» Symantec Endpoint Protection - SEP

А разве правило Block All этого не делает ?

ikar2006
теоретически делает. а практически - неизвестно, что за функции в этом самом драйвере ndisuio, ибо правила для lucomserver нет, но он обновляется. поэтому если сделать два правила, которые я уже указал, и поставить их первыми, и снова потестировать, то можно будет делать какие-то выводы. вобще на псфланке пишут, что якобы кроме аутпоста и еще какого-то тини ни один фаер их тест не проходит. правила для SEP я писал по руководству по созданию безопасной конфигурации для AOF и в соответствии с правилами для приложений с того же псфланка http://www.pcflank.com/fw_rules_db.htm , которые опять же предоставлены агнитумом.

Хрен его знает сделал, правила блок ICMP и блок 21 порт поставил самыми первыми в списке правил пофиг всеравно тест не проходит те же сообщения, что с этими правилами что без них.

Еще косяк обнаружил у SEPa - PowerDVD 7.3 валится при попытке проиграть диск или открыть настройки видео. Отключение всех видов защит ничего не дало, только полный снос SEPa решает проблему...

Поставил SEP в домене, месяца полтора все было ок. Сейчас клиенты не обновляются с 22 ноября. Причем штук 10 обновилось, а 100 нет. У всех зеленые точки на клиентах, с сервера пробовал Update Content, ошибок нигде нет, политики SEPа клиенты получаю. Куда копать?!

Вопрос к гуру.
Сервер Win2003 SP2 на нем SEP менеджер 11.0.776.942 русский.
В менеджере не показываются страницы "Домашняя страница", "Мониторы" и "Отчеты" - говорит "You are not autorized to view this page". Подскажите куда копать? Всю голову уже сломал, иис весь перепахал - не понимаю
И еще с локальной машины пытаюсь подцепится на http://<сервер с SEP менеджер>:9090
ява запускается, спрашивает пароль, ввожу, а оно говорит что не находит сервер либо порт

Добавлено:
Первую проблему решил сам...
Вторая остается - можно как-нить достучаться до менеджера удаленно?

Все, все вопросы сняты - разобрался сам.

Arker2007
ну дык поделись экзистенциальным опытом, чтобы все знали что делать если вдруг: )

я так понял, что продукт попросту сырой, ждем обновления.

Прошу прощение, если кого ввел в заблуждение, поторопясь с выводами. Развернув с сервера клиента SEP на "голую" машину с Novell Client, обрадовался работоспособностью.

Цитата:

ну дык поделись экзистенциальным опытом, чтобы все знали что делать если вдруг: )

Да легко
По первому: в Local Policy\User Rights Assignment\Adjust memory quotas for a process и Replace a process level token нужно было добавить NETWORK SERVICE, перегрузить IIS и все заработало.
По второму: консоль требует JRE 1.5 и не выше, а у меня уже стояло 1.6, пришлось переставить и у явы отключить обновление.
Симантековский KB рулит

Не понимаю, каким же все таки образом действуют правила?
По умолчанию есть 2 таких:
- Разрешить ping, pong и tracert
- Блокировать и заносить в журнал трафик IP
оба находятся под синей линией, т.е. с одинаковым приоритетом.
Пинг при этом не идет, в логе надпись, что блок идет по 2-му, указанному мной правилу, двинул разрешающее наверх, чтоп поднять его приоритет - толку 0. Где рыть?
ЗЫ
Поткорректировав "заводское" правило, добилсо пингов.
Так шта делаю вывод: как и ранее, все предустановленные правила надыть тщательно проверить, а лучче удалить и насоздавать своих.

Поставил. Вроде все ништяк, но не пойму почему при перезагрузки слетает настройка "защита угроз сети - разрешить общий доступ к моим папкам ......" ставлю, перегружаю комп все галки нет.... че за хрень?

Тоже появилась пара вопросов.

1. В SAV 10 была такая возможность при установке выбрать управляемый клиент или неуправляемый. А в SEP такого нет. Так вот. Суть вопроса в том как понять управляемый клиент или нет. Устанавливал как с помощью развертывания через менеджера так и просто с инстальника.

2. Установил Live Update Administrator при попытке загрузить в самом администраторе (в разделе Download & Distribute / Schedules нажав кнопку Run now ) пишет Insufficient free disk space to download the updates. На сайте симантека пока не нашел решения.

Как на установленном домашнем компутере посмотреть версию клиента SEP ?

ikar2006
help - about.

Keo82
1. почитай документацию. там написано, что неуправляемый клиент д. устанавливаться из папки CD1\SEP\Setup.exe (или у кого *64\Setup.exe).

QartushH

Ага прочитал...
То есть такого как в SAV уже нет, что можно при инсталяции выбрать тип установки? И что бы установить управляемый клиент нужно обязательно устанавливать его через средства развертывания?

Keo82
Управляемый клиент устанавливается CD1\Setup.exe
"Неуправляемых" можно подцепить. Почитай специализированную ветку В помощь системному администратору/SAV

Symantec SEP 11.0.780.1109 Client Unmanaged только Antivirus, AntiSpyware и
Proactive. XP SP2. Похоже что заразился.
Пошел исходящий трафик и сканер почты SEP начал ругаться на невозможность посылки по smtp. Заваливал десятками окон, блокируя возможность работать сообщениями об ошибках.
Я отключил модуль сканирования e-mail. Далее пошел исходящий трафик.
(к счастью не так много потратилось по сравнию с тем что могло быть)
TCPVIEW показала:
<non-existent>:1960    TCP    p44:3139    meleagros.siemens.com:smtp    FIN_WAIT1    
<non-existent>:1960    TCP    p44:3173    s2.trustnet.co.za:smtp    CLOSING    
<non-existent>:1960    TCP    p44:3199    mx2.uo.edu.cu:smtp    ESTABLISHED    
<non-existent>:1960    TCP    p44:3200    mail2.spartancontrols.com:smtp    SYN_SENT    
<non-existent>:1960    TCP    p44:3201    mailmx03.psiusa.com:smtp    ESTABLISHED    
<non-existent>:1960    TCP    p44:3202    mail2.spartancontrols.com:smtp    SYN_SENT    
<non-existent>:1960    TCP    p44:3203    retirata.aramark.com:smtp    LAST_ACK    
[System Process]:0    TCP    p44:3174    s2.trustnet.co.za:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3197    9a.fa.1343.static.theplanet.com:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3194    9a.fa.1343.static.theplanet.com:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3193    mx2.earthlink.net:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3192    mailin.rzone.de:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3188    mx2.earthlink.net:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3183    mail.global.frontbridge.com:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3176    azmail1.alitalia.it:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3171    homx.canon.com.au:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3162    *.s7a1.psmtp.com:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3163    mxl144v2.mxlogic.net:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3157    mail1.no-ip.com:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3153    email-1.phoenix.edu:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3152    email-1.phoenix.edu:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3120    zetes.siemens.com:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3138    smtp01.sbt.siemens.com:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3136    front1.prvt.com:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3133    tsmail.ants.co.uk:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3131    mx.att.ne.jp:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3111    zetes.siemens.com:smtp    TIME_WAIT    
[System Process]:0    TCP    p44:3107    zetes.siemens.com:smtp    TIME_WAIT    

alx19
и что это дает в практическом плане?

Verwolk
Вот, что дала проверка McAfee VSE 8.5i P4 AS 8.5i:
04.12.2007    17:08:13    Would be blocked by Access Protection rule (rule is currently not enforced)     P44\Alexandr    C:\WINDOWS\Explorer.EXE    C:\Documents and Settings\Alexandr\Local Settings\Temp\winlogon.exe    Common Standard Protection:Prevent common programs from running files from the Temp folder    Action blocked : Execute

04.12.2007    17:34:20    Blocked by port blocking rule     C:\DOCUME~1\Alexandr\LOCALS~1\Temp\winlogon.exe    Anti-virus Standard Protection:Prevent mass mailing worms from sending mail    64.12.137.89:25

Вирус пока не обнаружен. Но McAfee не зная вируса (возможно не зная) блокировала сразу возможность вредоносной активности.

А можно поинтересоваться что лучше?
Сабж или симантек антивирус корп?

alx19
Цитата:

Вирус пока не обнаружен

А это что?
Цитата:

C:\Documents and Settings\Alexandr\Local Settings\Temp\winlogon.exe

Цитата:

C:\DOCUME~1\Alexandr\LOCALS~1\Temp\winlogon.exe

winlogon.exe не должен быть там.

TeXpert
McAfee не удалила этот файл, а только блокировала активность. После перезапуска все повторилось. SEP и VSE с самыми новыми базами при полном сканировании системы на вирусы, ничего не обнаружили.

Поставил на полную проверку KAV 7.0.0.125 на начь с самыми новыми базами.
Winlogon.exe был сразу локализован как Rootkit, в почтовых базах Outlook какой-то trojan spy,... Утром узнаю, что еще будет найдено.

alx19
И отключи восстановление системы в винде. Я часто сталкивался с повторами, пока восстановление включено. Прячутся в контрольных точках

alx19
Между прочим, McAfee весьма мудро поступил:
Цитата:

Common Standard Protection:Prevent common programs from running files from the Temp folder Action blocked : Execute

А вообще, почему бы тебе совсем не прикрыть SMTP-протокол? А этот
Цитата:

Outlook

тебе реально нужен? Аутглюк -- рассадник для вирусов).

TeXpert
Если отключу smtp, то смогу почту отправлять?
Microsoft Outlook пользуется подавляющее кол-во организаций. Как-то же они выживают. Разве что у них просто активирус если используют Outolook - не от Symantec.

Здесь
http://forum.ru-board.com/topic.cgi?forum=8&topic=22939&start=420#lt
активно обсуждается, что Symantec пропускает слишком много троянов, а KAV ловит.
Это потому что в России/Украине/Беларусии/... живем (станций слежения у Symantec на Россию не хватает)
или Symantec сдает свои позиции и надо искать ему альтернативу (которой нет) ?
Или необходимость усиливать защиту с помощью антивирусов на почтовике и интернет шлюзе, если на клиентах Symantec, надо принимать за аксиому?
Или надо в обязательном порядке использовать более совершенный чем в строенный в ОС фаервол на каждом из клиентов с антивирусом от Symantec ?

alx19
Цитата:

Если отключу smtp, то смогу почту отправлять?

Лично я обхожусь без этого протокола. Сам думай -- опасно открывать этот порт. Впрочем, чем меньше открытых портов, тем лучше.
Цитата:

Microsoft Outlook пользуется подавляющее кол-во организаций. Как-то же они выживают. Разве что у них просто активирус если используют Outolook - не от Symantec

Потому и жертв много.
Цитата:

...Symantec пропускает слишком много троянов

За несколь лет активного пользования (даже Web-сервер запускал), тьфу-тьфу-тьфу, ничего я не словил. Вся проблема в том, что надо соблюдать хотя бы элементарные правила. А криворукому и это
Цитата:

...а KAV ловит

не поможет.
А насчёт советов... Надо учить пользователей быть более грамотными, наверное. Хотя это очень трудно.

TeXpert

Цитата:

Вся проблема в том, что надо соблюдать хотя бы элементарные правила.

Можно, пожалуйста, ссылку на описание таких правил (настройки системы надо пологать), чтобы уменьшить:
- пропуски вирусов симантеком
- ущерб от таких пропусков
Если они простейшие, значит написаны должны быть уже много где.

alx19
Я вообще-то имел в виду общие правила -- здравый смысл. То есть, например, не кликать какие попало файлы (даже фотографии я сначала в Far'овском редакторе смотрю на наличие, например, хотя бы магического MZ), удалять сразу неизвестные письма с вложениями, и т. д. Всё и не опишешь. А в Firewall я на загрузку ActiveX-компоненты ставлю "Спрашивать", хотя, фактически никогда и не разрешаю их загрузку, так что вполне мог бы и запрет поставить. Загрузка ActiveX -- хороший способ впарить трояна.

По-моему, мы тут офтопим.