» Symantec Antivirus Corporate Edition (часть 2)

All

Обновление SAV Command Desk


Версия 0.0.9.6

- Добавлено много проверок для улучшения стабильности работы
- Расширена запись в лог.
- Мелкие исправления и улучшения.


SAV Command Desk предназначена для подключения клиентской части антивируса к антивирусному серверу. Подключает "отвалившихся" клиентов к выбранному серверу, переключает клиентов с одного сервера на любой другой, делает неуправляемые станции управляемыми и как следствие подключает их к выбранному серверу.

Как всегда скачать можно по адресу: http://arakcheev.googlepages.com/sav10cd.rar
По всем вопросам и предложения прошу писать на адрес: arakcheev@gmail.com или ICQ: 41393533

SAVage22
Надо ставить галку "SymAllLanguages" тогда всё качается номально

Добавлено:
Недавно случилась такая ситуёвина:
Переставлял ось на компе. поставил SAV клиента. На др день мой помощник из службы техподд взял и выполнил сжатие системного диска этого компа. При этом видимо какие-то файлы (занятые SAV) несжались или нарушились !!!
После этого SAV в трее стал с "!"
Короче методом проб выяснилось что перестал раб LU при установке и переустановке
SAV клиента просто идёт откат и уст НЕ производиться
Проблему я не смог решить кроме как сказал пару ласков помощнику и заставил его переставить ось с нуля

Но на будущее интересно разобраться с такой ситуац
Пробовал утилиту чистки от Sym - всё проходит нормально - но результата = 0
те откат продолжается
???
Есть ли др способы

Кстати после такого сжатия система пару раз выпала в BSOD !

Y Sobolev

Респект, оно самое!!

коллеги - взываю к помощи ...

Исходные данные
сетка 100 машин
по существу на выделенной машинке стоит симантековская консоль 10.1.6.6000
к ней подцеплены остальные клиенты (9 и 10)
обновления закачиваются по шедулеру каждое утро и раскидываютчя по клиентам.
Жили так года 3-4 . Симантек исправно ловил всякую гадость.
Последний месяц - два начались засады.
На машинах обнаруживаются вири, при чем как свежие так и лохматого года (97-99 годов). Обнаруживаются случайно , когда машина уже падает (очевидно из за них). Да , при сканировании симантек находит десяток (а то и больше вирей !) что то там пытается сделать, но система умерла. Формат, переустановка и тд. Ставится свежая ос, патчи , симантек (с автопротектом!) отдается пользователю.
Через пару дней с машинкой опять проблемы. Сканирование - опять полный комплект вирусов. Как , откуда, почему ? В логах ничего особо криминального (как на сервере, так и на клиенте)
Что посоветуете ? Куда копнуть ?

В настройках Symantec Antivirus
Configure -> File System Auto-Protect->Advanced
есть опция
Auto-Protect will scan files that are:
- Modified (scan on create)
- Accessed or modified (scan on create, open, move, copy, or run) (стоит по умолчанию)

Если установить SAV на изначально чистую машину, то на сколько ухудшится постоянная защита если выбрать режим
- Modified (scan on create)
??

sasa

Проверь аутопротект:
1) Скачай и переименуй в rar: _http://ifolder.ru/2511981 (файл удалил 29/06/2007)
2) Только! распакуй на клиентской машине Только!

1) Аутопротект должен ругнуться, что пойман Infostealer.Gampass и удалить его к едрени фени. Или не ругнётся.
2) Сканер проверит два уровня rar и тоже ругнёся и удалит на фиг.

-=-=-=-
Вопрос, откуда они у тебя ползут в сетке.

sasa
Впервую очередь запретить работать под локальными админами.

QartushH
ругнулся, удалил
те автопротект работает ?

kot666
да, есть такой грешок , проблема считаешь в этом ?

sasa
В клиенте в конфигурации защиты LAN есть в том числе флажок "доверять системам под защитой самого себя любимого". По умолчанию он доверяет таким системам. Попробуй этот вариант проверить.

Либо в сетке есть завирусованный комп, откуда всё это лезет (нужно разом все компы проверить и зачистить), либо кто-то приходит с ноутбуком и подключается к сетке во время работы (если у вас вообще есть такая практика).

Поставь на какой-либо из проблемных, но пока чистый комп файервол в режиме бездействия и видимости (и невидимости для пользователя, зачем его беспокоить), но с подробным журналом событий. Может поможет выяснить, откуда ноги растут.

На компьютер
Celeron 1700 soc478 /sys / 512mb DDR1/ Geforce4 mx /Seagate/... Windows XP SP2 Pro
поставил потестировать
Symantec Endpoint Protection 11.0 Corporate Edition Beta

Он существенно меньше тормозит чем
SAV 10.1.6.6010 и McAfee VSE 8.5.0i + patch1 + AntiSpyware 8.5i
Существенно меньше потребляет памяти (хотя непонятно модуль Rtvscan то 50 мб то 2 мб)
и хотя при завершении работы ос - ошибка cc.... модуля, но ведь это Beta.

Может действительно SEP 11.0 - убийца конкурентов. Очень много новых возможностей типа защиты от совершенно неизвестных вирусов, появились элементы фаера.

В последнее время было много сообщений о тормозах SAV 10.1 и о формирующемся желании у некоторых фирм уходить с Symantec к другим вендорам. Может это просто Beta так мало тормозит, а вот выйдет (в сентябре 2007 ?) релиз и опять будет тормозным?
Все же очень бы хотелось чтобы релиз по тормозам оказался не хуже хотя бы этой беты...

Прямая ссылка на файл клиентской беты http://esdownload.symantec.com/akdlm/CD/MTV/SEP_Client_11.0_PublicBeta_EN.zip (48Мб)

Уважаемые Сис Админы, повесили на меня днях такую задачу, как поддержка системы Антивирусной защиты (Symantec Antivirus Corporate Edition). Компания у нас не маленькая, в 1200 клиентов. До этого не сталкивался с корпоративными антивирусами и поэтому мне сейчас туговато. Вот уже 4 дня читаю посты на вашем форуме, Admin Guide и потихонечку начинаю врубаться, что к чему, но всё же много непонятных частей:

1. Расскажите пожалуйста принцип работы карантина!!! Чё т не врубаюсь.
Скажем, нашёл Symantec рекламный вирус или программу-шпион, закарантировал
его.. и что потом, удаляет, очищает, изучает?
Если так то, какое количество дней рекомендуется поставить в "Quarantine Purge Age
Limit" в Regedit'е. По умолчанию стоит "5a". Цифра "5" понятно - 5 дней. Буква "а" что
означает?
2. Есчё у меня на прайморовском серваке сегодня иконка загорелся, типа на самом
сервере какой то гадёныш завёлся (иконка - красная с воскл. знаком). Грозит ли это
распространением по клиентам? Делаю на серваке Full Scan - ничего не находит!
3. Так же у меня в консоли множество клиентов в "красных крестах". Делаю также Scan,
всё чисто показывают, а крестики не исчезают. Remacc.Radmin и Remacc.RAServer
добавил в исключение.
4. Где отключатся функция, чтоб клиенты в прцессах не видели Scan'ера?

Version Program 10.0.2.2000
Scan Engine 71.2.0.12

sounddesigner 22

Цитата:

2. Есчё у меня на прайморовском серваке сегодня иконка загорелся, типа на самом
сервере какой то гадёныш завёлся (иконка - красная с воскл. знаком). Грозит ли это
распространением по клиентам? Делаю на серваке Full Scan - ничего не находит!

Открой Symantec Antivirus>журналы>журнал угроз - там увидишь какая угроза , исходный путь и что с ней сделал Symantec Antivirus .

Цитата:

3. Так же у меня в консоли множество клиентов в "красных крестах". Делаю также Scan,
всё чисто показывают, а крестики не исчезают. Remacc.Radmin и Remacc.RAServer
добавил в исключение.

На клинтах по тому-же пути можно посмотреть что произошло . За тем в консоли правой кнопкой по помеченному клинту - Все задачи>Symantec Antivirus>сбросить состояние угрозы .

Цитата:

4. Где отключатся функция, чтоб клиенты в прцессах не видели Scan'ера?

В консоли - правый клик по первичномусерверу>Все задачи>Symantec Antivirus>плановые осмотры>осмотры клиентов>правка>настройка>параметры>дополнительно>параметры удаленного доступа - выбери "не показывать ход выполнения осмотра" .

Добавлено:

Цитата:

Version Program 10.0.2.2000
Scan Engine 71.2.0.12

Желательно обновить до 10.1.6.6000 .

To SergeyMark

Человеческое Спасибо!
Ещё вопрос (хотя он поднимался не однократно)...
Как на клиенте обновить базу вирусов?

Добавлено:
И по этому поводу остаётся непонятным:
Какое количество дней рекомендуется поставить в "Quarantine Purge Age Limit" в Regedit'е. По умолчанию стоит "5a". Цифра "5" понятно - 5 дней. Буква "а" что означает?

sounddesigner 22
Если клиент управляемый, т.е. его видно в консоли, то как только сам сервер обновиться, то и клиенты сразу будут получать обновления.

В том то и дело. Всё так, как ты написал, но есть несколько машин со значком жёлтого восклицательного знака! Можно как-нить в ручную им дать файлик, чтоб они угомонились?

UNHELPMAN


Цитата:

2 года работал сервер (SAV 10) в сети 90 клиентов - 8, 9, 10 - в зависимости от железа.
И вот - винт умер . Восстановил с акронимусовского образа - консоль Сказала - мол , стото с сертификатом нетого . Примари сервер разблокировать не удалось. Танцы с бубном непомогли. Переустановил заново на SAV10.1 Тему в шапке прочитал . GRC.dat с нового сервака клиентам раздавал - не присоединяются. Вс троенной утилитой удалённй установки пытался решить вопрос - 10 % машин присоединились. SAV Command Desk работает как то странно - присоединил процентов 15 компов. Остальные 75 % нежелают итти к новому серваку.
Хочу спросить
1. Кто нить с таким сталкивался . или это я один - О , счастлиффчЕг. И как победили ?
2. Есть ли какой нить рецепт переустановки клиентов массово и посети ? (сценарий тихой установки с последующим подключением клиентов к новому серверу.) О том , что очень нужно не пишу.

было что-то подобное. Часть клиентов пришлось вручную, путем правки реестра. Посмотри тут:
HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion и если остались записи имени твоего старого имени сервера , поменяй на тот, который используется сейчас.
и тут : HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\AddressCache - тоже возможно осталась запись старого сервера.

sounddesigner 22
Обычно надо сначала посмотреть причину - она в eventlog что не так
а потом уже разбираться

sounddesigner 22

Цитата:

Какое количество дней рекомендуется поставить в "Quarantine Purge Age Limit" в Regedit'е. По умолчанию стоит "5a". Цифра "5" понятно - 5 дней. Буква "а" что означает?

Буквой "а" не интересовался , поставил цифру "1" , ежедневное обновление - так спокойней . Пусть база всегда будет свежей , меньше вероятность пропустить новый вирус .

Добавлено:

Цитата:

В том то и дело. Всё так, как ты написал, но есть несколько машин со значком жёлтого восклицательного знака! Можно как-нить в ручную им дать файлик, чтоб они угомонились?

Цитата из инструкции :"Значек "желтый треугольник с восклицательным знаком" - Клиент, на котором возникли неполадки, требующие устранения. Например, на клиенте могут быть обнаружены устаревшие файлы описаний вирусов, либо группа, к котрой относится данный клинт, стала недопустимой."
Лечится это переподключением такого клинта . Надо подкинуть ему файлы настройки с сервера управления . Вот еще цитата из инструкции :"Копирование файлов настройки с сервера управления
Файл настройки Grc.dat содержит имя сервера, который будет применяться в качестве
родительского сервера управления. В файле xxx.x.servergroupca.cer хранится базовый
сертификат группы серверов. При копировании файлов с сервера, выбранного в
качестве родительского сервера управления, копируются все заданные на сервере
настройки клиента и устанавливаются соединения.
Как скопировать файлы настройки с сервера управления
1 Откройте Сетевое окружение.
2 Найдите компьютер, который должен играть роль родительского сервера
управления, и дважды щелкните на его имени.
На выбранном компьютере должен быть установлен сервер Symantec AntiVirus.
3 Откройте папку VPHOME\Clt-inst\Win32.
4 Скопируйте файл Grc.dat в нужную папку.
5 Откройте папку pki\roots.
6 Скопируйте следующий файл в необходимое расположение:
xxx.x.servergroupca.cer
Размещение файлов настройки на клиенте
Файлы настройки необходимо разместить в различных каталогах клиента. Файлы
можно вручную скопировать со съемного носителя, сетевого диска или из вложения
электронного сообщения. Кроме того, можно воспользоваться параметрами Microsoft
Installer для создания и распространения установочного пакета, содержащего файлы
настройки.
См. «Установка Symantec AntiVirus из командной строки» на стр. 221.
Как разместить файлы настройки на клиенте
1 Скопируйте следующий файл из предпочитаемого источника:
Grc.dat
2 Вставьте этот файл в следующий каталог клиента:
<диск>:\Documents and Settings\All Users\ Application Data\Symantec\Symantec
AntiVirus Corporate Edition\7.5
3 Скопируйте следующий файл из предпочитаемого источника:
xxx.x.servergroupca.cer
Установка клиентов Symantec AntiVirus 199
Настройка клиентов с помощью файла настройки Grc.dat
4 Вставьте этот файл в следующий каталог клиента, расположенный в каталоге
программы Symantec AntiVirus:
\pki\roots
5 Перезагрузите клиент.
После перезагрузки клиента файл Grc.dat будет удален. "

Я следовал этой инструкции и у меня все получилось . Только один раз пришлось инсталировать клиента повторно - после того как User этой машины подцепил вирус .

Sergey Mark Спасибо

Примитивный вопрос:
В "Quarantine Purge Age Limit" я ставлю значение 1 на компютере на котором установлена северная часть? Получается, значение 1 присвоится серверному компьютеру. У компютеров (аля клиентов), которые приконекчены к этому серверу станет такое же значение? Вне зависимости от группы?

Возможно ли установить значения, чтоб история меньше дня хранилась?

alx19
а как клиента 11 версии сделать управляемым Сервером версии 10.1.6.6010?

Помогите решить ситуацию.
Клиенты версии SAV 10.1.6.ххх не отдают журналы.
На клиентах не слушается порт UDP 2967, а для работы в этой версии требуется слушать и TCP и UDP. Как быть?

Когда Radmin'а включаешь в исключение, ставиться правило "Leave alone (log only)".
Как-нить можно отрубить этот Log Only. Чтоб при сканировании он не говорил о том, что он нашёл Radmin'а и что не трогает его.
Это для того, чтоб каждое утро, когда приходишь на работу и открываешь консоль, она не показывала "крестики" на тех компах, на которых установлен Radmin. Чтоб отмечал тока те компы, на которых реальная угроза или найдена какая-нибудь хреновина.

sounddesigner 22
Можно отключить оповещения как таковые

SergeyMark
спасибо за инструкцию по смене сервера на клиенте!

ещё вопрос...
1. существуют какие нибудь проблемы при установке сервера на обычном XP (по количеству подключений и т.п.)
2. как проще перенести сервер с одного комп. на другой. копированием xxx.x.servergroupca.cer не получится?

Что-то не понравился мне 11 клиент - к серверу не цепляется, тормозит как ...
Вобщем бета и есть бета

Пользовался 10-ым уже полгода... Стояло 2 сервака (с обновлениями) и примерно 300 клиентов... Проблем практически не было... Но вот на прошлой неделе писец подкрался незаметно.

Win32.ChinaWorm
Win32.alman

Эти два красавца на пару - устроили веселую жизнь... Вобщем я сейчас даже диск С не могу на сервере увидеть. Вернее вижу, но он якобы пустой... При попытке перествить Симантек - вылетаю в синий экран смерти...
Вобщем если б мне еще неделю назад сказали - что Симантек плохой антивирь - не поверил бы... А сейчас хз.... Может кто сталкивался с такими проблемами и заплатки какие-то есть?

И ещё... если сервер SAV установлен на XP удалённая установка клиента не работает?.. у меня пишет что надо убедиться что запущена служба REMOTE REGISTRY SERVICES на обычном XP такого нет... и вообще как оно должно называться в русском варианте?

Добавлено:
впрочем он так и называется...

Nilfgardec
Операционка какая? Система работает?

Win32.ChinaWorm - вот это дело c флэшек закидывается, даже с CD обычного, т.к autorun.inf использует.

Добавлено:
Ulysses
Удаленное управление реестром, или удаленный реестр по-русски

KocmonpaB

Спасибо... а как сервер SAV на XP работает без проблем?... или лучше переустановить 2K3?

Ulysses
Sav чесно говоря все равно. Твое дело защитить клиентов.