» Symantec Endpoint Protection - SEP

Доброго дня всем! Вопрос следующий - в журнале трафика в каждой записи присутствует то или иное правило, к примеру:

Заблокировано Исходящее UDP GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_126
Разрешен Входящее UDP GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_112
Разрешен Исходящее TCP GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_114
Заблокировано Входящее ETHERNET [type=0x88CC] 21-Block all other traffic
Если я правильно понял, выделенное цветом - имя примененного правила. Однако только последнее имя фигурирует в политиках, изменяемых из консоли. Как определить и увидеть примененные правила (1-3) по их именам? Кто сталкивался с этим?

И вопрос 2 - как отключить извещение клиентом о блокировании того или иного приложения намашине клиента?

М-дя... похоже не знает никто... И в базе знаний пока не нашел ответа.

Добавлено29.01.2010:
Ну вот, тока посетовал - и нашел решение по первой части... Похоже недоработка вендора, сиречь семантека. О чем он и говорит здесь:
Symantec is aware of this issue and is currently investigating it. (Семантек знает об этом явлении и в настоящее время исследует его.) Далее описано как определить какое правило что заблокировало.
Из этого вытекает, что есть недоработка в отображении обработки событий в логе и редакторе правил клиента - нет колонки нумерации правил, что затрудняет поиск правила...
По ходу дела и второй вопрос решил - на клиенте ЗАЩИТА ОТ УГРОЗ - ПАРАМЕТРЫ - ИЗМЕНИТЬ ПАРАМЕТРЫ - вкладка ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ - чек-бокс ПОКАЗЫВАТЬ УВЕДОМЛЕНИЕ О ПРЕДОТВРАЩЕНИИ ВТОРЖЕНИЙ. Там же и включение звука по этим событиям. Неудачный перевод, ИМХО...

Здравствуйте, после удаления Symantec'a CleanWipe'om не могу создать VPN соединение



подскажите что делать? :о)

AndrewPfaifer
Все папки и файлы с атрибутом "скрытые" удалил? Реестр после этого чистил?

SEP тоже оплошал: W32.Spybot.Worm и Tracking Cookie пропустил. И удалить не смог: Имя файла "Недоступно", Исходный путь "Недоступно". ЗАШИБИСЬ

Есть несколько машин с SEP, как не качать обновления на каждой машине, а скачал на одной, остальные с него обновились?

Angel_19

Цитата:

Есть несколько машин с SEP, как не качать обновления на каждой машине, а скачал на одной, остальные с него обновились?

Есть стандартный метод. Ставишь на одну из машин Symantec Endpoint Protection Manager, эта машина будет выполнять роль сервера. Настраиваешь все правила в консоли. Консоль устанавливается вместе с Symantec Endpoint Protection Manager. За тем из консоли подключаешь всех клиентов. Клиенты будут обновляться с "сервера", все будет автоматизировано.
Так же можно делать ручное обновление через jdb файлы. Об этом читай на страницах 74-75 этого топика.

Спасибо за ответ!
Про Symantec Endpoint Protection Manager знаю, просто в представительство одной конторы, прислали именно SEP, без Symantec Endpoint Protection Manager. Вот и не знаю, как там в вопросах лицензирования, могу я сам поставить Symantec Endpoint Protection Manager?

Angel_19

Цитата:

прислали именно SEP, без Symantec Endpoint Protection Manager. Вот и не знаю, как там в вопросах лицензирования, могу я сам поставить Symantec Endpoint Protection Manager?

Так позвон им и узнай. Количество клиентских лицензий при этом не изменится.

Angel_19
На лицензионном дистрибутиве все в комплекте SEPM,SEP, сервер и консоль карантина. При покупке n-лицензий - дается бумажка-лицензия и носитель, никаких ограницений на количество SEPM не обнаружено в рамках приобретенного количества лицензий, хоть все ставь с SEPM . в 10 тоже так было, и снего ставиться необходимое, доп лицензия требуется для SNAC. По моему нкакого нарушения нет, поскольку закупалось все - это Вам не додали кусок лицензионного дистрибутива.

Цитата:

Так позвон им и узнай. Количество клиентских лицензий при этом не изменится.

Если бы все было так просто то я бы так и сделал, но там куда я позвоню сами не в курсе, им придется узнавать у еще вышестоящей организации.


Цитата:

На лицензионном дистрибутиве все в комплекте SEPM,SEP, сервер и консоль карантина. При покупке n-лицензий - дается бумажка-лицензия и носитель, никаких ограницений на количество SEPM не обнаружено в рамках приобретенного количества лицензий, хоть все ставь с SEPM . в 10 тоже так было, и снего ставиться необходимое, доп лицензия требуется для SNAC. По моему нкакого нарушения нет, поскольку закупалось все - это Вам не додали кусок лицензионного дистрибутива.

Спасибо!

Здравствуйте форумчане! Изначально SEPM установлен на диск F, при установки обновления ставится только на С, не могу выбрать другой. Как решить, может кто сталкивался с этим?

Подскажите, плз, что случилось...
Стоит клиент SEP 11.0.5002.333. Три дня как пропал "щит" из трея, ccApp - в автозагрузке присутствует, в процессах тоже.
Решил посмотреть дату обновлений (через Пуск), получаю ответ "Служба Sym Man Client не запущена. Пользовательский интерфейс позволяет настраивать только параметры запущенного защита сети. Запустить службу?"

При нажатии на "Да" - SymCorpUI.exe долго пытается чЁ-то выполнить, после вываливается по ошибке 0х80070102... При нажатии "Нет" - открывается окошко, в котором указана только защита от вирусов с датой баз от 05.02.10. Обновление в автомате не работает, по кнопке - обновлятся...

Ось - XP SP3, брендмауэр на ХР выключен. Сам клиент установлен более года назад и обновлен до RU5 в сентябре прошлого года...

vallyol
Для начала следовало написать, управляемый это клиент или не управляемый.

Цитата:

"Служба Sym Man Client не запущена.

А ты случайно в реестре ни чего не настраивал?
Зайди в управление компьютером>службы все службы SEP должны загружаться автоматически. Если не так, исправь. И посмотри зависимости у этих служб. Они могут не загрузиться из-за того, что не работает другая служба, от которой зависит работа SEP.

SergeyMark
Клиент неуправляемый, в реестре ничего, связанного с SEP, не трогал.

Из служб не запущен Symantec Network Access Control (стартанул... и в автомат), и ЛивАпдейт - ручной... Symantec CMC Smc (это менеджмент клиент) - стоит 2 - значит в автомате, статус - остановлен. Перезагрузился - проверил. Вроде, всё ОК.

По логам: везде "Службы Symantec Endpoint Protection запущены успешно", "Службы Symantec Endpoint Protection успешно завершены"... Тоже - ОК.

Подпихнул флешку с вирусом. Вычистил... Тоже - ОК.

Только, ярлыка в трее нет, а при запуске через пуск - ошибка. Может, просто глюканчик очередной?
В любом случае, спасибо за участие!

P.S. 1. На оффсайте написано "код ошибки 0x80070102 ... возникает после миграции SPA 5.1 до уровня клиента Symantec Endpoint Protection 11.0" - исправление 1226009.
2. Множество сообщений об ошибке 0x80070102 после установки SEP на Висту или Семерку
3. Видимо, не все ошибки исправили...

пользуюсь одним софтом, доступ которому в сеть заблокировал. Так вот при каждом запуске этого софта SEP выдает предупреждение: "эта программа с последнего запуска изменилась, можно ли ее пустить в сеть?" И никак не удается раз и навсегда создать для него правило, уже собрался менять SEP на что-то другое...
что можно предпринять, чтобы SEP замолчал и не пускал софт в сеть?

Adksojla

Цитата:

что можно предпринять, чтобы SEP замолчал

В настройках зайди в раздел "Уведомления" и сними галку "Показывать сообщение при обнаружении угрозы".

SergeyMark
в настройках фаервола у меня эта галочка давно снята
там это дословно называется "Показывать уведомления о предотвращении вторжений"
Не помогает. Есть еще одна галочка в настройках "Параметры управления клиентами".
Она называется "Показывать сообщение при обнаружении изменения", но относится только к изменениям в самом SEP, а не других программ.
То есть SEP заявляет не о предотвращении вторжения, а о том, что некая программа изменилась с последнего запуска и теперь хочет опять в сеть, и отучить его от этих сообщений пока не удается.
И весь напряг еще в том, что в силу особенностей моего софта, эти ненужные сообщения SEP прерывают работу основной программы, то есть делают ее неработоспособной, ибо она не должна находиться в бэкграунде по определению.
Я выставил экзешнику программы Read-only, чтобы предотвратить любые изменения в ней, но все по прежнему.

зы временно пришлось пересесть на Agnitum Outpost Security Suite 2009, там этой проблемы нет. Если кто все же знает решение с SEP, буду признателен.

Где SEP хранит скачанные обновления? И можно ли их скопировать на другую машину с SEP, чтобы не качать их заново?
По пути: \Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\content\incoming их нет (вообще папки data в каталоге \Program Files\Symantec\Symantec Endpoint Protection Manager\ нет)! И файлы *.jdb на компе с SEP не найдены (обновления SEP качает исправно).

Adksojla
А исключения делал ?

Нужна утилита Sylinkdrop со второго диска SEP. Диска второго у меня нет.....не скинете куда нить.....ну очень нада....

trasser

Цитата:

Нужна утилита Sylinkdrop со второго диска SEP. Диска второго у меня нет.....не скинете куда нить.....ну очень нада....

Ответил в варезнике http://forum.ru-board.com/topic.cgi?forum=35&topic=37917&start=1420#lt

Поставил SEP 11.0.5. Тот сразу набросился на кряк для radmin - r3god.dll
Насколько я читал это не вирус, а ругань антивируса на упаковщик.
Сделал в политиках глобальное исключение, все равно его находит проактивная защита.
Как успокоить эту тварь? Галочку о выводе сообщений убал кстати

подскажите, для обновления антивирусных баз SEP какие правила надо вносить в сторонний файервол?

koyote1982
А Вам нужно два файрвола?

Yuriy_ML
в SEP у меня только Защита от вирусов и программ шпионов, файер не установлен

koyote1982
серверов обновлений у симантека много, айпишники, судя по всему, меняются динамически. для lucomserver исходящий траффик на любой хост, порт 80. или просто в правило для браузеров добавить.

Verwolk
да, вы правы
а что если ему указать хост нэймы, а не ip?

у меня вроде получилось с разрешением коннектиться по TCP out к:
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
update.symantec.com
к 80 порту

koyote1982

Цитата:

а что если ему указать хост нэймы, а не ip?

ну если фаер позволяет, в самом SEP нет такой возможности. да и хостнэймов там с десяток, если не больше.

koyote1982

Цитата:

подскажите, для обновления антивирусных баз SEP какие правила надо вносить в сторонний файервол?

Для нормальной работы SEP, портов нужно открыть не мало.
Все подробно написано в файле Installation_Guide_SEP11.0.5.pdf со страницы 52 по 57. Раздел "Сведения о брандмауэрах клиентов и портах связи".

Добавлено:
Yuriy_ML

Цитата:

А Вам нужно два файрвола?

Если в организации уже работает что ни будь типа ISA Server, то SEP устанавливают выборочно, без файрвола.

SergeyMark

Цитата:

Если в организации уже работает что ни будь

Это Вы о чем? Где Вы здесь

Цитата:

для обновления антивирусных баз SEP какие правила надо вносить в сторонний файервол?

увидели

Цитата:

в организации уже работает что ни будь типа ISA Server