» Symantec Endpoint Protection - SEP

alexsuv777
http://forum.ru-board.com/topic.cgi?forum=5&topic=24492&start=1600#2

файрвол ведет себя адекватно, проверь в настройках чтобы не стоял хыч Разрешить весь IP траффик.

Версия неуправляемого клиента EN 11.0.6000.550 ведет себя нормально на W7 x64. От 6005 можно хоть русскую справку подменить. Почему то не могу найти клиента SEP 6000 х64 русского... Он существует?

alexsuv777
нет

Добрый день.Нет возможности читать всю тему.
Вопрос:Устанавливаю SEPM на ПК с Win200,все нормально устанавливается.При попытке установить клиента через консоль,целевой компьютер находится во вкладке неизвестные компьютеры и при установке,через некотолрое время,происходит сбой.
Если устанавливать через мастера миграции то все нормально устанавливается,но в списке клиентов нет целевого компьютера.если добавлять его вручную,то никакой информации про него нет.а при попытке выполнить программу сообщение что клиент еще не подключен к серверу.Причем если снова искать неуправляемые компьютеры через консоль,целевой вновь оказывается в Неизвестных.
Есть другой ПК с установленным Менеджером,там есть всего 2 клиента и они нормально работают.Настройки сервера импортировал,не помогло.Ситуация осложнена тем,что в сети около 200 компьютеров и на примере моих 2х надо перевести все остальные на 11 SEP.Файрволл тоже один на всю сеть,соответственно работающий сервер SEPM использует те же правила для портов что и мой.ЧТо можно сделать в данной ситуации?

shurik182

Цитата:

При попытке установить клиента через консоль,целевой компьютер находится во вкладке неизвестные компьютеры и при установке,через некотолрое время,происходит сбой.

Чаще всего такое происходит когда клиентский компьютер не соответсвует системным требованиям. Например: "Internet Explorer 6.0 или более поздней версии". Более подробно смотри Installation_Guide.pdf

Цитата:

Чаще всего такое происходит когда клиентский компьютер не соответсвует системным требованиям

по систребованиям не удовлетворяет только оперативка.проверял утилитой от симантека.грешу на то,что на целевом стоит тоже win2000.вроде у версии 11.0005 проблемы с ним

shurik182

Цитата:

по систребованиям не удовлетворяет только оперативка.проверял утилитой от симантека.

Для эксперимента добавь на этот компьютер оперативку 256 Мб или больше и убедись что Internet Explorer 6.0 или более поздней версии. Попробуй установить клиента еще раз.
Дистрибутив можно взять более свежий - 11.0.6005.562

Цитата:

saal
alex_ts
наблюдаю проблему на неуправляемом EN 11.0.6005.562.

тот же гимарой на 11.0.6005.562 ру (на 7х64) - никогда прежде такого не видел

Вот не понятно в сабже насчёт исключений,а то хватает всё подряд и суёт в карантин

ChronoAngel, а что тут непонятного ?
добавляй папки, файлы или диск целиком ...

Polo вот только нету что бы при алерте можно было выбрать действие "добавить в исключения",а так SEP не плох

с новой версией 11.0.6 на винде 7ке косяк с роутерами, блокирует UDP, проблемма массовая судя по раздачи на рутрекере, как с этим бороться?

Цитата:

с новой версией 11.0.6 на винде 7ке косяк с роутерами

Ничем себя пока не проявило... Win 7 x64 Ult
....

Цитата:

с новой версией 11.0.6 на винде 7ке косяк с роутерами

Ничем себя пока не проявило... Win 7 x64 Ult

везёт, у меня блокирует роутер и всё тут

Парни всем доброго времени суток.
Подскажите у меня рабочая группа, я установил себе на ПК SEP Small Business Edition 12.0. На моём ПК расшарины папки. Если работает "Защита от угроз из сети". то зайти на пк не возможно. подскажите как сделать что бы на пк можно было заходить по сети и видеть сетевые папки

hurricayne
Легко:
Защита от угноз из сети-Параметры- Настроить правила Браннд..-Разрешить драйвер NDISUIO- Закладка Приложения - Обзор - в System32 -ntoskrnl.exe -ставим галочку использовать. Проблемы доступа к ресурсам в одноранговой сети должны пройти. Разумеется этот модуль нужно разрешить на всех машинах.
Да, если все управляется SEP менеджером, то, разумеется, правило нужно создавать в менеджере, а клиенты обновят политику брандмауэра с него.
Удачи

Был установлен SEP_11.0.5
после обновления винды (вин7) файервол перестал блокировать, спрашивать и т.д., хотя в настройках это прописано и до этого прекрасно работало. Переустановил на версию RU_SEP_11.0.6_c32. Все без изменений. пишет что фай работает а на самом деле он спит.
У кого было подобное и как решить проблему без переустановки винды?

WebGraf2009
проверь в настройках файрвола, не стоит ли хыч разрешать весь IP траффик.

Подвисают большие 100 Мб и выше файлы Экселя.
Может быть и не только Экселя, но достало именно на нем.
Все установил как советуе Симантек - результат ноль.
Версия клиента и сервера - последняя русская.
Подвисают серьёзно, до 10 минут, потом разблокируются, но не всегда.
ПроцессЭксплорер показывает в этот момент, ничем не мотивированную, имхо, активность процессов Симантека (диск и реестр).

alex_ts
огромное спасибо помогло

Привет народ!
Помогите с такой проблемой, весь мозг уже выпарил. Есть несколлько контор, везде стоит SEP, все клиенты управляются с SEPM, прав на изменение настроек у клиентов нет, windows server 2003, полностью обновлён, SEP 11.0.6000 и 11.0.5000 серии. Проблема следующая, там где используют сервер терминалов происходит следующее, при подключении или отключении клиента сервак тупо уходит на перезагрузку. При чём происходит это не постоянно, хаотично и спонтанно, то реже, то чаще, на разных компах и самое главное на разных конторах. Можно с первого раза серв отправить на перезагрузку, можно с пятого, вобщем как пойдёт. Если все удачно подключились могут работать целый день, а вот при отключении может опять срубить серв. При перезагрузке вылазит табло ошибка winlogon.exe, но в журналах фиксируется только ошибка ntdll.dll. Оставлял из служб только антивирусный сканер причём принудительно выключал его через политику, то есть он не работал, а просто висел с плановым заданием. Один раз проскочила ошибка rtvscan.exe вызвал сбой ntdll.dll. Внёс все файлы отвечающие за подключение в глобальные исключения, внёс всю сеть в исключения, включая роутеры и DNS серверы. Эфект нулевой, как глючил, так и глючит. Удаляю SEP с сервера, оставляю только SEPM, на клиентах SEP остаётся в полном комплекте, всё как по волшебству начинает работать, ни одного сбоя или рестарта сервака. Весь инет перерыл, нащёл только инфу, что если стоит терминальный сервер, надо устанавливать SEP из терминальной сессии под админом, но эта инфа о старых версиях, как я понял для последних версий она не актуальна.
Может имеет смысл полностью удалить SEPM и SEP и установить всё по терминалу под админом??? Это ещё не пробовал. Там где терминал не используют всё работает без вопросов. Может кто то уже сталкивался с такой проблемой? Уже голова трясёццо.

DSM_Fronex

Цитата:

там где используют сервер терминалов происходит следующее, при подключении или отключении клиента сервак тупо уходит на перезагрузку.

И у меня используют сервер терминалов, проблемы такой нет. Может проблема в настройках терминального доступа? У клиентов должны быть права гостя.
У тебя все установлено на одном сервере? Может на нем еще и DHCP работает? В ситемных требованиях написано:"Статический IP-адрес (рекомендуется)". По хорошему SEP лучше ставить на отдельном сервере.

sergbt

Цитата:

ПроцессЭксплорер показывает в этот момент, ничем не мотивированную, имхо, активность процессов Симантека (диск и реестр).

Очень даже мотивированную. В настройках защиты файловой системы>дополнительные параметры по умолчанию активирован чекбокс "сканировать файл при обращении и изменении". Вот он и сканирует, а файл большой, время сканирования зависит от мощьности компютера. Переключи эту функцию в режим "сканировать файл при изменении".

Цитата:

И у меня используют сервер терминалов, проблемы такой нет. Может проблема в настройках терминального доступа? У клиентов должны быть права гостя.
У тебя все установлено на одном сервере? Может на нем еще и DHCP работает? В ситемных требованиях написано:"Статический IP-адрес (рекомендуется)". По хорошему SEP лучше ставить на отдельном сервере.

На сервере стоит DHCP, WINS, файловый сервер. Права есть "Пользователь удалённого стола". IP у сервера естественно статический. Людей на терминали 70-80 человек.
Проблема возникла не сразу, месяца 3-4 всё работало идеально, а потом вдруг ни с того ни с сего стал рестартится сервак. Вирусов нет 100%.

А вот на другой конторе сразу же после установки сервера проявляется, уже раза 3 переустанавливал. Людей на терминале 5-6 человек.

Есть контора где на сервере стоит всё тож самое, но не используется терминал, всё работает отлично.

Сбой возникает только в момент подключения или отключения - это 1000%, сам проверял, тупо подключался и отключался к терминалу, пока серв на рестарт не уйдёт, больше 7 раз подряд подключиться не получалось.

И самое главное, сбой вызывает не SEPM, а именно клиент, а точнее модуль "Защита от вирусов и программ шпионов", причём даже в ОТКЛЮЧЕННОМ состоянии, отключал через политику управления.

DSM_Fronex

Цитата:

Сбой возникает только в момент подключения или отключения - это 1000%, сам проверял

Логи смотрел? Раздел система и раздел приложения. Что там записано? Наверняка там есть код ошибки или причина вызвавшая сбой.

Цитата:

Логи смотрел? Раздел система и раздел приложения. Что там записано? Наверняка там есть код ошибки или причина вызвавшая сбой.

При перезагрузке вылазит табло ошибка winlogon.exe, но в журналах фиксируется только ошибка ntdll.dll.
Один раз проскочила ошибка rtvscan.exe вызвал сбой ntdll.dll.
winlogon.exe вылазит при следующей загрузке системы, ntdll.dll ошибка пишется в журнал.

Добавлено:

Цитата:

Очень даже мотивированную. В настройках защиты файловой системы>дополнительные параметры по умолчанию активирован чекбокс "сканировать файл при обращении и изменении". Вот он и сканирует, а файл большой, время сканирования зависит от мощьности компютера. Переключи эту функцию в режим "сканировать файл при изменении".

делал, не помогает
И самое главное, сбой вызывает не SEPM, а именно клиент, а точнее модуль "Защита от вирусов и программ шпионов", причём даже в ОТКЛЮЧЕННОМ состоянии, отключал через политику управления.

DSM_Fronex

Цитата:

Вирусов нет 100%.

Цитата:

При перезагрузке вылазит табло ошибка winlogon.exe

Одно противоречит другому. В системе все-же вирус сидит, но SEP его не видит.
Вот здесь эта тема обсуждалась http://forum.oszone.net/post-716967.html
И гугл выдает большой список тем на запрос "ошибка winlogon.exe" http://www.google.ru/search?client=opera&rls=ru&q=%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0+winlogon.exe&sourceid=opera&ie=utf-8&oe=utf-8
так-же смотрите запросы "как удалить вирус (Winlogon.exe)". Теперь у тебя в системе два winlogon.exe, один настоящий (от Microsoft), а второй поддельный и лежит не там где надо.

Цитата:

Одно противоречит другому. В системе все-же вирус сидит, но SEP его не видит.
Вот здесь эта тема обсуждалась http://forum.oszone.net/post-716967.html
И гугл выдает большой список тем на запрос "ошибка winlogon.exe" http://www.google.ru/search?client=opera&rls=ru&q=%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0+winlogon.exe&sourceid=opera&ie=utf-8&oe=utf-8
так-же смотрите запросы "как удалить вирус (Winlogon.exe)". Теперь у тебя в системе два winlogon.exe, один настоящий (от Microsoft), а второй поддельный и лежит не там где надо.

Вируса нет. Ошибку winlogon.exe вызывает именно SEP, происходит толькр в момент подключения или отключения клиента к терминалу, а winlogon в свою очередь вызывает ошибку ntdll.dll.
Варианты:
1. Юсер на своём БЕЗДИСКОВОМ (windows xp) клиенте грузится по PXE (RDP) с сервака, загружается до ввода имени и пароля, вводит их и получает сообщение, что нельзя подключиться, а серв в это время уже перезагружается или
2. Юсер на своём БЕЗДИСКОВОМ (windows xp) клиенте грузится по PXE (RDP) с сервака, загружается до ввода имени и пароля, вводит их и заходит день работает, в конце работы выходит и видит бесконечное сообщение о завершении работы, а серв в это время уже перезагружается.
На сервере, сам смотрел, картина такая, всё чудно работает и ни с того ни с сего, оба-на КТО НАЖАЛ RESET! И вот именно при этой загрузке и не когда больше, вылазит сообщение Ошибка winlogon.exe, в журнале Ошибки winlogon.exe НЕТ, есть только ошибка ntdll.dll
Появилась очередная контора, там людей мало, всё переустановили на сервере, такая же картина. Удаление SEP с сервака всё исправляет. Остаются только машины клиентов, но тогда вопрос: Какой же может быть вирус на БЕЗДИСКОВОМ клиенте???

DSM_Fronex

Цитата:

Какой же может быть вирус на БЕЗДИСКОВОМ клиенте???

А я и не говорил, что вирус на клиентской машине. Думаю что вирус сидит на сервере.
Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.
1. Загрузиться в Безопасном режиме (F8 при загрузке windows)
2. удалить все файлы из папки Temp
3. Удалить из реестра HKCU\Software\Microsof\Windows\CurrentVersion\Run запись "Firewall auto setup"="%windir%\\winlogon.exe"
4. Перезагрузиться.

Другой способ описан здесь http://forum.ru-board.com/topic.cgi?forum=62&topic=11546
Третий способ способ, скачай и запусти на сервере бесплатную лечащую утилиту Dr.Web CureIt!® http://www.freedrweb.com/cureit/
Четвертый - http://support.kaspersky.ru/viruses/avptool2010?level=2

Цитата:

Очень даже мотивированную. В настройках защиты файловой системы>дополнительные параметры по умолчанию активирован чекбокс "сканировать файл при обращении и изменении". Вот он и сканирует, а файл большой, время сканирования зависит от мощьности компютера. Переключи эту функцию в режим "сканировать файл при изменении".

Спасибо за ответ, но перепробовано всё.
Помогает только полное отключение автоскана, не помогает даже ислючение типа xls из перечня для автосканирования. ПроцМон кстати не показывает с моменты зависаний обращений именно к сохраняемому файлу, идет какой-то непонятный перебор файлов и реестра Симантека.

Цитата:

А я и не говорил, что вирус на клиентской машине. Думаю что вирус сидит на сервере.
Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.
1. Загрузиться в Безопасном режиме (F8 при загрузке windows)
2. удалить все файлы из папки Temp
3. Удалить из реестра HKCU\Software\Microsof\Windows\CurrentVersion\Run запись "Firewall auto setup"="%windir%\\winlogon.exe"
4. Перезагрузиться.

Другой способ описан здесь http://forum.ru-board.com/topic.cgi?forum=62&topic=11546
Третий способ способ, скачай и запусти на сервере бесплатную лечащую утилиту Dr.Web CureIt!® http://www.freedrweb.com/cureit/
Четвертый - http://support.kaspersky.ru/viruses/avptool2010?level=2

уже столько утилит пролапатило это сервер, что думаю ни кто столькими не лопатил и каспер, и симантэк, и макафи, и вебер, и что то там секурити, вобщем щтук 8 уже пробовал, ВИРУСОВ ТАМ НЕТ! Абсолютно на свеже установленном сервере такая же байда, проблема с сэмом и только с терминалом. Есть мысль, что сэм блокирует какуюто службу или очень долго что то проверяет при подключении терминала и серв падает.