» Symantec Endpoint Protection - SEP

А может кто подскажет по внедрению SEP.
Сейчас использую Symantec Antivirus Corporate Edition, но он по-моему присутствует на компьютерах только "в качестве мебели" - толку нет никакого. Хочу проверить SEP, может хоть от него толку будет больше.
В SEP также - делаешь скрипт для установки клиента при запуске компьютера, после этого он появляется в консоли а там настраиваешь политику?
Давно пробовал поставить SEP, но ничего не вышло - в консоли ничего не появилось .
Или тут какие-то особенные деиствия нужны?

nag
В чем дело не скажу не вникал пока, кажеться что то было у Симантека в базе знаний на эту тему.
Эмпирически найденный способ борьбы:
Брандмауэр отключен (у меня обязательно на уровне политик домена, можно естественно руками заблокировать службу)
1.Установочные пакеты-Параметры установки - Создаем "Параметры установки с Обновлением" там устанавливаем галочку на "Удалить старые и перезаписать параметры связи"
2. Делаю в SEPM установочный пакет для рабочих станций с "Все компоненты" и "Параметры установки с Обновлением".
3. Тем или другим способом разворачиваем пакет.
Для верности лучше перезагружать машины, иногда нужно декинсталлировать SEP перезагрузить и поставить из пакета "С обновлением"
Пока помогало.

Добавлено:
PPPP2
Не не могу удержаться, уважаемый, вы о чем?

Цитата:

В SEP - делаешь скрипт для установки клиента при запуске компьютера, после этого он появляется в консоли а там настраиваешь политику?

Как много интересного безнадежно пропущено! Юзаю Symantec Antivirus Corporate Edition еще с версии 7, ни разу никаких скриптов не делал. Либо Вы не через то отверстие гланды удаляете.
Вся прелесть, как раз в том, что ставиться сервер, настраиваются политики и массово разворачиваются клиенты, централизовано с одного рабочего места. Необходимость непосредственного доступа к компьютеру - это аномалия и глюк.

Цитата:

Или тут какие-то особенные деиствия нужны?

На диске документация, сделать установку строго по пунктам, не вникая и не мудря.

PPPP2

Цитата:

Сейчас использую Symantec Antivirus Corporate Edition, но он по-моему присутствует на компьютерах только "в качестве мебели" - толку нет никакого. Хочу проверить SEP, может хоть от него толку будет больше.

А что подразумевается под "толком"? Есть неопровержимые доказательства хождения вирусов пачками раз в 5 минут, а SAV их не ловит? В таком случае должен расстроить, в основном шумиха насчет вирусов раздута как таковая в маркетинговых целях разработчиками, а те редкие экземпляры, которые иногда нубствующими чайниками пришиваются к "пакманам" чудесно SAV отлавливает. Ни разу не подводил. А насчет раздутости - у меня есть старый сервачок, который 14 февраля 2008 года на спор был поставлен в прямое подключение к инету БЕЗ антивируса и БЕЗ стороннего файрвола. Только родное все что с W2k3 поставляется. Ничего! Работает. Крутится на нем торрент и интернет печать, (чтобы не простаивал ). 14 февраля следующего года истекает срок спора. Тогда прогоним на нем антивируся. Но, думаю, что ничего там (окромя параноидального бреда антивирусов, а ля трояны в кейгенах от доверенных лиц) не будет.
Разница между SAV и SEP (имхо) на сегодняшний день только в междумордии и тормознутости (не в пользу последнего). Впрочем SEP глубоко не копал? Хватило отсутствия дружественности интерфейса администрирования.

Цитата:

Разница между SAV и SEP (имхо) на сегодняшний день только в междумордии и тормознутости (не в пользу последнего)

1. Клиент SEP - быстрее, чем клиент SAV.
2. SEP ловит то, что зачастую SAV пропускает.
3. SEP - больше, чем антивирус.

Germanus
Согласен в целом, но случай с серваком не катит: поскольку на нем нет шаловливых ручек , то он и несколько лет благополучно проживет. Спор гарантировано выигран.
А вот для тех самых "конченных точек" пожалуй уже можно сказать, что с SEPом живется спокойнее. Статистика пока невелика , но некоторые выводы сделать можно.
Консоль правда была внятнее и информативнее, но может доведут до ума к 15-20 версии?

netripper
1. Не согласен
2. Не может по определению (посмотри базы)
3. В этом-то и проблема, увы. Пока он был ТОЛЬКО антивирусом, он медленно, но уверенно рос. Теперь ява и БМПшный скин... Уже красноречиво говорит само за себя.
Однако я не категоричен. Время покажет. Это лишь ИМХО.

Germanus
Подключусь к спору.

Цитата:

2. Не может по определению (посмотри базы)

Дело не в базах, а в механизме поиска. Специально тестировал у себя в сети. На зараженном с флешки системнике, SAV ничего не находил. Точнее он и заразился при наличии SAV свежими базами. За тем пподключил системник к серверу SEP, зараза была обнаружена и уничтожена. После этого восстановил систему акронисом из образа, сразу подключил к серверу SEP и попытался заразить с флешки. Системник не заразился, вирусы были убиты еще на флешке.
А консоль на ява меня не радует, уж очень она "тяжелая" получилась.

SergeyMark
Да? Интересный опыт. Правда спора-то и не было. Я просто свое имхо выражал. Уж больно эта тенденция молодых програмеров "писать от руки", когда дистрибутивы не вмещаются на DVD, установленные программы занимают гигабайты, и выглядит это пьяным попугаем, удручает. Времена заботы о пользователе канули в лету.
Но все же наверное да, придется таки перебираться потихоньку на SEP и иже с ним, как бы это печально не выглядело.

Абсолютно согласен с SergeyMark. SAV с новыми базами многие новые вирусы не обнаруживает. Летом пришлось в срочном порядке переходить с SAV на SEP и лечить всю сеть от заразы

Цитата:

Летом пришлось в срочном порядке переходить с SAV на SEP и лечить всю сеть от заразы

А вот что ещё интересно!
А кто нибудь задумывался, а от заразы ли? Дело в том, Что, к примеру, когда я пробовал SEP, то все что он мне "поймал", это были абсолютно точно НЕ вируся! Так как это были кейгены и несколько креков от "производителя", что говорится. От человека, которого я давно и хорошо знаю и услугами которого не раз пользовался на взаимовыгодных условиях. АБСОЛЮТНО однозначно что ни в одном из этих кейгенов и креков никакой заразы не было. Но SEP орал, что прокаженный и, зараза, наотрез отказывался понимать, что поступать так не нужно! Как я не пытался его убедить. Ни запрет лазить в директорию (исключением), ни глобальная политика...
Отсюда я в основном и сделал массу выводов и о неуправляемости (плохой управляемости) и о тяжести интерфейса и т.д. Что позже неоднократно подтверждалось форумчанами.
На некоторые (не на все SAV тоже орал) Однако после обучения успокаивался и мирно сосуществовал. А этот ни в какую.
Вы конечно можете возразить, де, вирусы там все же могли быть и верить никому нельзя. ОК! Я тоже так думал. Посему в междусобойчике на троих с ещё одним знакомым программером попросил показать исходники одного из подозреваемых кейгенов, ну, за пузырь, так сказать. Да без вопросов! И исходники были девственно чисты, как я и предполагал. Извинился перед знакомым за оказанное недоверие (что было воспринято, кстати, абсолютно нормально) и совершил торжественный акт F8 над дистрибутивом SEP (тогда это ещё был вроде МР2, не помню. Потом, если честно, ещё несколько раз пытался в виртуалках возвращаться к сабжу. Но ничего в положительную сторону не менялось. Хотя, повторяю, я не считаю себя спецов в SEP и его новых (по новому) метущих метлах .

Добавлено:
Да! Так к чему я это все? А к тому, что, возможно новый антивирь от симантеца только нагло причисляет к безусловным вирусам методы борьбы честных граждан с жадностью других нечестных граждан?

alex_ts

Цитата:

Как много интересного безнадежно пропущено! Юзаю Symantec Antivirus Corporate Edition еще с версии 7, ни разу никаких скриптов не делал. Либо Вы не через то отверстие гланды удаляете.
Вся прелесть, как раз в том, что ставиться сервер, настраиваются политики и массово разворачиваются клиенты, централизовано с одного рабочего места. Необходимость непосредственного доступа к компьютеру - это аномалия и глюк

Уважаемый, не могу удержаться. Вы о чем? Скрипт я делаю в политике домена и прописываю запуск в политике на сответствующие группы.

Germanus

Цитата:

А что подразумевается под "толком"? Есть неопровержимые доказательства хождения вирусов пачками раз в 5 минут, а SAV их не ловит? В таком случае должен расстроить, в основном шумиха насчет вирусов раздута как таковая в маркетинговых целях разработчиками, а те редкие экземпляры, которые иногда нубствующими чайниками пришиваются к "пакманам" чудесно SAV отлавливает.

Да есть. Другим софтом наши администраторы чистят и очень прилично. Просто сейчас вирусы в большей массе, я думаю несколько стали другими (более "коммерческими"), они ничего не портят не удаляют, только воруют. А с такими вирусами работать можно очень долго - они не мешают. Поэтому стоит семантек и стоит. Приходят администраторы, почистят станцию другим антивирусом - ну и хорошо, работаем дальше. Он ничего не ловит, ну допустим RAdmin он может "поймать" а так всякие трояны - это не его стихия.

Интересно, а чем ловите остатки, так сказать? И какие?
Я опробовал :
Rising Antivirus 2009
Хотя есть немало вопросов об этой штучке от китайских друзей, но дело свое знает и делает неплохо.

Цитата:

так всякие трояны - это не его стихия.

В Sep11 имеется файрфолл. Разьве его силами нельзя заметить активность?

SergejFk
Не интересовался, чем наши администраторы ловят.

В SEP11 файрволл не использовал (не включал), но когда он стоял на моем домашнем компьютере в качестве неуправляемого клиента, то я все ждал, когда же он поймает там вирус, но безуспешно, а тем не менее с компьютера в это время шел дикий исходящий SMTP трафик.... надоело, поставил AVG и вычистил заразу. Вот и все. С тех пор я знаю чего стоит этот SEP. А файрволы я предпочитаю применять встроенные в виндовс (службу файрвола и службу ipsec).

Firewall не простая штука. На его интеллект не стоит надеяться, даже там где об этом пишут на каждой рекламной странице и баннере. Тем более, если речь идет о маскировке под вполне добропорядочную прогу.
Без кропотливой - эксперементальной настройки едва ли чего выйдет. Во всяком случае, на этом уровне системе plun ' n ' play я не доверяю.
Должен быть лог, разбор чего куда, в какую сторону. Раньше для этого пользовался утилами от Руссиновича. Хотя и приходится к этому возвращаться. Ручной метод имхо самый надежный. Хотя бы потому, что претензии потом будут к себе и никому более.
Понимаю, что если следовать этому правилу, да ещё логиниться пользователем, с секурити на С: по умолчанию, то все антивири можно отправить в рециклед. Для одного самого себя так можно сделать. Но для фирмы весьма накладно.

НО все-таки, Rising Antivirus 2009 никто не пользовал?

SergejFk
Для всей организачии настроить можно. я настроил для рабочих станций, но только на входящие соединения. исходящие соединения встроенный файрволл XP не ограничивает к сожалению, а применять ipsec в таком варианте неудобно, так как его политики при применении нескольких политик IPSEC на компьютере не суммируются а применяется в итоге только одна. Когда перейдем на системы с "двухсторонним" файрволом, настрою и исходящие соединения потихоньку, т.к. это важнее, чем входящие.

Germanus

Цитата:

Дело в том, Что, к примеру, когда я пробовал SEP, то все что он мне "поймал", это были абсолютно точно НЕ вируся! Так как это были кейгены и несколько креков от "производителя", что говорится.

на кейгены и крэки ругается не только SEP. Любой стоящий антивирусник должен и делает это. А именно трояны и иже с ними, которые пропустил SAV, развернутый в сети. А так же у меня сейчас в работе еще два домашних компа друзей: один с Avast, другой с NOD32.
Пропустили. А SEP отловил и убил. Конечно потом дочищать ручками надо. И битые ветки реестра восстанавливать. А SEP уничтожает не дав заразиться системе. С лета как развернул его голова о состоянии сети перестала болеть. (Видно по логам сколько и чего отловил)
Я не собираюсь нахваливать SEP. О его тяжести во всем, не только интерфейса, неповоротливости и т.д. знают все. Но для себя на настоящий момент я альтернативы не вижу.

Germanus
Сегодня объявился ноут у которого KIS 2009 пропустил заразу

Привет, есть вопрос по Symantec Edpoint Protection версии 11.
Использую неуправляемый клиент на нескольких машинах, происхождение не одно и тоже.
с 1 января 2010 года перестал везде скачивать обновления сей продукт. Базы антивирусу и превентивной защиты остались по состоянию на 31.12.2009; защита от угроз из сети - на 30 декабря. Liveupdate выдает информацию о уже установленных последних обновлениях.
Но на сайте продукта уже выпущены базы по состоянию на 2 января 2010 года...Инсталером пока не накатывал...
http://www.symantec.com/business/security_response/definitions/download/detail.jsp?gid=savce
Информация о лицензии продукта, тоже интересная:
http://s60.radikal.ru/i170/1001/3e/b685e90d4e51.jpg
Хотелось бы понять - лицензия на неуправляемый клиент не такая уж и вечная?
Или дело в чем-то другом?

Panzer_VI
Похоже дело в самом Симантеке. И лицензии тут не причём. Вот на их форуме тоже обсуждают. Уверяют что суппорт в курсе и трудится над этим. И обновления у меня от них идут, правда все с отметкой от 31.12.2009.

dlc22, спасибо за информацию!


А существуют ли вообще временные ограничения по использованию неуправляемого клиента SEP?

Panzer VI
Рано панику подымаете....У разработчиков тоже праздник...

Yuriy_ML

Цитата:

Рано панику подымаете....У разработчиков тоже праздник...

Зато вирусописателям всегда не до праздников.

Yuriy_ML
Ну да, праздник, .... вот ещё от разрабов http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2010010308571348
Если коротко, то они всё знают и работают, а обновления идут. Так что ждём.

Panzer VI
Я не знаю таких ограничений.
Если очень надо, то можно обновить антивирусные базы руками через IntligentUpdater, сходив на их ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/sequence. Брать то что заканчивается на v5i32.exe или v5i64.exe. Обновяться только антивирусные базы, а проактивка нет.

Подскажите, а сервер сабжа уже можно поставить на Windows Server2008 R2?

dlc22

Цитата:

то они всё знают и работают

Тем более нет повода для паники!

Цитата:

а сервер сабжа уже можно поставить на Windows Server2008 R2?

То, что Вы называете "сервером сабжа" (SEPM) в версии 11.0.5 - уже можно, кроме Itanium.

ребята есть проблемы помогите разобраться
Поставил SEP
1. В самом SEP постоянно отключена Превентивная защита от угроз даж переустановка по новой не помогает, настройки деактивированы
3. Установил SEP Manger но к сожалению авторизироваться в ней не удается я преполагаю чт ошибка связана со службой semsrv
Event Source: semsrv
Виртуальная машина Java завершила работу с кодом 1, служба останавливается.
так как на том же сервере стоит jdk_1_5_17 может конфликтует
есть л возможность подружить SEP Manager и jdk_1_5_17 ??

netripper, спасибо
сейчас попробую провести сравнительное тестирование с McAffee

Цитата:

1. В самом SEP постоянно отключена Превентивная защита от угроз даж переустановка по новой не помогает, настройки деактивированы

А ее базы от какого числа?
Просто с базами с возрастом более полугода назад защита не работает.

Перестал обновляться неуправляемый клиент SEP 11.0.5002.333, ни на что не ругается.
Пишет All of the Symantec products installed on your computer are currently up-to-date.
Сдается мне перестал обновляться через месяц после установки.
Скачанным обновлением с сайта симантека обновляется ... сам нет.
В чем может быть проблема? Может ключи какие вводить надо?