» Symantec Endpoint Protection - SEP

Уважаемые форумчане!
Кто нибудь блокировал пакость Yota для пользователей через политики управления устройствами, без полного отключения USB? Прошу поделится опытом...

Привет всем.
Пытаюсь установить SEP клиент после удаления NIS с помощью Norton Removal Tool.
Установка почти заканчивается, потом начинается откат и сообщение что система не изменена...

В чем может быть проблема?
Реестр почистил... Гугл не помог.

Спасибо.

Подскажите, пожалуйста, где в SEPM 12 поиск неуправляеміх клиентов?

Vidosick,-
-у меня нет практики работы с sep в гигабитной среде. - новерное, - семантеку всё равно, какая скорость.
..у них есть sonar, - который по умолчанию сканирует файлы на удалённых компьютерах, что не прибавляет, наверное, трафик. возможно, он пытается считать компьютером ip-камеру и её сканирует(ето врядли, но очень смешно))
..у них есть отключаемый даун-лоад инсайд, - который оценивает "надёжность" файла по его "репутации" у других пользователей интернетов, что не ускоряет трафик.
-к сожалению, - после его отключения, на иконке в трее появляется ч0рная(красная) метка, к сожалению, без количества неполадок. -ето вызывает позывы время от времени проверять - всё ли в порядке.
..у них есть манера сканировать файлы "на лету" - что замечательно, но не всегда.
-я добавляю директорий, в который всё такое валится - в список исключений от сканирований, и оттуда ничего не запускаю. копирую куда то ещё обычным, без паков, тотал коммандер(для него есть читалка линуксовых fs если надо, на сайтике проги), - не проводником.
-также иногда добавляю в список исключений софтинку, управляющую потоком.
*в случае включённых опций
-разрешить только трафик приложений
-спрашивать, перед разрешением трафика приложений
-разрешить отслеживания сетевых приложений
и выключенной опции -считать "надёжным" файл, полученный из "интрасети", -
-уровень безопасности меня устраивает.
*в случае, если приложение вдруг изменилось - семантек переспрашивает::
--приложение изменилось, - разрешить ему интернеты?
..иногда уменьшает количество баллонов запуск проги не кликом из проводника, а из командной строки, или того же тотал коммандер.
..ещё есть патч от микрософт, уменьшающий количество излишних запросов,
к сожалению, не помню номер, где то записан. ..этот kb из необязательных и предложился к установке один лиш раз.
..ещё бывают неплохие сетевые карты, или чипы онбоард, которые, после настройки, очень помогают скорости и стабильности трафика
....................................................
-сообщение о нехор0шести работы sep в гигабитной среде слегка расстроило, и, если будет возможность отписаться-
-помогло-непомогло - интересно.
..на моей старенькой маффынке в случае, когда реальная скорость докачки из интернетов превышала в 100 мегабитной среде 6,5 мегабайт в секунду - она начинала захлёбываться в связи с неспособностью дисковой подсистемы(4ре 2х-терабайтных рыбы 5900rpm в помойке)успевать нефрагментированно усваивать многопоточную загрузку.
-если не слабый комп и нормально памяти - может помочь raxco perfectdisk pro или server, у него есть агент, которых на лету пробует уменьшать фрагментацию. только на ломанных версиях оно иногда глючит. триал у них есть иле нет не знаю

iser77

Отмените текущую установку и используйте последний Symantec CleanWipe со всеми включенными опциями. Иногда такое бывает и успешно лечится. После перезагрузок установка завершится нормально.

iser77, - аххах, - откат системы перед окончанием установки sep вместо nis?) - это новое)
-такое когда то было с микрософт офис, если вводиш не валидный корпоративный ключ
-помогала установка софта с валидным ключиком.
..может и не имеет отношение к делу - но пятничное и не ТТП семантека и не гугл
..вообще, - если поц - нотик с предустановленной w8 успевший до попадания в руки поймать нечто в интернетах, либо пожевать непонятного происхождения live-cd, -
-личное мнение: -без программатора делу не помочъ. мож но вылечить симптомы, перепрошив биос. *либо, если существует тула, достоверно ерэйзящая всю флэшку для биос - полностью, - частично лечится. ..поскольку остаются ещё биос видеокарты, hdd, альтернативные потоки ntfs, заремапленные кластеры, и т.п. **это всё - в случае жестком, - если предидущие руки, юзавшие дивайс, кому-либо были интересны. либо дивайсик случайно попал не на ту страничку. ну и под раздачу. ..или к какому либо криворукому из какой либо компьютерной помощи либо специально вооружившемуся годным live-cd, driver's-паком, и т.п.
......................................................................
..и вообще.
mig73 ,
-воот человек напейчятал же, - "googl не помог" - чё вы такое тЕзите ноч-полн0ч ??

..уа ведь могу и не посмотреть на то, что кому то 73лет и/иле 73во году рождениуа и что мне может быть "запрет на пост" иле излишние комментарии потруцца, - и затр0ллить вас в этой теме до к0лик в жывотах у её читателей, аххахах)
-будет мне тяпничное развлечение)))

Хочу добавить, что NIS - те же грабли, что и SEP- не работают они корректно в сетях с большим трафиком, поскольку фаервол у них один, только морды разные. Они созданы для офисного планктона, перемещающего доки с комп на комп и тайком зырящего порно сайты)
Вот кому из вас будет приятно знать, что их защита режет трафик?..
ps выскажу некоторые, возможно параноидальные догадки, зачем комплексному корпоративному продукту так усиленно проверять трафик даже с отключенной функцией защиты от DoS, что становится очевидным только на большом трафике. На малом трафике это незаметно...
Напомню только, что Symantec- американская корпорация.
Все подробности здесь: _http://www.kommersant.ru/Doc/2249388

sep у меня замечательно работал в 100 мегабитной среде с большим(для неё) трафиком. пример::
-p2p клиент, живущий на Р4 530 2gb winXP. *уа и сейчас с этой желеске туд сежу
-одновременная докачка до 50ти файлов разнородного содержания(музыка, в т.ч. порно, эротика, литературка, etc..) из различных источников(к примеру, по пятьдесят-150 на файлик);
с одновременным ведением логов чятиков десятка хабов, постоянного поиска источников к очереди для закачки в терабайт, пополнения базы sql, резервирование состояния базы,
проверка хэш-сумм докачиваемых файлов, раздача контента из своей шары, лазание по интернетам и нормальное пользование компом.
в день на тарифе 20 мегабит можно было накачать полезного контента(файлы, не трафик) на 300gb и не заметить.
...................................
..могу добавить, что хоть семантек и нерусская корпорация, - sep -- единственный -- ,
по моему скромному мнению, более менее нормальный бесплатный(вроде) для использования вне территории usa&canada, файрвол-антивирус.
-если мне представится возможность затестить его в гигабитной среде - не премину.
-мне поломанного касперского поставить на p4 530 2gb ? - не смешыте.
..кроме того, что он неюзабелен. -мне такое - неинтересно. даж ежели безвозмездно иле триал.
а что до семантека as американской корпорации, - так так личка ваша и ваши/неваши порно фотки
"от-касперского" - обойдутся интересантам - дешевле))).
..каг бы уа предпочитаю ценицца хоть чуть, но выше, аххах. ..кроме того - касперские неспортивны. *пмсм)
..кроме того, всякий вменяемый человек - интимный контент - на дивайсах бывающих в интернетах - вообще не держит. вообще
-----------------------------
-аххах)), - жыл бы уа в амереке, - может и заюзал-б касперского. иле чего ещё)
..а что до Сноудена, **вышепреведённая ссылка** --- то уа вообще не понимаю, - что тв0рицца.
...вернее, - думаю, что это бОмба((молчю-молчю - жисть - ана одна)), - и не понимаю, почему анонимусы терпят то -- что из аэропорта ,- Сноуден ,- поехал к каким то "американским друзьям в россии" и там сидит под домашним арестом(?) и они его психологически о чём то пиарят там(??) ?
-всем же людЯм интерестно жеж. - всякая криптография и шпионство - то всё тсветочки. тоесть не уагодки.
..вот вроде каг у Позднера уже пропиарена его передачка в ети выходные иле следующие со-Сноуденом -
-чясика надва-на полтора, и останавливает его(Позднера) тока то - что он не может найти второго Позднера, -
-который смог бы на русский синхронно переводить свою, возможно, преинтереснейшую передачку так же trye, каг он владеет Ангельским уазыком.
*шуттка). - тяпницо жеж)). -иле уже на прошлой недельке было?

Может кто-то сталкивался с такой проблемой: при автоматическом обновлении клиентов SEP 11 из консоли SEPM 12.1.2 путем распространения пакета на группу, клиенты SEP 11 обновляются до версии SEP 12.1.2 без проблем, но после обновления функция sonar на клиентах в статусе "отключена". Приходится включать ее на каждом клиенте вручную. В политике, которая применяется к группе sonar включен.

Скачать последнюю версию продукта: http://www.comss.ru/page.php?id=569
и
Видео(на 1 час) - Обзор Symantec Endpoint Protection 12.1.2: настройки и возможности
http://www.youtube.com/watch?v=8KjezpJ0Bgs
В обзоре рассматривается установка, настройка и рекомендации по использованию клиентской части программы.

Обзор Symantec Endpoint Protection 12. Часть 1 http://www.anti-malware.ru/reviews/Symantec_Endpoint_Protection_12_1

Обзор Symantec Endpoint Protection 12. Часть 2 http://www.anti-malware.ru/reviews/Symantec_Endpoint_Protection_12_2

Клиенты английские
Symantec_Endpoint_Protection_12.1.3_Win32-bit_Client_EN.exe
Symantec_Endpoint_Protection_12.1.3_Win64-bit_Client_EN.exe
Скачать http://forum.ru-board.com/topic.cgi?forum=35&topic=37917&start=2440#8

Доброе время суток. Прошу помощи
Имеется SEP manager 11 последней версии (11.0.7300)
В один прекрасный момент перестали качаться обновления на 32битную версию клиентов. Предположительно после того как в момент загрузки пропал интернет.
По логам видно, что он даже и не пытается их грузить.
[more]
10 Октябрь 2013 г. 4:43:45 KRAT: Операция LiveUpdate успешно выполнена. [сайт: Symantec] [сервер: eva]
10 Октябрь 2013 г. 4:43:45 KRAT: Программа LUALL.EXE завершена. [сайт: Symantec] [сервер: eva]
10 Октябрь 2013 г. 4:43:44 KRAT: Следующий запуск LiveUpdate: 11 Октябрь 2013 г. 4:50:32 KRAT в eva. [сайт: Symantec] [сервер: eva]
10 Октябрь 2013 г. 4:43:44 KRAT: Программа LUALL.EXE успешно обновила содержимое. Код возврата = 0. [сайт: Symantec] [сервер: eva]
10 Октябрь 2013 г. 4:36:46 KRAT: Symantec Endpoint Protection Win64 11.0.7000.975 (Russian) не нуждается в обновлении. [сайт: Symantec] [сервер: eva]
10 Октябрь 2013 г. 4:36:07 KRAT: Symantec Endpoint Protection Win32 11.0.7000.975 (Russian) не нуждается в обновлении. [сайт: Symantec] [сервер: eva]
10 Октябрь 2013 г. 4:36:04 KRAT: Описания для защиты от вирусов и программ-шпионов в Win64, 11.0 MicroDefsB.CurDefs успешно обновлен. [сайт: Symantec] [сервер: eva]
10 Октябрь 2013 г. 4:28:40 KRAT: Модуль превентивного сканирования TruScan для Win32 11.0 не нуждается в обновлении. [сайт: Symantec] [сервер: eva]
10 Октябрь 2013 г. 4:28:37 KRAT: Сигнатуры для предотвращения вторжений в Win64, версия 11.0 не нуждается в обновлении. [сайт: Symantec] [сервер: eva]
10 Октябрь 2013 г. 4:28:36 KRAT: Модуль превентивного сканирования TruScan для Win64 11.0 не нуждается в обновлении. [сайт: Symantec] [сервер: eva]
[/more]
Но самое интересное, что если запустить загрузку вручную из менеджера, то они загружаются. Подскажите что где можно почистить.. Пробовал удалять базы из c:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content\ - он их почти тутже откудато достал обратно, той же ревизии что и были.
Клиенты только 32битные. В вышеуказанной папке в папке с 64битными базами лежат только файл и папка "Full", а в папке с 32битными еще и файл "xdelta*.dax" Так и должно быть ?
И подскажите еще, можно ли как-нибудь отключить вообще загрузку 64битных баз ? и удалить сгенерированные 64битные пакеты.
И есть ли какие-нибудь инструменты по тестированию базы ?

имеем сабж 12.1.3001.165 неуправляемый дом комп
при попытке ставить на хр (автообновляемый) вроде хорошо все
но ошибка идет чтото с базами не может он их установить чтоли
liveupdate делаю вроде он их все там забирает
но пишет в конце что доступно 2 установлено 0
ребутаю
такие дела

maispovis
ссылку поправь

фактически нужна только проактивка SONAR (4.5 уже кажись)
остальной фарш мало интересует

в продуктах авг тоже симантековский сонар, но уроня антибот (это где-то 1.0)

upd.
свою проблему с застреванием баз решил этим способом
теперь еще одна проблема вылезла
симантек почему-то стал запускать LU 2 раза в сутки. первый как и положено по расписанию из свойства сервера, а вот второй в момент загрузки сервера.. т.е. у меня стоит обновление раз в сутки. на днях я ребутил сервак скажем в 14:00. теперь каждый день у меня запускается лайв апдейт в 14:00... это все бы ничего, только в момент обновления, когда он ворочает своей базой сервер прилично так подвешивается. поэтому дневные обновления мне совсем ни к чему

Поставил вчера сабж, потихоньку разбираюсь. С непривычки кажется, что настроек очень уж много... Первым делом изменил настройки ответных действий при обнаружении рисков. Там по умолчанию стояло удалять "источник угрозы" сразу и навсегда. Заменил на "уведомлять" - а дальше я уж сам решу, что делать. Но могут ли у быть какие-то неочевидные побочные последствия?

И ещё, не могу разобраться, как исключить определённые типы файлов из проверки в рельном времени на вкладке Auto-Protect. По умолчанию предлагается вариант "File types: All types" ("Проверять все типы файлов"). Но зачем мне проверять, например, многогиговые AVI-видеофайлы, там точно вирусов нет, зато ненужная проверка влияет на скорость. Казалось бы, логично добавить определённые типы файлов в исключения? Однако такой опции нет!
Можно выбрать вариант "Selected extensions" ("Только указанные расширения"), но тогда будут проверяться только файлы с расширениями, явным образом заданные в списке. А мне надо, чтобы, наоборот, проверялись файлы любых типов, кроме явно заданных исключений. Как это победить?

Спасибо!

oshizelly

Цитата:

А мне надо, чтобы, наоборот, проверялись файлы любых типов, кроме явно заданных исключений.

Укажите <Типы файлов> - <Все типы>, далее исключите нужные расширения в исключениях:
<Изменить параметры> - <Исключения> - <Добавить...> - <Исключения угрозы безопасности> --> <Рачширения>

mig73
Спасибо, теперь разобрался. Меня сбило с толку, что там на вкладке "Auto-Protect" тоже есть ссылка на список исключений, поэтому пытался там же эти исключения и задать, а другие разделы настроек посмотреть не догадался

Ещё вопрос насчёт исключений. Как быстро добавить обнаруженный сабжем "опасный" файл в исключения? В окне предупреждения "Endpoint Protection Detection Results" при нажатии на кнопку "Other Actions" в нижней части окна выпадает меню из 5 команд, самая первая - "Exclude" (исключить). Вот только она почему-то всегда является неактивной (отображается серым цветом и нажать её не получается).

oshizelly

Цитата:

Вот только она почему-то всегда является неактивной (отображается серым цветом и нажать её не получается)

<Автоматическая защита> - <Действия> - для <Вредоносные программы> первое действие: <Поместить в карантин> - если первое действие не выполнено: <Исправить угрозу>, а для <Угрозы безопасности> - первое действие: <Поместить в карантин>, второе <Оставить как есть (занести в журнал). Это если не переопределять действия, например для "программы-шутки".
В этом случае будет возможность восстановить или исключить, в зависимости от типа угрозы. Если восстанавливать, то отключите временно защиту, добавьте в исключения - включите защиту. SEP часто бывает слишком строг и категоричен

mig73

Цитата:

<Автоматическая защита> - <Действия> - для <Вредоносные программы> первое действие: <Поместить в карантин> - если первое действие не выполнено: <Исправить угрозу>, а для <Угрозы безопасности> - первое действие: <Поместить в карантин>, второе <Оставить как есть  (занести в журнал).

То есть, эта кнопка активна, только при определённых настройках ответных действий? Но мне такие варианты не подходят, я как раз первым делом заменил в настройках "поместить в карантин" и "исправить угрозу" на "уведомлять об угрозе". Привык сам решать, опасный файл или нет.
А как же в этом случае добавлять ложно детектируемые файлы в исключения? По одному через интерфейс главного окна сабжа? Но это же жутко долго и неудобно...



Цитата:

Это если не переопределять действия, например для "программы-шутки".

Программа-шутка - это, например, вирус, автоматически запускающий Format C:\

oshizelly
Если не использовать для вирусов/угроз первым действием карантин. То никакого карантина не будет, соответственно и восстанавливать неоткуда. Если ничего не путаю, то самостоятельно принять решение что делать с файлом, я могу если срабатывает система Download Insight, причем с заданным действием <Запросить>. Шутка-шутке рознь (zemletriasenie.exe).

mig73

Цитата:

Если не использовать для вирусов/угроз первым действием карантин. То никакого карантина не будет, соответственно и восстанавливать неоткуда.

Кажется, мы говорим про немного разные вещи. Я спршивал не о том, как восстановить файл из карантина (ясно, что раз я отключил автоматическое перемещение файла в карантин, то и доставать его оттуда не надо).
Мой вопрос был о том, как быстро добавить найденный сабжем "опасный" файл в список исключений, если я сам его опасным не считаю и хочу, чтобы в дальнешем меня про этот файл больше не спрашивали. Это действие юзера, по-моему, напрашивается.

Логично предположить, что как раз для этого и предназначена команда [Exclude] в окне предупреждения "Endpoint Protection Detection Results" при нажатии на кнопку "Other Actions" в нижней части окна. Но почему она задисайблена (отображается серым цветом и нажать её невозможно) - см скриншот в моём предыдущем сообщении.


Цитата:

Если ничего не путаю, то самостоятельно принять решение что делать с файлом, я могу если срабатывает система Download Insight, причем с заданным действием <Запросить>

Да, действительно так и есть, причём действие "Запросить" предлагается именно по умолчанию. Но это только для свежезагруженных файлов, а мне бы надо такое же поведение вообще для всех файлов на диске.

oshizelly
Все понял - у вас на скрине диалог результата сканирования принудительного или по расписанию (сорри, недосмотрел поначалу). Только что проверил этот режим на вирусной базе, у меня файлы исключаются, правда не пользуюсь таким сканированием и не настраивал даже (исп. по-умолчанию). Результат на автомате "только при выполнении файлов" полностью устраивает.

И еще обратите внимание на такую вещь: SEP12 не умеет исключать архивы/файлы в 7z и RAR v.5

mig73

Цитата:

у вас на скрине диалог результата сканирования принудительного или по расписанию (сорри, недосмотрел поначалу).

Не совсем так. У меня в настройках сабжа включена опция [Enable File System Auto-Protect], поэтому проверка на угрозы производится, в том числе, при копировании и перемещении файлов.
Окно, показанное в моём предыдущем посте, - это как раз и есть уведомление сабжа, что среди только копируемых на диск файлов есть "опасные" (как ему показалось). Но я их опасными не считаю, поэтому хочу сразу добавить в исключения.

А разве у Вас файлы при копировании не проверяются, а не только при запуске на исполнение? А на диске, значит, пускай живёт всякая нечисть и ждёт своего часа? Неуютно как-то...

Добавлено:
Накрутил я чего-то непонятного с настройками фаерволла, теперь сабж блокирует доступ файла ядра системы svchost.exe к серверу Microsoft

Чтобы не искать, где именно ошибся, решил сбросить все настройки на дефолтные, чтобы начать ещё раз с чистого листа. А оказыватся, что такой опции и не предумсотрено Нет ли какого-то обходного пути, чтобы восстановить исходные настройки, не переустанавливая сабж?

Спасибо!

Цитата:

это как раз и есть уведомление сабжа

Ну да да у вас в уведомлениях включена опция "показывать окно результатов авто зашиты"


Цитата:

А разве у Вас файлы при копировании не проверяются

Еще как проверяются.
Имелась ввиду опция <Автоматическая защита> - <Дополнительно> - "Сканировать при обращении и изменении", т.е. стоит только открыть каталог с заразой.. Ну а в сети только конкретно при выполнении.

Хотелось бы еще добавить по поводу исключений в окне результатов (тоже интересно). Сабж отказывается исключать (по его мнению) явные вирусы, например Backdoor.Trojan, но зато нормально исключает "по показа рекламы" или "программа-шутка". Безобразие обхожу так: Выключаю автосканирование - восстанавливаю из карантина - делаю исключение - включаю автосканирование. Но и то это большая редкость.


Цитата:

Нет ли какого-то обходного пути, чтобы восстановить исходные настройки

оопс! а нету сброса на дефолт в корпоративном клиенте, да и переустановка без удаления не поможет.
Для восстановления без удаления можно посоветовать виртуальную машину. А лучше в фаерволе родные правила не изменять, а отключать если нужно, ну или сначала сделать экспорт правил в файлы *.sar

Цитата:

имеем сабж 12.1.3001.165 неуправляемый дом комп
при попытке ставить на хр (автообновляемый) вроде хорошо все
но ошибка идет чтото с базами не может он их установить чтоли
liveupdate делаю вроде он их все там забирает
но пишет в конце что доступно 2 установлено 0
ребутаю
такие дела

поставил 12.1.4013.4013 ENG и все ок

Добавлено:
народ а как поменять каталог чтобы не по умолчанию было...
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection

а то занимает НЕМЕРЕННО!!

Перенос папки «Documents and Settings» (Windows XP) http://www.q2w3.ru/2010/02/21/1381/#p2

Добавлено:
maispovis video есть на 1 час http://forum.ru-board.com/topic.cgi?forum=5&topic=24492&start=2640#19
Возможно там говорят о этом?

Обнаружил, что после инсталляции Symantec Endpoint Protection Client на систему под Windows 7 Professional невозможно запустить штатное восстановление системы из резервной копии (Restore System from restore point). неизменно выдаёт сообщение об ошибке: "There was ab unexpected error: The parameter is incorrect. (0x80070057). System Restore will now close". (Произошёл неожиданный сбой: Параметр не является корректным (0x80070057). Восстановление Системы будет закрыто").

Машинка свежая, почти ничего другого кроме сабжа поставить пока не успел. И ведь несколько дней назад восстановление ещё работало. В Гугле тоже пишут, что наиболее вероятная причина такой ошибки - антивирусное ПО.

Собственно, два вопроса:

1) Как окончательно устранить сомнения, что причина именно в сабже? Только снести его полностью или есть более щадящие методы тестирования? Например, временно остановить вручную все службы Symantec?
Пробовал приостановить функционирование штатным способом командой к иконке в трее (Disable Symantec Endpoint Protection) , не помогло

2) Если дело действительно в сабже, то как побороть проблему? Отказываться от штатной функции восстановления системы как-то не хочется...

Спасибо!

oshizelly

Цитата:

невозможно запустить штатное восстановление системы из резервной копии

Нет именно конкретно один SEP здесь непричем и отказываться от контрольных точек ненадо. Надо искать проблему в вашей системе.


Цитата:

ничего другого кроме сабжа поставить пока не успел

А после чего хотите восстанавливать тогда? Существуют другие старые точки восстановления? Удалите их штатно, раз компьютер свежий.
Попробуйте принудительно создать новую точку восстановления. Перезагрузить ПК и выполнить процедуру восстановления из только что созданной точки.

А вот здесь говорится о вашей ошибке http://support.microsoft.com/kb/982736