В от-крывшемся иерархическом списке прежде всего кликаем по значку нашего сервера и в появив-шемся контекстном меню выбираем «Make Server a Primary Server» и подтверждаем смену роли. Если серверов антивируса несколько, то один из них будет Primary, а остальные – резервными для отказоустойчивости.
Изменения конфигурации как самого сервера, так и клиентов производятся путем вызова со-ответствующих консолей настройки. Все они сгруппированы в контекстное меню, вызываемое правой клавишей мыши – All Tasks. В дальнейшем описании словосочетание «кликните правой клавишей по объекту и выберите All Tasks – Symantec Antivirus» по умолчанию опускается – бу-дут указываться только пункты в этом меню. Все настройки в открываемых консолях относятся к тому объекту, по которому вы кликнули при выборе требуемой опции, поэтому клик правой кла-вишей мыши для вызова меню необходимо производить именно на указанном объекте.

Настраиваем наш основной сервер антивируса.
•    Virus Definition Manager – настраиваем порядок и расписание получения обновлений нашим сервером. Выбираем «Update the Primary Server of this Server Group only» и нажи-маем «Configure». При такой настройке только Primary Server будет получать обновления из интернета, а все остальные сервера получат их от него. Таким образом мы экономим внешний трафик. Для получения обновлений сервер антивируса должен иметь доступ к Web-ресурсам Symantec Corporation по портам HTTP (80) и FTP (20,21), либо необходимо настроить подключение через прокси-сервер, нажав кнопку «Source». Для автоматическо-го обновления устанавливаем флажок «Schedule for automatic updates», и, нажав справа кнопку «Schedule» задаем расписание проверки обновлений. Устанавливаем «Daily» - At <требуемое время> и в «Advanced» указываем, время, через которое необходимо повто-рять неудачные попытки обновления (Handle missed events within), а также период слу-чайного смещения расписания обновления (Randomization Options – Perform Update within plus or minus). Выходим в меню Virus Definition Manager.
Задаем способ получения обновлений клиентами. Выбираем «Update virus definitions from parent server» и нажав «Settings», задаем период проверки клиентами обновлений на сер-вере. Значение 60 минут является гарантией того, что клиенты будут проверять наличие обновлений ежечасно. Поскольку при такой настройке клиенты проверяют обновления только на указанном внутреннем сервере, никакого трафика на внешнем канале они не создадут. Если в сети все компьютеры локальные, то устанавливаем флажок «Do not allow client to manually launch LiveUpdate», чтобы принудительно запретить клиентам запускать проверку обновлений через интернет. После того, как порядок обновлений сервера и кли-ентов настроен, подтверждаем изменения. Однако, если имеются пользователи с мобиль-ными компьютерами, то лучше выделить их в отдельную группу и создать персональные настройки для этой группы (в частности, разрешающие ручное обновление, чтобы со-трудник, уехавший в командировку смог при необходимости вручную обновить свой ан-тивирус). Даже если вы запретили клиенту запуск обновления через LiveUpdate, все равно имеется возможность добавить новые сигнатуры. Для этого необходимо скачать с сайта производителя универсальное обновление «Intelligent Updater» в виде exe-файла. После запуска программа сама найдет установленные компоненты и обновит их.
•    Update Virus Defs now – выбираем данный пункт для немедленной проверки и закачки главным сервером обновлений антивирусных баз через интернет. Будет выведен запрос подтверждения и после этого базы начнут обновляться. Это может занять некоторое вре-мя в зависимости от скорости Вашего канала. Выделив нужный сервер, через некоторое время (первоначальное обновление имеет размер от 5 до 8 мегабайт) нажмите F5. Статус должен смениться на нормальный (синяя галочка). Если этого не произошло – проверьте в чем дело – вызовите свойства сервера и в закладке Symantec Antivirus проверьте дату обновления. Она должна быть близка к текущей дате (разница в несколько дней допуска-ются, так как SAV указывает только дату глобального обновления, не принимая в расчет добавления одиночных записей). Если обновление очень уж старое (больше 10 дней) – значит ваш сервер по каким-либо причинам не смог обновить базы. Проверьте настройки доступа вашего сервера в интернет, а также логи шлюза – была ли предпринята сервером попытка обновить базы. Для более подробного анализа можно просмотреть даты измене-ния файлов с базой вирусов – она должна показывать время последнего изменения, что позволит точнее проверить, когда произошло обновление.
•    Server Auto-Protect options - настроим работу сервера антивируса в режиме online-мониторинга. Устанавливаем флаг «Enable Auto-Protect», выбираем типы файлов. Если выбрать «All types», то снижается быстродействие, но повышается защищенность. Для увеличения быстродействия опытные администраторы, способные совершенно точно предсказать, в каких файлах могут содержаться вирусы, могут установить флаг «Selected» и, нажав копку «Extensions» добавить необходимые типы файлов. Мастер позволяет ав-томатически добавить известные SAV типы «Programs» и «Documents», однако этого не всегда оказывается достаточно. Например, крайне рекомендуется добавить вручную к приведенному списку файлы с расширением TMP, так как многие программы перед тем, как создать окончательный файл или добавить в базу информацию, сначала создают вре-менный файл. Таким образом, имеется возможность сразу отловить вирусный файл. Крайне полезна данная опция, например, для почтового клиента The Bat!, который при получении письма сначала помещает его содержимое во временный файл. Если антивирус почтового сервера не смог обезвредить вирус (например, его описание еще не появилось в сигнатурах), то локальный монитор сможет предотвратить заражение – такое письмо про-сто не будет получено с POP3-сервера. Имеется в виду, что на почтовом сервере и на ло-кальных компьютерах установлены антивирусы РАЗНЫХ производителей – и если опи-сание вируса не успело появиться в сигнатурах на почтовом сервере, то есть надежда, что на локальных компьютерах оно уже есть. Правее настраиваются действия, которые необ-ходимо производить при обнаружении зараженного файла. Как правило, оптимальным является попытка вылечить объект, а если это не удалось – просто удалить файл. Если у Вас большая сеть, то помещать в карантин тысячи, скорее всего, бесполезных файлов как минимум нерационально.
В меню «Advanced» задаются дополнительные параметры сервера. «StartUp options» ус-танавливает порядок запуска (мы выбрали «System Start», однако при необходимости можно изменить этот параметр). «Changes requiring Auto-Protect reload» - действие, кото-рое необходимо совершать при изменении параметров, требующих перезагрузки сервера антивируса. Можно выбрать «Wait until system restart», однако лучше применять измене-ния сразу: «Stop and reload Auto-Protect», так как сервера могут не перезагружаться года-ми. В поле «Scan files when» указывается, когда именно необходимо сканировать требуе-мые файлы. Вариант «Accessed or modified» является наиболее разумным, так как подра-зумевает максимальную защиту – проверка будет осуществляться при любом обращении к файлу, а значит ни скопировать, ни запустить зараженный файл будет невозможно (при соответствующих настройках действий с зараженными объектами – см.выше).
В секции «Automatic enabler» задается время, через которое мониторинг будет автомати-чески включен, даже если его принудительно отключил администратор. Секция «Threat tracer» позволяет настраивать поиск и блокирование сетевой активности вирусов в случае обнаружения таковой (используется встроенный Client-Firewall). В секции «Additional ad-vanced options» задается уровень эвристики (средний – оптимален), а также контроль за флоппи-дисководами. Так, при попытке завершения работы антивирусный монитор про-веряет наличие дискеты в дисководе, и если она там есть – выдает соответствующее пре-дупреждение, которое очень часто вводит в ступор пользователей (особенно бухгалтеров, которые часто оставляют ключевые дискеты клиент-банка). Это проверку можно отклю-чить, установив флаг «Do not check floppies upon system shutdown» под кнопкой «Floppies».
Вернемся в основное окно «Server Auto-Protect options». В секции «Options» можно раз-решить или запретить выдачу сообщения при обнаружении вируса, а также отредактиро-вать текст этого сообщения. Как правило, в больших сетях проще это сообщение вообще отключить, иначе очень быстро надоест отвечать на тревожные звонки пользователей, ко-торые будут со страхом сообщать, что у них «обнаружен вирус!». Здесь же задаются типы и расположение файлов, которые проверять не нужно. При возможном сильном торможе-нии исключите из проверки файлы, которые скорее всего не будут содержать вирусов, но постоянно используются. Например, файлы БД. В противном случае вы получите резкое замедление работы в этих базах. Поэтому например при использовании систем «1С:Предприятие» файловых версий не забудьте исключить из проверки файлы следую-щих типов: dbf, cdx, md, dd, ert, log, mlg. То же касается работы дизайнеров (файлы tiff, cdr, psd и другие), архитекторов, инженеров видео монтажа и пр. В противном случае вам гарантированы жалобы на «торможение системы», так как постоянный мониторинг, на-пример, нескольких гигабайтных AVI-файлов почти завесит систему. Однако в последнее время обнаруживаются совершенно непредсказуемые уязвимости при обработке вроде бы «безвредных» файлов (например последние уязвимости, связанные с переполнением бу-фера в GDI с помощью безобидного JPG файла). Поэтому говорить о том, что в каком-то конкретном формате файла вирусы жить не могут, мы не имеем права. Можно лишь наде-яться, что не будет найдено новых ошибок в обработке этих «безопасных» форматов. Здесь необходимо руководствоваться отношением показателя надежности к получаемому быстродействию.
В опции «Drive types» снимите все галки, так как ни проверка сетевых дисков, ни скани-рование CD не даст вам ничего, кроме значительного замедления работы системы. Ак-центирую внимание, что отключение такой проверки абсолютно безопасно, если Вы про-веряете файлы при любом обращении к ним – при попытке скопировать или запустить та-кой файл он будет заблокирован. Таким образом оптимальное быстродействие достигает-ся за счет фоновой проверки только тех файлов, к которым осуществляется обращение.
На этом конфигурирование антивирусного монитора сервера завершено и можно перехо-дить к настройке клиентов. Конфигурация защиты клиентов аналогична серверной, за не-которыми исключениями и дополнительными возможностями, о которых будет особо сказано далее.

AgBoKaT
Могут быть повреждены файлы LiveUpdate. Бывает такая шняга. Удали на сервере утилитку LiveUpdate, а потом переустанови ее с диска и обнови все заново.

Mumij
Это проверенный метод? А вот я не уверен. Потому как это вирусные базы, которые поставляются с дистрибутивом. Получается, что я обновляю оригинальные вирусные базы точно такими же базами (проверено датой файлов и колличеством вирусных записей). А мне требуются последние заинмталенные базы на данный момент. Так что этот способ не катит ... Легчн короче базы качать с симантека в виде exe..

Verwolk

Спасиб, но это я читал у тебя какая версия SAV стоит?

SAVage22
10.1.4.4010 и дело тут не в версии. твоя ошибка говорит о том что ливапдейт не может связаться с симантеком. Ищи причины.

zerbino

извини, имелось ввиду на стороне сервера, "c:\Program Files\Common Files\Symantec Shared\VirusDefs\BinHub" - на той машине где сервер симантека поднят и проапдейтен, тоесть если сделать VDefHub.zip и закинуть в клиенскую часть установки,то клиент ставиться с последними на тот данный момент сделаными апдейтами.Пробывал - получалось.

Народ!! А как нибудь можно удалить клиентскую част Symantec а со всех компьютеров в сети? Если писать скрипт, то мешается ввод пароля. Помогите советом

SVOI_CHUVAC
Хех. Самый прикол в том что никак. Symantec ясный пень считает что никто не станет удалять такой хороший и замечательный антивирус. И вообще так считают почти все производители антивирусного ПО. Однако про продукты конкурентов они иного мнения.
К чему это я.
В общем точно знаю что и у TrendMicro и у McAfee(может быть еще у каспера) существуют проги, которые умеют выгребать symantec не смотря на пароль подчистую. Не знаю точно есть ли эти программы в свободном доступе, но ведь никто не мешает написать тебе письмо, что так мол и так - решил удалить симантек и перейти на ваш продукт.
Это кстати относится и к тем кто решил удалить у себя Trend и McAfee. У симантека вроде как есть утилиты для удаления этих продуктов.

Проблема следующего характера! После перехода на ZA версий 6.5.ХХХ.Х столкнулся с непонятностью!
Symantec antivirus v.10.1 при внешне нормальной работе отображает количество проверенных файлов до смешного малое (при запуске системы аж 35 шт.), на версии ZA6.1.744 это количество 2056. Создается впечатление, что SAV чем-то блокируется. Может, кто нибудь сталкивался с подобной проблемой, дайте знать!

adonskoy
Хех... да ужжжж... то же мне конкуренция, но все же спасибо за ответ... не буду себе голову забивать, а с Trend ом пусть начальство договаривается

SVOI_CHUVAC
вообще удалиьть можно достаточно в консоли управления убрать галочку запрашивать пароль на удаление и потом смело сносить скриптом ещё можно подправить файл конфигурации сервиса удаленной установки клиента и он просто удалит симантек с машин

vicpo
Пробовал убрать галочку, тока все равно пароль спрашивает, судя по всему из-за того что если убрать галочку то пароль на удаление спрашиваться не будет тока на тех станциях, клиенты которых устанавливались уже после того как сняли эту галочку, а те у кого клиент стоял до этого все так же спрашивают пароль, или я ошибаюсь и что нибудь не правильно делаю?

Запускаю ливапдейт, начинают скачиваться обновления, как только количество скачанного доходит до магической цифры 3498 кб, скачивание прекращается на том основании, что сервер симантека перестал отвечать. В чем м.б. проблема?

nag
керио раздача идет? если да то отключи антивирус керио.

BlackFox

Цитата:

керио раздача идет?

что такое "раздача керио"?

Добавлено:
BlackFox

Цитата:

отключи антивирус керио

ты знаешь, помогло. только не пойму какая тут связь?

Разгильдяи. Нет слов. На морде сайта. Они и софт свой похоже так лепят - для той же категории граждан.

"Yahoo! и Symantec объединили усилия для защиты потредителей в онлайне"

Версия 10.1.4.4000 - косяки достали.

ALL
Очевидно, что Real-Time корпоративного
McAffee VirusScan 8i Enterprise + patch 13 + AntiSpyware + Engine 5100
тормозит компьютеры пользователей объективно существенно меньше чем
Symantec Antivirus 10.0.2.2021 / 10.1.4.4010 Corporate Edition.
Можно ли в качестве основания для использования на предприятии именно SAV а не VSE8, не смотря на его некоторую тормознутость на фоне VSE8, использовать то что на работе люди должны работать а не развлекаться и то что SAV все же добротнее по некоторым признакам чем VSE8. Например с ним не было еще в истории таких косяков как с VSE8(последний раз на многих компах в мире VSE8 принимал xls/doc файлы и Word/Excel за вирусы и помещал их в карантин) ???


SVOI_CHUVAC
На сколько я понял, если ты хочешь удалить SAV на всех компах в сети и вместо него использовать корпоративный McAfee или TrendMicro - при их установке, они сами его снесут в автоматическом режиме.

mkolesov
Косяки 10.1 обусловлены тем что он вышел совсем недавно.
Если ты думаешь, что с другими корпоративными антивирусами проблем меньше, можешь почитать например какое кол-во исправлений вносит последний патч к McAfee VSE8
http://knowledge.mcafee.com/SupportSite/dynamickc.do?externalId=1356755&sliceId=SAL_Public&command=show&forward=nonthreadedKC&kcId=1356755
С McAfee VSE8 все же проблем меньше чем с SAV 10.1 так как McAfee его делает с 2004 года и последений патч имеет порядковый номер 14.
В то же время в ноябре выходит совершенно корпоративный McAfee VSE 8.5
с которым думаю проблем по началу будет не меньше чем с тем же SAV 10.1(.4.4010)

Думаю что серьезные организации еще не переходят на SAV 10.1 так как она еще сыровата и используют максимум 10.0.2.2021.

alx19

Цитата:

Очевидно, что Real-Time корпоративного
McAffee VirusScan 8i Enterprise + patch 13 + AntiSpyware + Engine 5100
тормозит компьютеры пользователей объективно существенно меньше чем
Symantec Antivirus 10.0.2.2021 / 10.1.4.4010 Corporate Edition

Ну, слово ОЧЕВИДНО я бы не употреблял. У меня много знакомых, которые думают подругому. Конфа на конфу не приходится, как говорится


Цитата:

Косяки 10.1 обусловлены тем что он вышел совсем недавно.

Всему есть предел. Косякам тоже. К тому же "косяки" преследуют 10ку с момента её появления на свет. Именно из-за неё мы переползли на McAfee. К тому же модуль AntiSpyware у SAV разве что есть, не более. Реальной помощи от него никакой.


Цитата:

McAfee его делает с 2004 года и последений патч имеет порядковый номер 14

14 заплаток за 2 года - ИМХО приемлемо. За последний год вышло порядка 20 версий SAV, если не больше. Сколько промежуточных версий не увидело свет можно только по билду догадываться...

Добавлено:

Цитата:

при их установке, они сами его снесут в автоматическом режиме

Нет, во всяком случае VirusScan. Он не знает про 10ку ничего, про 9ку тоже не про все версии.

To all
Про версии антивиря у Symanteca следующая политика. То что сейчас называется 10.1 вы смело можете считать 11 версией. Просто симантек мало вкладывает в развитие продукта. Нововведений мало. Вот и решили назвать 10.1. А вообще симантек придерживается того что каждый год выпускает новую major версию(2006 - 10.1, 2005 - 10.0, 2004 - 9.0, 2003 - 8.0). Сейчас просто по некоторым причинам симантек теряет рынок и до сих пор в раздумьях вкладывать деньги в новую версию или нет. Сказывается еще и то, что до сих пор продолжается поддержка 9й версии. Ведь по сути дела 9.0.5 и 10.1 это одно и то же, просто разные протоколы коммуникаций.

Раньше нравился, но на данный момент достаточно слабую эвристику лично я считаю неоправданной. Хотя при нормальных руках и ясной голове антивирус по большому счету не нужен.

Всем привет!
Есть проблема. Раньше в сети работал АВ-сервер версии 10.0.2, сейчас этот сервер списали, на другой установили 10.1.4.4000. Проблема в следующем: клиенты не обновляются с нового сервера через vplogon.bat. Установщик проверяет версию сервера, версию клиента, видит, что сервер более свежий, говорит, что необходима установка, начинает установку, а потом ошибка "Setup program didn't run (return code 267)" и все...
Кто знает в чем проблема, подскажите, пжлста.
Буду благодарен за любую информацию.

P.S.: Только не советуйте отказаться от Symantec.

Да, если запустить установку на клиентской машине вручную с сервера, то все проходит нормально.

citadmin
Ну ты даешь!!! Манул читай. Обычно полезно знать как программа работает. Защищенные протоколы, сертификаты и все такое.

alx19, лишку. Чесслово - лишку. Косяк на косяке. Меня в выходные черти дернули поэкспериментировать - отправил в рибут всю сетку во время сплошной проверки, той самой, которую "нельзя прервать". Поднимал "по уму" - сначал первичный сервер, потом вторичный, потом клиенты. Что ты думаешь? Симантек перекосило не по детски. Такую хрень начал в консоль вываливать - хоть плачь. И сервера то у него лежат, клиенты висят, кто-то выключен, на ком то клиента нет... цирк. Контроль сети не помогает. Сброс кеша не помогает. Обнаружение не помогает. Хрень рисует полнейшую. Порты открыты. Доступ есть. Клиенты работают. Сервера работают. В консоли - хрень. В журналах: Сплошная проверка - идет проверка. Где она, мать-перемать, идет? Через десять минут и несколько перезагрузок все наладилось, но до этого то кто мешал?!!

Написал найденные за две недели сурового тестирования на пол листа косяков. Стер все. Ибо нефиг. Денег все равно не дадут.

adonskoy

Если ты знаешь решение, то подскажи, пожалуйста, времени нет разбираться.
Если не знаешь, то придется читать, ничего не поделаешь.
Но скажу одно, в базе знаний симантека ничего похожего не нашел.

я не знаю как вы все семантик юзаете что у вас всё время проблемы, лично я уже в целой куче сетей его ставил и ни разу никаких проблем, всегда всё прекрасно работало.
может все проблемы от кривых рук?

SHRIKE74
Даже версию SAV 10.1.4.4010 ставил?

Как думаешь, как у нее с ловлей spyware? А то на 10.0 в этом смысле большие нарекания...



Добавлено:
FreemanRU
А ты даже к версии 10.1.(4.4010) имеешь претензии с точки зрения качества ее защиты от spyware? То есть, что McAfee VSE8 в этом смысле ее лучше?

alx19
чтобы у тебя была ловля spyware ставь client security

alx19

Цитата:

А ты даже к версии 10.1.(4.4010) имеешь претензии с точки зрения качества ее защиты от spyware? То есть, что McAfee VSE8 в этом смысле ее лучше?

10.1 не тестировал, и чужих тестов не видел.