» Symantec Endpoint Protection - SEP

Здравствуйте!
У меня Symantec_Endpoint_Protection_11.0.3001_MR3,со встроенной БД

При доступе на консоль сервера получаю ошибку
"НЕ удалось подключится к компоненту отчётов"

1.Пробовал по статьям с симантековского форума прописать в ODBC - имя сервера ,путь к БД ,имя БД. Не какого результата тест ODBC не проходит Integrated login are not permitted
2.Провобал удалить SymantecEndpointSecurityDSN и восстановить симантек - не помогает
3. Ещё есть вариант запустить "Мастер настройки сервера управления" ,но он на третьем шаге спрашивает пароль к встроенной базе данных и его я не знаю
Нашёл статью как сбросить пароль:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2008011823355248
Только вот в упор не вижу где в dbisqlc.exe выполнить эту команду
In the "Command" input box, type:
GRANT CONNECT TO DBA IDENTIFIED BY "<new password>"

Как отменить регулярный полный осмотр на хосте с SEP11-MR2-RU если в политиках сервера говорится что нельзя пользователю отменять регулярный полный осмотр. Прав на сервер SEP нет, права админа на хосте есть.

Цитата:

Как отменить регулярный полный осмотр на хосте с SEP11-MR2-RU если в политиках сервера говорится что нельзя пользователю отменять регулярный полный осмотр. Прав на сервер SEP нет, права админа на хосте есть.

Убить Rtvscan.exe

Шапка включена.

Люди, подскажите что нужно поправить в реестре или в фалйах чтобы кдинетские машины заберали обновление с LiveUpdate сервера а не с сайта симантика, а то часть клиентов лезит в инет, уже пробывал удалять заново ставить и все равно ........... лезут падлы в инет

SolarW


Цитата:

В десяток кликов в консоли управления менеджером

вопрос:
а у вас десяток кликов за какое время поучается?
у меня по полчаса она открывается/прорисовывается, а и из вкладки во вкладку перейти время занимает жуть. Наверное Manager написал "эстонец" ("эстонцев" прошу не обижаться кроме того корый написал Manager)


3JIou


Цитата:

Эту тему обсуждают практически на каждой странице. Прочитай внимательнее. Первый пост на этой странице.

не нашел ткните носом плиз

........

SolarW и 3JIou мануалы читал, хоть они и на русском языке но не понятна мне их логика,
поэтому и пришол к вам и вас спрашиваю как и что вы сделали, поделитесь опытом.

PS
отфутболить к мануалам каждый может а вот объяснить (и ЧаВо написать НАДОСТУПНОМ РУССКОМ ЯЗЫКЕ а не на этом !.!.!.!.! переводе)

2nic1982

Цитата:

не нашел ткните носом плиз

--->

Цитата:

В виду того, что обновления угроз из сети и превентивные обновления выходят по мере появления этих самых угроз, что происходит почти хаотично, симантек не обновляет их архивами, как описания вирусов и программ-шпионов. Так что без интернета они обновляться не будут

Добавлено:

Цитата:

вопрос:
а у вас десяток кликов за какое время поучается?
у меня по полчаса она открывается/прорисовывается, а и из вкладки во вкладку перейти время занимает жуть.

У меня сервер виртуализирован и даже на нём нет такой ситуации, тормоза конечно есть, но они терпимы.

Подсмотрел все таки на одном из форумов вот такое описание для обновления превентивных угроз и файрволла на сервере который не имеет доступа в интернет

"Цитата
Уважаемый ...., хоть такой способ обновлений и не поддерживается, но если есть желание поделитесь с другими участниками разработанной вами методологией


Подход прост

1. На сервер, подключенном к Интернету, устанавливается LiveUpdate Administrator (версия 2.1 в моем случае).

2. Выполняется загрузка и распределение обновлений (download & distribute) behavioral crimeware protection (firewall rules) стандартным способом для выбранного продукта (SEP v.11.00 русская версия в моем случае)

3. На сервере управления SEP, в защищенной сети изолированной от Интернета,
также устанавливается LiveUpdate Administrator (насколько я понимаю годится любой web или ftp сервер, но я весьма смутно представляю, как они делаются, поэтому иду простым путем)

4. Содержимое каталога clu-prod (стандартное имя, находится в папке установки LiveUpdate Administrator), это много разных мелких файлов переносится на любом носителе на второй сервер в такой же каталог clu-prod (на втором сервере он до этого был естественно пустой)

5.Политика LiveUpdate сервере управления SEP настраивается на получение обновлений с адреса http://localhost:8080/clu-prod (пример в моем случае)

6.Выполняется обновление клиентов, автоматическое или вручную."

Вот пока пытаюсь пробовать, дело в том что скачивается порядка 600 Мб, но если этот способ поможет, в принципе хотя бы раз в неделю готов обновлять и таким нелепым способом. Все же еще жду и надеюсь, что появится какая то более упрощенная база от симантека

Цитата:

Вот пока пытаюсь пробовать, дело в том что скачивается порядка 600 Мб, но если этот способ поможет, в принципе хотя бы раз в неделю готов обновлять и таким нелепым способом. Все же еще жду и надеюсь, что появится какая то более упрощенная база от симантека

Такой способ работает. Но всё снова упирается в наличие интернета.

Добавлено:
Только у нас два сервера LU стоит Один с доступом в интернет, а второй настроен получать обновления с первого.

всем доброго времени суток!
нужен совет.
стоит SEP 11.780, задача обновить до MR3.

собственно вопрос, как это сделать попроще? сносить с сервака SEP и сносить клиенты у юзверей не хочется. выручайте) так как я симантек только начал изучать, все больше касперычем пользовался)

Цитата:

стоит SEP 11.780, задача обновить до MR3

Запуском установки на сервере. Можно поверх установленной версии.

на тестовом серваке попробывал, консоль обновилась, но у пользователя клиент не обновляется, мастер миграции и развертывания пишет, что не удается запустить службу установки, попробывал просто создать установочный пакет и поставить на компутер, ставит клиент 11.780, а не MR3.
в чем может быть проблема?

Цитата:

1)Находишь дллку в систем32
копир. все файлы в систем32 *.длл куда угодно, хоть в nul(FAR), засекаеш какие не копируются потому что заняты.
смотри на разрешения дллки, если в безопасности спец разрешения для евривана и аттрибуты на чтение и скрытый - твой вирус.
2)ProcessExplorer-ом находишь дллку (в меню есть Find) в свхост.ехе и делаешь close handle.
3)В безопасности для евривана полный доступ и удаляешь дллку.
4)Устанавливаешь КБ958644 и обновляешь базы антивируса.
5)Повторяешь действия на всех хостах.
Если нет длл, то вируса этого нет.

не работает.

Помогает поека только создание на каждом компе файла с именем вируса с запретом доступа. когда пройдены все компы, штормы утихают.

W7b1
Устанавливаю, просит перезагрузиться - перезагружаюсь - загрузка W7b1 - сеть работает - потом перезагружаюсь (2 раз) и все сеть перестает работать (иконка сети taskbar "х"), видимо все блокируется или еще что-то. В настройках все по умолчанию, ничего не менял. Пробовал разрешить все - тоже ничего.
Как побороть, может кто с таким сталкивался?

3JIou

Цитата:

Такой способ работает. Но всё снова упирается в наличие интернета.

а что как то без инета можно еще обновления получить?

Через ж сделал, по тестить хватит. Работает.

Цитата:

на тестовом серваке попробывал, консоль обновилась, но у пользователя клиент не обновляется, мастер миграции и развертывания пишет, что не удается запустить службу установки, попробывал просто создать установочный пакет и поставить на компутер, ставит клиент 11.780, а не MR3.
в чем может быть проблема?

Так запускам сетапа на первичном сервере обновляется компонент Симантек Ендпоинт Протекшн МАНАДЖЕР, клиент потом можно экспортировать - в случае обновления через сетап на сервере становится возможен экспорт ВСЕХ версий, когда-либо установленных на сервере - а потом данный клиент уже распространить.
А слово "MR3" Ты в свойствах клиента не увидешь, там будет нечто похожее на 11.0.3001.2224

не могу понять кое-что, после обновления пару дней назад клиенты перестали выпускать в сеть некоторые программулины типа QIP, Мейл.ру-агент ..вчера Оперу мне не выпускал, при попытке подключения издается двойной гудок из колонок "типа брейся".. вобще не знаю че случилось.. подскажите че-нить

Подскажите как обновить Endpoint MR4 в оффлайне. накатывал 5i32 пишет что proactive и network устарели, а антивирус обновился. Подключился в онлайн запустил LU он из 14 файлов закачал еще 4 и все обновилось хорошо. Кроме 5i32 еще что-то нужно ставить?

LAKS

Цитата:

Кроме 5i32 еще что-то нужно ставить?

нет, проактивка и network threat protection обновяются только через инет.

Badim83
ну а в логах что? проверяй настройки (типа Allow all IP traffic/Allow application traffic) и правила.

прошло само, как и началось. в логах первым делом смотрел, пусто

Еще такой вопрос, может кто сталкивался. Endpoint (по default) закрыл сетевой доступ. Постоянно когда мой комп пытаются найти поиском выскакивает сообщение "Trafic is blocked (ntoskrnl.exe). Когда отключаешь Network Protection, то все хорошо. В настройках я уже поставил галочки на все сетевые адаптеры "Browse files & printers" и "Share my files" не помогает!!! В настройках Rules убирал все галочки с Blocked тоже не помогает.

LAKS
Не понял вопрос, Ваш комп продолжает нормально работать или нет? И что в итого то надо, расшарить папку или что или просто смущает выскакивающее сообщее о блокировании?

Комп работает нормально, но по сети никто не может пробиться, причем это на нескольких машинах. Как только отключаешь Network Protection то сразу же все могут попасть в расшаренные папки. При включенной защите во первых невозможно найти комп поиском, а во вторых даже если он его нашел пишет "нет доступа! обратитесь к администратору". Пробовал переустанавливать Endpoint и не трогать никакие галочки (видимо у них какой то косяк есть), то ntoskrnl.exe не блокируется но на шары все равно не пускает.

Народ я победил глюки Endpointa c сетью под XP, правда извращенским способом. Для начала нужно на машине с Endpoint зайти в Network prot/options и выбрать view network activity затем правой кнопкой выбрать connection details, появятся куча процессов. Затем встаем на ntoskrnl.exe и правой кнопкой выбираем Ask (даже если он уже выбран так как по умолчанию он не работает). Теперь бежим на другую машину в сети и пытаемся попасть на шару (выскочит нет доступа). А на той машине где Endpoint должен выскочить вопрос блокировать или нет, ставим галочку remember и жмем Yes. Поехали дальше так как после всего этого этот процесс у нас попал в список апликейшн (option/view aplication settings). Открываем Configure Firewall Rules и нажимаем Add. Пишем любое имя правила, нажимаем на точку Allow Trafic и ставим галочку на вкладке Applications на против ntoskrnl.exe (ядро системы NT) и OK. Теперь встаем на это правило и стрелочкой продвигаем его на самый верх. Жмем OK и все закрываем. Бежим на другую машину в сети и заходим на шару и вот оно чудо!!!
Я так полагаю это я внес разрешение только для ntoskrnl.exe на пропуск любого трафика.
Если что то я сделал не так пишите.

Цитата:

Народ я победил глюки Endpointa c сетью под XP, правда извращенским способом. Для начала нужно на машине с Endpoint зайти в Network prot/options и выбрать view network activity затем правой кнопкой выбрать connection details, появятся куча процессов. Затем встаем на ntoskrnl.exe и правой кнопкой выбираем Ask (даже если он уже выбран так как по умолчанию он не работает). Теперь бежим на другую машину в сети и пытаемся попасть на шару (выскочит нет доступа). А на той машине где Endpoint должен выскочить вопрос блокировать или нет, ставим галочку remember и жмем Yes. Поехали дальше так как после всего этого этот процесс у нас попал в список апликейшн (option/view aplication settings). Открываем Configure Firewall Rules и нажимаем Add. Пишем любое имя правила, нажимаем на точку Allow Trafic и ставим галочку на вкладке Applications на против ntoskrnl.exe (ядро системы NT) и OK. Теперь встаем на это правило и стрелочкой продвигаем его на самый верх. Жмем OK и все закрываем. Бежим на другую машину в сети и заходим на шару и вот оно чудо!!!
Я так полагаю это я внес разрешение только для ntoskrnl.exe на пропуск любого трафика.

Действительно извращение..
А не проще было в SEPM через политики файервола разрулить ситуацию и не бегать по машинам???
Ну к примеру добавить .exe в список доверенных, разрешить ему все и применить политику на компы сетки, а не заниматься .. мх.. как бы помягче сказать

на данный момент существует два сервера
SEPM 11 и SAV 10

интересует вопрос, где хранится клиентский карантин?
локально на каждой машине или центролизованно зараженный файл отправляется каждый раз на сервер?
можно ли настроить и то и другое?
спасибо

Не нашёл, подскажите на настройки firewall можно установить пароль?

Цитата:

интересует вопрос, где хранится клиентский карантин?
локально на каждой машине или центролизованно зараженный файл отправляется каждый раз на сервер?

если не установлен сервер центрального карантина, то все файлы попадающие в карантин хранятся локально на клиентских машинах?
пользуется ли кто данным сервером? какие приемущества?