» Symantec Endpoint Protection - SEP

alx19

Цитата:

Если SEP предыдущей сборки до этого был установлен - возможно это из-за следов которые он оставил.

От старого не могло остаться. Что там надо удалить? Всё вроде удалено. Сервисов нет. Да и полная переустановка не помогает. Так что врят ли от старого что-то.
Хотя вопрос. Что такое "предыдущая сборка SEP"? SEP только один v.11 10 версия это SAV. Или я чего-то не понял.


Цитата:

Если чипсет Via - возможно на их поддержку забили, так как она собирается покинуть рынок.

Это достоверная информация или личное мнение? Да, у меня VIA.

Что-то этот Symantec Endpoint Protection v11.0.1000.1375 Eng приторможенный, долго (3-6 секунд) открываются настройки и правила фаервола, это что для улётной работы проги уже мало Intel Core 2 Quad Q6600 с 2 Гигами оперативы???

Ещё одна большая проблема. Может быть кто-нибудь уже решил её.

Нельзя поставить Контрольный Центр НЕ на С диск. Если ставишь на Д, то он не запускается с ошибками Жава или ещё какими-то. Но 100% сразу помогает установка на С диск.

Вопрос такой. Может быть кто-то знает как перенести этот каталог Inetpub на другой диск. (не просто перенести в IIS, а чтобы он понял потом и обновлял файлы там. Не уверен я что он так будет делать). Т.к. заявленные 800Мег со временем превращаются в 2-3 гига. И это не то что раздражает, а просто Бесит уже. Причём эта херня хранит запакованные, и незапакованные файлы одновременно и лежат почему то не 2 последних, а за разных 10 дней.

Вообщем впечатление пока у меня от этой системы негативное. После многих лет использования Сюмантека, могу сказать "Ну и наворочали говна."

HF
Цитирую слова директора по продажам Symantec Поликом ПРО в России:
"Я бы рекомендовал подождать еще полгодика и спокойно переходить на SEP."
Учитывая, выход новых релизов в среднем раз в 3-4 месяца,
он считает что 11.0.1000.1375, как и предыдущий 11.0.780.1109 - кривые релизы. А MR2 станет уже путевым.
http://www.anti-malware.ru/phpbb/viewtopic.php?t=4044
http://www.anti-malware.ru/phpbb/viewtopic.php?t=3501&postdays=0&postorder=asc&start=45

Раз Via, по моему опыту если судить, нормальную поддержку можно получить только в поздних релизах текущего поколения. Via одной ногой в могиле, поэтому может такой поддержки для SEP не будет никогда.

Вроде на компьютере по минимуму для Контрольный Центр должно быть минимум 2 Гига ОЗУ.

По объему новых возможностей продукт просто супер по сравнению SAV и продукцией конкурентов. Как следствие - сыроват. Также было с Windows XP. Также сейчас с Vista.

Следы от SEP 11.0.780.1109 точно остались, если он деинсталировался стандартными средствами.

Раз ты уже давно используешь Symantec, можешь знать точно:
Не создалось ли у тебя впечатление, что качество детекта вирусов у SAV упало.
Последнее время почему-то слишком много сообщений о пропусках.
Может только Россию Symantec стала недолюбливать?
Считаешь ли, что нужно обязательно на интернет шлюзе использовать антивирус российского производства, если на клиентах SAV ?

alx19
спасибо за интересный комментарий. Если уж директор по продажам такое говорит, то.. ничего хорошего ждать не приходится больше.

По поводу этого.

Цитата:

Раз ты уже давно используешь Symantec, можешь знать точно:
Не создалось ли у тебя впечатление, что качество детекта вирусов у SAV упало.
Последнее время почему-то слишком много сообщений о пропусках.
Может только Россию Symantec стала недолюбливать?
Считаешь ли, что нужно обязательно на интернет шлюзе использовать антивирус российского производства, если на клиентах SAV ?

Сложно сказать. Я давно не пользователь и знаю как выглядят вирусы и трояны и защищаюсь и сканюсь не только сюмантеком. Но по работе с сюмантек сервером в корп. сети никогда проблем не возникало (кроме удаления РАдмна). Я о том, что вирусов в сеть не поступает и я спокоен. Так что пока доверие к нему не упало. И ничего дополнительного не использую "на шлюзах".
Насчёт русских продуктов, интересен стал мне только AVZ. Но если я не ошибаюсь, это тоже что-то из выходцев касперского?
Если коротко то, кроме лагов не заметил пока проблем у сюмантека.

Кстати, установил SAV10. Проблемы с лагами звука и видео пропали. Но.. они всё равно наблюдаются в некритичном количестве. Т.е. появилось подозрение, что это проблемы с Vista и возможно с VIA или в связке VIA+Vista+Sav, т.к. никогда не замечал такого особо. На работе AMD4200+nForce+SEP11+2Гб и нет такой проблемы.

Jifferr
Пробовал и раньше этот тест.
Не прохожу тест
ICMP Ping - Ping is a network troubleshooting utility. It asks your computer to acknowledge its existence. If your computer responds positively to a ping, hackers are more likely to target your computer.

21 - FTP (File Transfer Protocol). FTP is used to transfer files between your computer and other computers. Port 21 should be open only if you're running an FTP server.


Может кто подскажет какие правила создать для блокировки ICMP Ping и FTP (File Transfer Protocol).

З.Ы.Создал правило блокирующее исходящий трафик по 21 порту не помогает.

Цитата:

З.Ы.Создал правило блокирующее исходящий трафик по 21 порту не помогает.

Создай правило для входящего трафика.

Только что ещё раз прошел проверку, по сетевым тестам всё Ок, а вот СЕПовский антивирусник так и не был обнаружен.

Главное чего не хватает СЕПу, так это расширенной настройки фаера, уж слишком они обрезаны, да можно блокировать доступ в сеть необходимых программ, но это делается вручную, если не заблокировать правилами, то любая софтина без вашего ведома будет пропущена в нет.

Jifferr
Подключение к инету через VPN.
Под XP SP2 с SEP 11.0.1000.1375 AAP/PTP/NTP дефолтная настройка
провел тест на http://security.symantec.com/ - Security Scan Test.
Тест показал, что из открытого только ICMP Ping и 1723 порт (PPTP (Point-to-Point Tunneling Protocol). This service is used for virtual private networking connections).

То есть получается, что нет тучи открытых портов. Или как? Может просто 21 порт закрыт провайдером?

Кстати, вроде Symantec не рекомендует использовать Network Threat Protection, когда
SEP находится в режиме Client Unmanaged, в том числе, потому что вроде бы часть необходимых средств управления фаером доступны только в Managed режиме. Разве не так? Хотя из Managed в Unmanaged правила фаера можно копировать с помощью XML файла, но если на Unmanaged что-нибудь изменится, а новые правила доставлены не будут, может ухудшиться защита.

Добавлено:

Цитата:

[/q][q]Кстати, вроде Symantec не рекомендует использовать Network Threat Protection, когда
SEP находится в режиме Client Unmanaged, в том числе, потому что вроде бы часть необходимых средств управления фаером доступны только в Managed режиме. Разве не так?

Да, но как же неуправляемый клинт сделать управляемым? Хотелось бы большего контроля над фаером.

Jifferr
Поставил в правиле блокировать протокол ТСP входящий и исходящий трафик по 21 порту. Тест не прохожу.
Правило в списке выше всех разрешающих.
Как правильно создать правило для блокировки 21 порта и блокировки ICPM ???
Действительно "СЕПовский антивирусник так и не был обнаружен" прикольно.

И еще один вопросик, кто пользует СЕП дома за какое число описания "Защита от угроз из сети", че то у меня за 20 декабря 2007. Так и должно быть ?

Цитата:

Symantec endpoint Protection - это профессиональная программа, она не должна задавать глупых вопросов на каждой машине.

SergeyMark а как же ты забыл о той же фишке в scs. Если выводишь фаер на максимум (я пользовал только так) то любой выход или вход на машину сопровождается воплем scs типа что вы желаете с этим сделать? банить, не банить, или однократно решить? Тогда значит это не считалось что сильно много машин?

Мне вот то же не нравится что он банит по неизвестным правилам и хотелось бы иметь возможность видеть кто и что до блока а не после. Только вот жаль система не позволяет, Vista и scs друг друга не любят.

Прочитал тут.
http://www.anti-malware.ru/phpbb/viewtopic.php?t=3249
Попробовал у себя с установленным SEP 11.0.1000.1375 AAP/PTP/NTP Client Unmanaged под XP SP2.
Программа выдала, какие порты открыты и написала следующее:
Your system seems to be infected by a virus, your SVCHOST virtual memory usage 32544KO is beyond usual values. It is strongly advised to check your system with an Antivirus up to date and an AntfTrojans.

Попробуйте пожалуйста кто-нибудь запустить программу WWDC.exe отсюда:
http://www.firewallleaktester.com/wwdc.htm
http://www.firewallleaktester.com/tools/wwdc.exe

Будет ли предпологать наличие вирусов и скажет ли, что система под угрозой из-за открытых портов...


http://forum.ru-board.com/topic.cgi?forum=5&topic=13590&start=360#lt
Разработчик AVZ утверждает, что AVZ показывает открытые порты.

alx19

Цитата:

Попробуйте пожалуйста кто-нибудь запустить программу WWDC.exe отсюда:

Дык и что? А если стена настроена, к примеру, по 137-139 на вполне определенные адреса? Ессно он скажет, что надо закрыть их... Уже лет 7 работаю и не видел в этом проблемы. Первым ставь правило, разрешающее для нужных IP, вторым - руби все.

Цитата:

Vista и scs друг друга не любят

можно отменить проверку оси но , секурити в висте построена по другому немного и будут проблемы ,скорее всего

Kimion

Цитата:

Поставил Server 2003 Std SP2 поднял роль ActiveDirectory (BDC). Никакого стороннего софта больше не ставил.
Ставлю Symantec Endpoint Protection Manager служба запускается и сразу останавливается. С записью в журнале событий "Виртуальная машина Java завершила работу с кодом -1, служба останавливается."
Прослушивал порты, менял порт IIS 80 на порт 1234 - ничего не помогло.
А когда понижаю статус контроллера домена до статуса сервера то служба запускается и все работает нормально.
Каким образом можно на одном сервере запустить SEPM + BDC.

https://forums.symantec.com/syment/board/message?board.id=endpoint_protection11&thread.id=1470
http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/86368136366e1ad78025734e004734d9?OpenDocument

Извините.. но интересует такой вопросик по клиентской версии SEP, просветите.. может кто пробовал.
Как можно перенести настройки файервола с одной машины на другую (установлены клиентские версии)?
Может глупый вопрос, но я еще не разобрался...
Заранее благодарю!

ZuKZ
выдели все правила и скажи импорт - получится файл .SAR , на другой машине - экспорт.

Да, уж... )
Огромное спасибо!

Существует ли возможность обновления SEP вручную (не через LiveUpdate) как в SAV с FTP сервера?

PetSerVas
В SEP проихсходят обновления AAP/PTP/NTP.
Обновлять файлом вручную по аналогии с SAV можно только AAP. Файл доступен на symantec.com. Проактивку и правила фаера обновить вручную невозможно.

Цитата:

Обновлять файлом вручную по аналогии с SAV можно только AAP. Файл доступен на symantec.com

А название файла можно узнать?

alx19

Цитата:

Файл доступен на symantec.com

Какой файл?

Стоит 11,0,1000,1375. Sheduled updates выключены. Однако ежедневно в 17-00 он сам по себе всё равно обновляется.

Захожу в настройки Sheduled updates, ставлю "каждую пятницу", ок, проверяю -- установилось "среду" и так далее, всегда после "ок" сбрасывает на два дня назад.

Как лечить?

PetSerVas
ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/

*v5i32.exe или *v5i64.exe

Добрый день.
Решил попробовать SEP 11, раньше сидел на SAV CE начиная с 8-й версии.
Возникло два вопроса:
1. Зачем SEPM требует IIS, если использует Apache Tomcat?
2. Все настроил, начал устанавливать клиентов:
- Захожу в группу и выбираю "Найти неуправляемые компьютеры"
- Ввожу там диапазон IP, учетные данные (администратора, 100% правильно).
- Он сканирует, находит компы.
- Ставлю напротив компов галочки, выбираю пакет, набор компонентов и целевую группу.
- Жму установить.
- По всем компам СБОЙ. Даже при установке на сервер, где стоит SEPM.
Фаерволов нет, простой общий доступ к файлам в XP отключен. Все ПК не в домене (тестирую пока на виртуалке). Но при сканировании он точно проверяет учетные данные и они правильные.
Логов на клиектах НЕТ (хотя такая опция включена). Такое ощущение что при установке SEPM даже не пытается что-то делать. Где их можно посмотреть на сервере?

Народ Выручайте! ситуевина такая. сабж купленный. не ловит вирус...3 дня уже парюсь вирус по классификации др. веба : win32.sector.4 (со старыми базами : модификация w32.kuku) .
отсылка зараженного файла через карантин результата не дала. (где вообще посмотреть отправлен ли он в сумантек ? ). базы все текущие и последние. и монитор и сканер не реагирует. вирус заражает машины по сети. только излечу - через пару часов опять. портит *.exe файлы. как можно быстро связать с сумантеком ? может есть форма отправки вирусов на почту им ? или через их сайт ? выручайте

Супер глюк. Такой свиньи от Симантека я не ожидал...
В общем поднял я домен, в итоге в домене тоже был сбой при попытке установить SEP на клиентов через "Найти неуправляемые компьютеры". И что-то меня дернуло создать в домене учетную запись с админскими правами на английском языке "testadmin" - и все заработало.
Т.е. SEP 11 НЕ МОЖЕТ УСТАНАВЛИВАТЬСЯ ПО СЕТИ ЧЕРЕЗ "Найти неуправляемые компьютеры", ЕСЛИ ВВЕДЕННОЕ ИМЯ ПОЛЬЗОВАТЕЛЯ НА РУССКОМ ЯЗЫКЕ.
Версия SEP русская, Windows 2003 SP2 R2 рус, XP Professional тоже рус.

Garag
Из карантина можно отправить файл в антивирусный центр Симантек. У меня никогда такой нужды не возникало, но по опыту знакомых и статистике - реагируют они не быстро. Это не Касперский, где базы раз в час обновляются. Здесь время реакции обычно сутки, иногда двое.
Я бы попытался завтра (в будний день) позвонить в региональный офис Симантек.

SEPM может управлять клиентами SAV 9.x? Одна машинка в сети осталась с Windows 98.
Или уже нет такой возможности?

AlexTitov

Цитата:

SEPM может управлять клиентами SAV 9.x?

SEPM не может управлять никакими клиентами SAV X.X.X.X и похоже, что никогда не будет мочь.

Ещё проблема. После установки и настройки Manager на D:\... разделе, сейчас не устанавливаются клиенты через удалённый установщик.
Ввожу доменный логин, имя компа, поиск.
Он его находит. Ставлю галочку.
Нажимаю "Установить".
Очень быстрый диалог и ничего. Т.е. процесса установке не возникает. Словно или пакет не нашёл или прав куда то нет или ещё что...

Всё. Проблема решена. Почему то пак распаковался криво. И КлиентПакаж для х32 был битый. Нашёл, заменил, заработало.

Добавлено:
PetSerVas

Цитата:

Существует ли возможность обновления SEP вручную (не через LiveUpdate) как в SAV с FTP сервера?

alx19
ответили

Цитата:

PetSerVas
В SEP проихсходят обновления AAP/PTP/NTP.
Обновлять файлом вручную по аналогии с SAV можно только AAP. Файл доступен на symantec.com. Проактивку и правила фаера обновить вручную невозможно.

Ну для полного ответа, вот как обновлять с файла
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007100820002048


Код:
Solution:
The *.jdb file can be used to update virus definitions for the Symantec Endpoint Protection Manager. Use the Daily Certified or Rapid Release *.jdb to update Symantec Endpoint Protection Manager.

To use the Daily Certified *.jdb to update definitions for the Symantec Endpoint Protection Manager :
1. Download the Intelligent Updater by going to http://www.symantec.com/avcenter/defs.download.html
2. Select the language for the product.
3. Select Symantec Endpoint Protection.
4. Click Download Updates.
5. Select *.jdb file specified for Symantec Endpoint Protection 11, for example, "vd269027.jdb" and save the file to the desktop of the Symantec Endpoint Protection Manager computer.
6. After the download is complete, rename the file extension to a .jdb from a .zip.
7. Copy the *.jdb file to \Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\content\incoming folder (default install location).
8. Within 30 seconds to a minute the *.jdb file will process (all files and subfolders are removed from the incoming folder upon processing).
The Symantec Endpoint Protection Manager can now begin to update Symantec Endpoint Protection clients as they check-in.