Ru-Board.club
← Вернуться в раздел «Программы»

» Symantec Endpoint Protection - SEP

Автор: aarony
Дата сообщения: 27.01.2010 10:14
Доброго дня всем! Вопрос следующий - в журнале трафика в каждой записи присутствует то или иное правило, к примеру:

Заблокировано Исходящее UDP GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_126
Разрешен Входящее UDP GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_112
Разрешен Исходящее TCP GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_114
Заблокировано Входящее ETHERNET [type=0x88CC] 21-Block all other traffic
Если я правильно понял, выделенное цветом - имя примененного правила. Однако только последнее имя фигурирует в политиках, изменяемых из консоли. Как определить и увидеть примененные правила (1-3) по их именам? Кто сталкивался с этим?

И вопрос 2 - как отключить извещение клиентом о блокировании того или иного приложения намашине клиента?

М-дя... похоже не знает никто... И в базе знаний пока не нашел ответа.

Добавлено29.01.2010:
Ну вот, тока посетовал - и нашел решение по первой части... Похоже недоработка вендора, сиречь семантека. О чем он и говорит здесь:
Symantec is aware of this issue and is currently investigating it. (Семантек знает об этом явлении и в настоящее время исследует его.) Далее описано как определить какое правило что заблокировало.
Из этого вытекает, что есть недоработка в отображении обработки событий в логе и редакторе правил клиента - нет колонки нумерации правил, что затрудняет поиск правила...
По ходу дела и второй вопрос решил - на клиенте ЗАЩИТА ОТ УГРОЗ - ПАРАМЕТРЫ - ИЗМЕНИТЬ ПАРАМЕТРЫ - вкладка ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ - чек-бокс ПОКАЗЫВАТЬ УВЕДОМЛЕНИЕ О ПРЕДОТВРАЩЕНИИ ВТОРЖЕНИЙ. Там же и включение звука по этим событиям. Неудачный перевод, ИМХО...
Автор: AndrewPfaifer
Дата сообщения: 31.01.2010 16:13
Здравствуйте, после удаления Symantec'a CleanWipe'om не могу создать VPN соединение



подскажите что делать? :о)
Автор: SergeyMark
Дата сообщения: 03.02.2010 06:28
AndrewPfaifer
Все папки и файлы с атрибутом "скрытые" удалил? Реестр после этого чистил?
Автор: bs2003
Дата сообщения: 03.02.2010 20:31
SEP тоже оплошал: W32.Spybot.Worm и Tracking Cookie пропустил. И удалить не смог: Имя файла "Недоступно", Исходный путь "Недоступно". ЗАШИБИСЬ
Автор: Angel_19
Дата сообщения: 04.02.2010 20:39
Есть несколько машин с SEP, как не качать обновления на каждой машине, а скачал на одной, остальные с него обновились?
Автор: SergeyMark
Дата сообщения: 05.02.2010 06:10
Angel_19

Цитата:
Есть несколько машин с SEP, как не качать обновления на каждой машине, а скачал на одной, остальные с него обновились?

Есть стандартный метод. Ставишь на одну из машин Symantec Endpoint Protection Manager, эта машина будет выполнять роль сервера. Настраиваешь все правила в консоли. Консоль устанавливается вместе с Symantec Endpoint Protection Manager. За тем из консоли подключаешь всех клиентов. Клиенты будут обновляться с "сервера", все будет автоматизировано.
Так же можно делать ручное обновление через jdb файлы. Об этом читай на страницах 74-75 этого топика.
Автор: Angel_19
Дата сообщения: 05.02.2010 07:16
Спасибо за ответ!
Про Symantec Endpoint Protection Manager знаю, просто в представительство одной конторы, прислали именно SEP, без Symantec Endpoint Protection Manager. Вот и не знаю, как там в вопросах лицензирования, могу я сам поставить Symantec Endpoint Protection Manager?
Автор: SergeyMark
Дата сообщения: 06.02.2010 08:57
Angel_19

Цитата:
прислали именно SEP, без Symantec Endpoint Protection Manager. Вот и не знаю, как там в вопросах лицензирования, могу я сам поставить Symantec Endpoint Protection Manager?

Так позвон им и узнай. Количество клиентских лицензий при этом не изменится.
Автор: alex_ts
Дата сообщения: 06.02.2010 15:48
Angel_19
На лицензионном дистрибутиве все в комплекте SEPM,SEP, сервер и консоль карантина. При покупке n-лицензий - дается бумажка-лицензия и носитель, никаких ограницений на количество SEPM не обнаружено в рамках приобретенного количества лицензий, хоть все ставь с SEPM . в 10 тоже так было, и снего ставиться необходимое, доп лицензия требуется для SNAC. По моему нкакого нарушения нет, поскольку закупалось все - это Вам не додали кусок лицензионного дистрибутива.
Автор: Angel_19
Дата сообщения: 07.02.2010 07:34

Цитата:
Так позвон им и узнай. Количество клиентских лицензий при этом не изменится.

Если бы все было так просто то я бы так и сделал, но там куда я позвоню сами не в курсе, им придется узнавать у еще вышестоящей организации.


Цитата:
На лицензионном дистрибутиве все в комплекте SEPM,SEP, сервер и консоль карантина. При покупке n-лицензий - дается бумажка-лицензия и носитель, никаких ограницений на количество SEPM не обнаружено в рамках приобретенного количества лицензий, хоть все ставь с SEPM . в 10 тоже так было, и снего ставиться необходимое, доп лицензия требуется для SNAC. По моему нкакого нарушения нет, поскольку закупалось все - это Вам не додали кусок лицензионного дистрибутива.

Спасибо!
Автор: vabik
Дата сообщения: 09.02.2010 09:04
Здравствуйте форумчане! Изначально SEPM установлен на диск F, при установки обновления ставится только на С, не могу выбрать другой. Как решить, может кто сталкивался с этим?
Автор: vallyol
Дата сообщения: 11.02.2010 09:46
Подскажите, плз, что случилось...
Стоит клиент SEP 11.0.5002.333. Три дня как пропал "щит" из трея, ccApp - в автозагрузке присутствует, в процессах тоже.
Решил посмотреть дату обновлений (через Пуск), получаю ответ "Служба Sym Man Client не запущена. Пользовательский интерфейс позволяет настраивать только параметры запущенного защита сети. Запустить службу?"

При нажатии на "Да" - SymCorpUI.exe долго пытается чЁ-то выполнить, после вываливается по ошибке 0х80070102... При нажатии "Нет" - открывается окошко, в котором указана только защита от вирусов с датой баз от 05.02.10. Обновление в автомате не работает, по кнопке - обновлятся...

Ось - XP SP3, брендмауэр на ХР выключен. Сам клиент установлен более года назад и обновлен до RU5 в сентябре прошлого года...
Автор: SergeyMark
Дата сообщения: 13.02.2010 10:18
vallyol
Для начала следовало написать, управляемый это клиент или не управляемый.

Цитата:
"Служба Sym Man Client не запущена.

А ты случайно в реестре ни чего не настраивал?
Зайди в управление компьютером>службы все службы SEP должны загружаться автоматически. Если не так, исправь. И посмотри зависимости у этих служб. Они могут не загрузиться из-за того, что не работает другая служба, от которой зависит работа SEP.
Автор: vallyol
Дата сообщения: 14.02.2010 20:45
SergeyMark
Клиент неуправляемый, в реестре ничего, связанного с SEP, не трогал.

Из служб не запущен Symantec Network Access Control (стартанул... и в автомат), и ЛивАпдейт - ручной... Symantec CMC Smc (это менеджмент клиент) - стоит 2 - значит в автомате, статус - остановлен. Перезагрузился - проверил. Вроде, всё ОК.

По логам: везде "Службы Symantec Endpoint Protection запущены успешно", "Службы Symantec Endpoint Protection успешно завершены"... Тоже - ОК.

Подпихнул флешку с вирусом. Вычистил... Тоже - ОК.

Только, ярлыка в трее нет, а при запуске через пуск - ошибка. Может, просто глюканчик очередной?
В любом случае, спасибо за участие!

P.S. 1. На оффсайте написано "код ошибки 0x80070102 ... возникает после миграции SPA 5.1 до уровня клиента Symantec Endpoint Protection 11.0" - исправление 1226009.
2. Множество сообщений об ошибке 0x80070102 после установки SEP на Висту или Семерку
3. Видимо, не все ошибки исправили...
Автор: Adksojla
Дата сообщения: 15.02.2010 12:21
пользуюсь одним софтом, доступ которому в сеть заблокировал. Так вот при каждом запуске этого софта SEP выдает предупреждение: "эта программа с последнего запуска изменилась, можно ли ее пустить в сеть?" И никак не удается раз и навсегда создать для него правило, уже собрался менять SEP на что-то другое...
что можно предпринять, чтобы SEP замолчал и не пускал софт в сеть?
Автор: SergeyMark
Дата сообщения: 15.02.2010 13:30
Adksojla

Цитата:
что можно предпринять, чтобы SEP замолчал

В настройках зайди в раздел "Уведомления" и сними галку "Показывать сообщение при обнаружении угрозы".
Автор: Adksojla
Дата сообщения: 15.02.2010 14:46
SergeyMark
в настройках фаервола у меня эта галочка давно снята
там это дословно называется "Показывать уведомления о предотвращении вторжений"
Не помогает. Есть еще одна галочка в настройках "Параметры управления клиентами".
Она называется "Показывать сообщение при обнаружении изменения", но относится только к изменениям в самом SEP, а не других программ.
То есть SEP заявляет не о предотвращении вторжения, а о том, что некая программа изменилась с последнего запуска и теперь хочет опять в сеть, и отучить его от этих сообщений пока не удается.
И весь напряг еще в том, что в силу особенностей моего софта, эти ненужные сообщения SEP прерывают работу основной программы, то есть делают ее неработоспособной, ибо она не должна находиться в бэкграунде по определению.
Я выставил экзешнику программы Read-only, чтобы предотвратить любые изменения в ней, но все по прежнему.

зы временно пришлось пересесть на Agnitum Outpost Security Suite 2009, там этой проблемы нет. Если кто все же знает решение с SEP, буду признателен.
Автор: Angel_19
Дата сообщения: 17.02.2010 07:20
Где SEP хранит скачанные обновления? И можно ли их скопировать на другую машину с SEP, чтобы не качать их заново?
По пути: \Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\content\incoming их нет (вообще папки data в каталоге \Program Files\Symantec\Symantec Endpoint Protection Manager\ нет)! И файлы *.jdb на компе с SEP не найдены (обновления SEP качает исправно).
Автор: adonskoy
Дата сообщения: 17.02.2010 14:36
Adksojla
А исключения делал ?
Автор: trasser
Дата сообщения: 19.02.2010 08:14
Нужна утилита Sylinkdrop со второго диска SEP. Диска второго у меня нет.....не скинете куда нить.....ну очень нада....
Автор: SergeyMark
Дата сообщения: 19.02.2010 10:05
trasser

Цитата:
Нужна утилита Sylinkdrop со второго диска SEP. Диска второго у меня нет.....не скинете куда нить.....ну очень нада....

Ответил в варезнике http://forum.ru-board.com/topic.cgi?forum=35&topic=37917&start=1420#lt
Автор: VOLK1234
Дата сообщения: 20.02.2010 01:00
Поставил SEP 11.0.5. Тот сразу набросился на кряк для radmin - r3god.dll
Насколько я читал это не вирус, а ругань антивируса на упаковщик.
Сделал в политиках глобальное исключение, все равно его находит проактивная защита.
Как успокоить эту тварь? Галочку о выводе сообщений убал кстати
Автор: koyote1982
Дата сообщения: 21.02.2010 10:17
подскажите, для обновления антивирусных баз SEP какие правила надо вносить в сторонний файервол?
Автор: Yuriy_ML
Дата сообщения: 21.02.2010 11:22
koyote1982
А Вам нужно два файрвола?
Автор: koyote1982
Дата сообщения: 21.02.2010 12:04
Yuriy_ML
в SEP у меня только Защита от вирусов и программ шпионов, файер не установлен


Автор: Verwolk
Дата сообщения: 21.02.2010 14:21
koyote1982
серверов обновлений у симантека много, айпишники, судя по всему, меняются динамически. для lucomserver исходящий траффик на любой хост, порт 80. или просто в правило для браузеров добавить.
Автор: koyote1982
Дата сообщения: 21.02.2010 15:54
Verwolk
да, вы правы
а что если ему указать хост нэймы, а не ip?

у меня вроде получилось с разрешением коннектиться по TCP out к:
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
update.symantec.com
к 80 порту

Автор: Verwolk
Дата сообщения: 21.02.2010 16:06
koyote1982

Цитата:
а что если ему указать хост нэймы, а не ip?

ну если фаер позволяет, в самом SEP нет такой возможности. да и хостнэймов там с десяток, если не больше.
Автор: SergeyMark
Дата сообщения: 22.02.2010 08:55
koyote1982

Цитата:
подскажите, для обновления антивирусных баз SEP какие правила надо вносить в сторонний файервол?

Для нормальной работы SEP, портов нужно открыть не мало.
Все подробно написано в файле Installation_Guide_SEP11.0.5.pdf со страницы 52 по 57. Раздел "Сведения о брандмауэрах клиентов и портах связи".

Добавлено:
Yuriy_ML

Цитата:
А Вам нужно два файрвола?

Если в организации уже работает что ни будь типа ISA Server, то SEP устанавливают выборочно, без файрвола.
Автор: Yuriy_ML
Дата сообщения: 22.02.2010 09:47
SergeyMark

Цитата:
Если в организации уже работает что ни будь

Это Вы о чем? Где Вы здесь

Цитата:
для обновления антивирусных баз SEP какие правила надо вносить в сторонний файервол?

увидели

Цитата:
в организации уже работает что ни будь типа ISA Server


Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104

Предыдущая тема: Аудиофайлы *.mix


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.