» Symantec Endpoint Protection - SEP

Доброго всем дня.
Проблема, наверное возникала уже и обсуждалась, но чет не могу найти.. только вокруг да около, а конкретного решения не вижу (
Установлен клиент (unmanaged) на висту х64, сутки пашет норм, потом начинает ругаться на старые описания защиты для "Превентивной защиты от угроз", вырубает ее и включить нереально. Интернет на машине есть, более того - лайвапдейт проходит нормально, апдейтит все и в том числе эти "описания", однако система отображается выключенной.
Версия 11.0.3001.
Если кто знает, что конкретно надо делать, помогите плз.

Цитата:

У меня еще такой вопрос, почему клиенты обновляются не на одну дату а все по разному?

Понял, сам дурак... вопрос снят.

Читаю документацию и не понимаю Что именно можно передавать при репликации данных? Ну пакеты клиентов можно, ну журналы можно. А обновления можно передать по репликации?
Следующая фраза поставила меня в ступор
"Ко встроенной базе данных можно подключить только один Symantec Endpoint Protection Manager. Это обусловлено требованиями конфигурации."
Непонятно, зачем к базе подключать несколько Symantec Endpoint Protection Manager? Это типа несколько администраторов рулят настройками одной базы?

У кого какие идеи по ситуации?
Имеется сервер терминалов W2k3, на нем установлен английский
Symantec.Endpoint.Protection.v11.0.4014.MR4.MP1A в режиме неуправляемого клиента.
С недавнего времени стала вываливаться ошибка:
Smc.exe - ошибка приложения: Инструкция по адресу ... обратилась к памяти по адресу ... . Память не может быть "Read".
При этом пинги на сервер не идут, терминальщики отваливаются. Подключившись локально видно, что выскочило окошко с указанной надписью, после нажатия "ок" служба перезапускается и все восстанавливается: сервер виден с других машин, терминальщики возвращаются в свои вывалившиеся сессии.

Lazy KoT
Цитата:

LiveUpdate Administrator Users Guide.pdf - расписано как и что настраивать по LiveUpdate Adminstrator.

Как выяснилось, использование утилиты LiveUpdate Adminstrator - это тупиковый путь. Пришлось ставить сервер управления на Windows XP с интернетом.

Mushroomer
Цитата:

Пришлось ставить сервер управления на Windows XP с интернетом

По-моему, там Internet необязателен, нужно лишь IIS настраивать, хотя, выход во внешнюю сеть всё же предпочтительнее, возможно. Но, думаю, на самом сервере можно и вручную базы обновлять

TeXpert
Цитата:

Но, думаю, на самом сервере можно и вручную базы обновлять

Можно, но это неспортивно. Это должно быть работать в автомате. А самому выкачивать и подставлять базы (с непонятно какой периодичностью) это не есть правильно. Между прочим, я в настройках обновления сервера управления не нашел настройку, позволяющую качать rapid (неполностью оттестированные) базы.
Нет, я конечно понимаю, что Symantec тратит много времени на тестировании сигнатур, но в моей практике были случаи (но на другом антивирусе), когда и дата добавления вируса в базы и время срабатывания вируса практически совпадали

Как сделать так чтобы после установки SEP с фаерволом при дефолтных настройках не пропадал доступ пользователей к сетевому принтеру, который подключен к ПК на который был установлен SEP?



У новейшего SEP rus/eng MR4 MP1(A) 11.0.4014.26 32bit (64bit не пробовал) есть очень серьезный глюк.
На части машин под W2K/XP защита от вирусов (но не проактивка и фаервол)
отключается и не включается никакими средствами, пока не переустановишь антивирус.
(в установке и удалении программ достаточно нажать кнопку Исправить и выбрать переустановить).
Данная проблема также обсуждается на официальном форуме
forums.symantec.com.
По слухам SEP MR4 MP2 Eng 32/64 bit или MR5 выходит 15 мая 2009г.

Вроде бы в качестве решения проблемы на forums.symantec.com рекомендуется включить в sep на полную tamper protection. Сам не пробовал, потому что уже удалил.

Также возможно, что надо применять Symantec Clean Wipe 4.1 перед установкой SEP если до этого на ПК стояли антивирусы Symantec.

http://www.symantec.com/connect/articles/so-what-krypton-anyway?sym=TRUE
Тут объяснение почему очень полезно использовать
Network Threat Protection в составе SEP.

Не работает Liveupdate ((
Произведена чистая установка Vista Business 32bit. рус, обновлена до SP-1. UAC отключен. С оригинального диска установлен SEP 11.0. Запускаю Liveupdate. Происходит загрузка. Видно сообщение, что загрузка завершена. После этого установка не начинается, окошко Liveupdate остается без изменения. Если нажать отмену, то оно закрывается. Если после этого щелкнуть в любом месте на главном окне SEP, то снова запускается Liveupdate и т.д. До этого на этот же комп устанавливал этот же SEP, все было нормально. Только не помню, насчет SP1... в какой момент он был установлен.
Че делать?

Подскажите, а обновляется ли сабж от версии к версии? У меня сейчас установлен SEP MR3 Rus 11.0.3011 (вроде так), обновиться ли он автоматически до MR4 или как это можно форсировать??
MR3 не совсем верно работает с исключениями ;-(

SnG_Dobryak
НЕ обновится сам. Надо скачать например с fileconnect.symantec.com MR4 и ставить поверх.

Добавлено:
dvbdeko
Скачивайте с fileconnect.symantec.com версию 11.0.4014.26 и ставьте. Там этой проблемы уже нет.

Добрый день!

На компах в локальной сетке давно не обновлялись антивирусные базы, с октября 2008г. После обновления был обнаружен вирус W32.download.B - Symantec его удалил. После этого на всех компах, над иконкой SEP в системном трее стало возникать сообщение: "Трафик с IP-адреса ххх.ххх.хх.хх блокирован с yyy до yyy [SID:23179] Обнаружен MSRPC Server Service BO"

Кто с таким сталкивался и поборол?
Что это за MSRPC Server Service BO?
версия клиента 11.0.2020

День добрый

есть такой прокси сервер 3proxy (http://3proxy.ru/)
так вот его недавно SEP (Semantic Endpoint Protection) стал обнаруживать его (3proxy.exe)
как Hacktool.Proxy

пытался решить проблему через SEPM
политики-глобальные исключения
прописывал
файл-"c:\proxy\bin\3proxy.exe"
папку-"c:\proxy"
папку-"c:\proxy\bin"
процесс-"3proxy.exe"
при сканировании на вирусы 3proxy.exe не находит
но потом через некоторое время его (3proxy.exe) удаляет

вопрос
1-как связатся с symantec-ом и попросить их удалить 3proxy из антивирусной базы ?
2-как ПРАВИЛЬНО настроить исключение программы/сервиса в SEPM ?
3-политики до клиента доходят не сразу а через время(когда как)

Aleks007
Цитата:

Что это за MSRPC Server Service BO?

http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=23179
Вполне вероятно, что у тебя Kido

Не подскажите, что за MS RPC Network DDE BO? Symantec постоянно выдает сообщение о блокировании трафика с IP-адреса. Уже и раздел отформатировал и систему заново поставил, не помогает. Через аску постоянно от моего имени идет рассылка всякой ерунды. Как же эту ср-нь удалить? Версия клиента 11.0.4014, обновляется постоянно.

denislek
http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=20648
Но в отличии от моего предыдущего сообщения, не понятно, что именно надо делать. Нет указания даже на номер уязвимости

Всем общий хай! Народ посдкажите что за трабла, на части клиентов базы не обновляются, вроде все нормально было. Но вот в последнее время базы стоят от 10 марта сея года. С консоли администратора даю команду обновить но ситуация не меняется, а на панели хода выполнение команд показывает что команда на клиенте выполнена. Переустановка клиента не решает проблемы. На своей машине клиент ежедневно обновляет базы и проблем нету, в прочем как и у еще ряда машинок.
Помогите плиз!!!!!!!
Заранее всем спасибо!

Цитата:

denislek
http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=20648
Но в отличии от моего предыдущего сообщения, не понятно, что именно надо делать. Нет указания даже на номер уязвимости

Что такое номер уязвимости? Вот это: SID: 20409, обнаружен MS ANS1 Integer Overflow TCP.

denislek
Под номером уязвимости я подразумевал номер заплатки Microsoft.
Вот например в статье http://www.symantec.com/business/security_response/attacksignatures/detail.jsp?asid=23179 говорится, что надо поставить hotfix MS Security Bulletin MS08-067.

Цитата:

Aleks007

согласен, что у тебя Kido он же Win32.HLLW.Shadow.based и т.п. Средства избавления в нете изложены, посмотри поиском. Посмотри и его симптомы проявления. Он как раз создает сервер рассылки, что собственно у тебя SEP и зафиксировал. Удачи в борьбе, гнусный он. У того же Симантека есть утилита для проверки FixDwndp.

Стоит на серваке SEP manager 11, куча управляемых клиентов в сетке. Я запарился постоянно заходить на сервак через RDP чтобы контролировать. Можно ли установить консоль менеджера на мою висту х64? И как это сделать?

в браузере введи http://<имя сервера или IP>:9090, далее установишь Java и просетапишь консоль на свое рабочее место.

Ой бай, а мне теперь все обновления Java JRE назад откатывать чтоли? Версии несовместимы говорит...

Пробовал ли кто нибудь использовать SEP MR4 MP1a RUS и античитерскую программу myAC?
Никак не получается их примирить

Решил под Windows x64 поставить Client'а (Norton'а, к сожалению, для x64 нет), которым я сам управляю. Кто знает, где в настройках указать, чтобы при попытке программ подключиться к Интернету Symantec выдавал соответствующее сообщение, а я уже сам принимал решение, разрешать или нет это ей делать. Заранее благодарен.

P.S. Разобрался.

Ixxtiander

Цитата:

Можно ли установить консоль менеджера на мою висту х64?

Нет. В инструкции написано что на Vista х64 консоль поставить нельзя.

Цитата:

Нет. В инструкции написано что на Vista х64 консоль поставить нельзя.

Дык поставил уже, благо yakovalex666 подсказал! Только вот версии явы не совпадают, поэтому отчеты в консоли не отображаются...

Andy_Condor

Цитата:

Всем привет.
Нашёл ещё одну "экзотическую" причину "популярной" ошибки "Виртуальная машина Java завершила работу с кодом -1, служба останавливается." Удалил из группы пользователей интерактивных и прошедших проверку (обычно на серверах я их удаляю) и на тебе, на следующий день обнаруживаю, что менеджер не работает. Хорошо хоть помнил, что на сервере делал накануне. Восстановил, служба всё едино не стартует, перезагрузил сервак, всё заработало. Может кому пригодится.

Можно подробнее про решение этой проблемы?
У меня такая же ошибка и никак не исправлю ее.

Подскажите, как в Висте настроить контоль доступа программ в инет?
В ХР это сделать легко. А вот в Всите, все подключения идут через процес wanarp.sys
И фокус блокировки программ через контоль доступа оных к сети отсутствует по причине их выхода через этот процес. правила ваервола тоже не действуют.

Как это реально можно сделать?
Подскажите.