Всем спасибо, разобрался
» Symantec Endpoint Protection - SEP
Добрый день ! На сайтах российских антивирусных компаний в топах техподдержки находятся проблема заражения вирусами шифрующими файлы пользователей. По российским антивирусам куча информации по предварительной настройке предотвращающей модификацию файлов пользователи *.doc *XLS *.jpg и так далее программами шифраторами. Большое количестов обращений пользоватей с запросом на лечении и расшифровку.. есть утилиты для расшифровки..
Столкнулся с проблемой что KES (касперский) в настройке по умолчанию не отловил программу шифратор и вирус защифровал все доступные пользователю на компьютере файлы - рассматриваю смену антивируса на SEP///
Кто использут SEP 12 и сталкивался с вирусами шифраторами отзовитесь !
1. Вирусы Шифраторы блокируются SEP настройками по умолчанию ? (Может поэтому нет информации в поисковых системах о проблемах с шифрованием файлов вирусами там где установлен SEP)
2. Были ли у вас инцинденты с шифрованием файлов вирусами?
3. Если вирус шифратор в базе SEP отсутствует и программа вируса начнет одним за другим шифровать файлы на компьютере .. отловит ли это SEP?
Столкнулся с проблемой что KES (касперский) в настройке по умолчанию не отловил программу шифратор и вирус защифровал все доступные пользователю на компьютере файлы - рассматриваю смену антивируса на SEP///
Кто использут SEP 12 и сталкивался с вирусами шифраторами отзовитесь !
1. Вирусы Шифраторы блокируются SEP настройками по умолчанию ? (Может поэтому нет информации в поисковых системах о проблемах с шифрованием файлов вирусами там где установлен SEP)
2. Были ли у вас инцинденты с шифрованием файлов вирусами?
3. Если вирус шифратор в базе SEP отсутствует и программа вируса начнет одним за другим шифровать файлы на компьютере .. отловит ли это SEP?
Manevrik
Цитата:
Программа шифратор не считается вирусом и антивирусными программами не ловится. Прграмму запускает сам юзер. Защита только одна - работать под обычным пользователем, без прав установки программ. Под бесправным юзером шифратор не срабатывает.
Цитата:
Кто использут SEP 12 и сталкивался с вирусами шифраторами отзовитесь !
Программа шифратор не считается вирусом и антивирусными программами не ловится. Прграмму запускает сам юзер. Защита только одна - работать под обычным пользователем, без прав установки программ. Под бесправным юзером шифратор не срабатывает.
SergeyMark 07:29 13-08-2014
Цитата:
Цитата:
Программа шифратор не считается вирусом и антивирусными программами не ловится.Если она известна производителю антивируса - то она отлавливается.
Добрый день.
Знатоки SEPM скажите возможно ли создать следующую конфигурацию на 11ой версии?
Один сайт управляется двумя серверами управления под базой MSSQL.
В документации к 11 описана только репликация и доп. консоли.
-----------
все. неактуально. косяк был в переносе на другой сервер вкупе с локальной БД под SQL.
Знатоки SEPM скажите возможно ли создать следующую конфигурацию на 11ой версии?
Один сайт управляется двумя серверами управления под базой MSSQL.
В документации к 11 описана только репликация и доп. консоли.
-----------
все. неактуально. косяк был в переносе на другой сервер вкупе с локальной БД под SQL.
В локальной сети порядка 100 машин. Домен Windows. Серверная часть Symantec Endpoint Protection (21.08.2014 r8) установлена на доменной рабочей станции. На всех доменных компьютерах , за исключением доменного сервера, установлены агенты SEP. Доменный сервер (Windows 2008 R2) также является файловым сервером. Ресурсов (процессорных, сетевых, памяти) для ролей доменного и файлового серверов более, чем достаточно - с многократным запасом. "Тяжёлых" сетевых операций (видео, фото, интенсивное сетевое копирование больших файлов) практически нет - в основном файловый сервер содержит MSWord/Excel-документы. При входе каждого компьютера в домен выполняется довольно значительно количество скриптов - без установленного на сервере агента SEP скрипты на рабочих станциях выполняются от 20 секунд до пары минут, в зависимости от мощности станции.
Однако, при установке агента SEP на доменный сервер банальное перемещение в проводнике рабочих станций по каталогам сервера начинает происходить с заметной задержкой.
В исключения помещены следующие каталоги:
c:\Windows\SYSVOL\sysvol\<домен>\scripts
c:\Windows\SYSVOL\domain\scripts
Каталог на сервере, являющийся общим для всех ресурсом в исключения, по понятным причинам, помещать не хотелось бы.
Как можно улучшить ситуацию?
Где в логах можно найти причину замедления - файлы подлежащие интенсивной проверке?
Однако, при установке агента SEP на доменный сервер банальное перемещение в проводнике рабочих станций по каталогам сервера начинает происходить с заметной задержкой.
В исключения помещены следующие каталоги:
c:\Windows\SYSVOL\sysvol\<домен>\scripts
c:\Windows\SYSVOL\domain\scripts
Каталог на сервере, являющийся общим для всех ресурсом в исключения, по понятным причинам, помещать не хотелось бы.
Как можно улучшить ситуацию?
Где в логах можно найти причину замедления - файлы подлежащие интенсивной проверке?
Рассматриваю возможность на офиссную файлопомойку под управлением Windows 7x64 Pro установить SEP и SEPM. Таким образом, и защитить систему от случайного заражения, и управлять клиентами. Машина вполне шустренькая. Сеть без домена.
Есть ли у кого-нибудь подобный опыт, поделитесь, какие возможны проблемы?
Есть ли у кого-нибудь подобный опыт, поделитесь, какие возможны проблемы?
Периодически в журнале обнаруженных рисков проскакивают угрозы, у которых вместо пути написано ****ИТОГОВЫЕ ДАННЫЕ****. Искал по сайту симантека, ничего не нашел. Может кто в курсе этой тайны?
SealXTX
Цитата:
Нет домена, и в тоже время установить SEPM и управлять клиентами. Чего-то я не врубаюсь.
Цитата:
Сеть без домена.
Нет домена, и в тоже время установить SEPM и управлять клиентами. Чего-то я не врубаюсь.
Contru
Цитата:
Разве, есть сложности?
Вроде, SEPM вполне позволяет управлять SEP-клиентами в составе рабочей группы. Даже, более того. Технически, установить уаправляемый клиент и менеджер на одну рабочую станцию можно без особых проблем.
Но, вот стоит ли совмещать подобный вариант на файловом сервере на небольшом предприятии? У меня есть сомнения, что не получу неожиданные проблемы. Поэтому, интересует, у кого есть подобная практика, и насколько она успешна?
Цитата:
Нет домена, и в тоже время установить SEPM и управлять клиентами. Чего-то я не врубаюсь.
Разве, есть сложности?
Вроде, SEPM вполне позволяет управлять SEP-клиентами в составе рабочей группы. Даже, более того. Технически, установить уаправляемый клиент и менеджер на одну рабочую станцию можно без особых проблем.
Но, вот стоит ли совмещать подобный вариант на файловом сервере на небольшом предприятии? У меня есть сомнения, что не получу неожиданные проблемы. Поэтому, интересует, у кого есть подобная практика, и насколько она успешна?
SealXTX
Цитата:
Есть опыт в УПК, где в классе 15 машин на XP и 1 файловый сервер на win3k. Установил SEPM, подключил клиентов настроил 1 раз политику и авто обновление и забыл. Управляемые клиенты обновляются и проверяются молча, не задавая никаких вопросов юзерам. Все управление с консоли SEPM. Вирусов нет, проблем уже 4 года тоже нет. Так с этого сервера народ еще через терминал с ПО работает. Были маленькие заморочки при переходе с SEP 11 на 12-ый, ну так этого можно было и не делать. Ну еще у людей с флэшек "полезные" кряки постирал, а отключать им негде и запрещено было
P.S Да и никаких доменов не было, обычная workgroup.
Цитата:
стоит ли совмещать подобный вариант на файловом сервере на небольшом предприятии? У меня есть сомнения, что не получу неожиданные проблемы.
Есть опыт в УПК, где в классе 15 машин на XP и 1 файловый сервер на win3k. Установил SEPM, подключил клиентов настроил 1 раз политику и авто обновление и забыл. Управляемые клиенты обновляются и проверяются молча, не задавая никаких вопросов юзерам. Все управление с консоли SEPM. Вирусов нет, проблем уже 4 года тоже нет. Так с этого сервера народ еще через терминал с ПО работает. Были маленькие заморочки при переходе с SEP 11 на 12-ый, ну так этого можно было и не делать. Ну еще у людей с флэшек "полезные" кряки постирал, а отключать им негде и запрещено было
P.S Да и никаких доменов не было, обычная workgroup.
mig73
Понял, спасибо. А, на самом сервере к-л антивирусная защита при этом стояла?
Понял, спасибо. А, на самом сервере к-л антивирусная защита при этом стояла?
mig73
Цитата:
Спасибо, буду иметь ввиду.
Цитата:
P.S Да и никаких доменов не было, обычная workgroup.
Спасибо, буду иметь ввиду.
SealXTX
Цитата:
Да конечно, тот-же SEP Client, как и на других машинах. Ну только естественно на серваке у меня прав больше, отключать защиту могу, файлы в исключение вносить и т.д.
P.S. Вообще прога достойная. У меня и дома неуправляемый клиент с брандмауэром уже много лет стоит. Ивсяких дохтуров и кисов даром не нать.
Цитата:
А, на самом сервере к-л антивирусная защита при этом стояла?
Да конечно, тот-же SEP Client, как и на других машинах. Ну только естественно на серваке у меня прав больше, отключать защиту могу, файлы в исключение вносить и т.д.
P.S. Вообще прога достойная. У меня и дома неуправляемый клиент с брандмауэром уже много лет стоит. Ивсяких дохтуров и кисов даром не нать.
Отмечусь для истории:
Изначальные проблемы:
Справился ли кто с проблемой обновления с клиента версии 12.1.4013.4013 на всё что выше?
Чуть раньше тут тоже отмечались такие люди на мой вопрос, может продвинулись в решении?
Под win2003 eng, клиент eng.
Чистка реестра в том числе утилитами от симантека не помогли.
Почти в конце установки происходит откат обратно.
Нашёл на форуме симантека такогоже товарища но с winxp машинами, в итоге после всех выкладываний почти идентичных моим логам - он плюнул и остался просто на 4013 версии.
Помог пост:
http://forum.ru-board.com/topic.cgi?forum=5&topic=24492&start=2820#7
А именно скачал это вот:
_http://www.microsoft.com/en-us/download/details.aspx?id=39802
Установилось без слов на 2003 r2 en.
Накатил и затем втянув пакадж новый 4112.4156 - обновился сразуже.
Изначальные проблемы:
Справился ли кто с проблемой обновления с клиента версии 12.1.4013.4013 на всё что выше?
Чуть раньше тут тоже отмечались такие люди на мой вопрос, может продвинулись в решении?
Под win2003 eng, клиент eng.
Чистка реестра в том числе утилитами от симантека не помогли.
Почти в конце установки происходит откат обратно.
Нашёл на форуме симантека такогоже товарища но с winxp машинами, в итоге после всех выкладываний почти идентичных моим логам - он плюнул и остался просто на 4013 версии.
Помог пост:
http://forum.ru-board.com/topic.cgi?forum=5&topic=24492&start=2820#7
А именно скачал это вот:
_http://www.microsoft.com/en-us/download/details.aspx?id=39802
Установилось без слов на 2003 r2 en.
Накатил и затем втянув пакадж новый 4112.4156 - обновился сразуже.
Здравствуйте стоит семантек 12.1.3001.165, корпоративный, я бы хотел спросить, во вкладке "изменить параметры" есть 2 пункта "Защита от сетевых угроз", и "управление клиентами", по работе иногда приходиться выключать эти 2 защиты чтобы смогла та или иная программа одноразово проходить через антивирус, либо произвести установку программы, хотелось бы спросить можно ли поставить эти 2 галочки чтобы после отключения чтобы они сами включались, или удаленно как то их включать не подходя к тому компьютеру.
Namsik
Цитата:
Смотри скриншот:
http://rghost.ru/58145583.view
Нужные тебе настройки обведены красной рамкой.
Цитата:
чтобы после отключения чтобы они сами включались,
Смотри скриншот:
http://rghost.ru/58145583.view
Нужные тебе настройки обведены красной рамкой.
Добрый день. ПОдскажите пож.
Win 7. x64.
..Из-за сложностей с установкой драйвера для Wifi пришлось удалить Symantec Endpoint protection. Однако в "Удаление и изменение программы" строка осталась. АНтивирус был установлен в "C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\".
..При попытке "установить" Symantec Endpoint protection Small Business Edition - висит окно с текстом "Завершение работы службы отправки".
..При попытке "доудалисть" программу из "Удаление или изменение программы" - аналогично висит окно с текстом "Завершение работы службы отправки".
..Подскажите пож. Как корректно доудалить программу, далее корректно поставить ? сбросьте пож. ссылку на дистрибутив для Symantec Endpoint protection Small Business Edition х64, а в своем чет сомневаюсь.
Win 7. x64.
..Из-за сложностей с установкой драйвера для Wifi пришлось удалить Symantec Endpoint protection. Однако в "Удаление и изменение программы" строка осталась. АНтивирус был установлен в "C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\".
..При попытке "установить" Symantec Endpoint protection Small Business Edition - висит окно с текстом "Завершение работы службы отправки".
..При попытке "доудалисть" программу из "Удаление или изменение программы" - аналогично висит окно с текстом "Завершение работы службы отправки".
..Подскажите пож. Как корректно доудалить программу, далее корректно поставить ? сбросьте пож. ссылку на дистрибутив для Symantec Endpoint protection Small Business Edition х64, а в своем чет сомневаюсь.
Заблокировал фаерволом одной проге доступ в инет, а она туда рвётся. Теперь в системном трее всё время всплывает сообщение, что, мол, такая-то прога заблокирована. Как это уведомление отключить? Раздражает, да и обзор загораживает. Такой опции в соответствующем правиле фаервола не увидел 
Спасибо!
Спасибо!
VETAL123456789 для корректного удаления используй Cleanwipe (в варезной ветке в шапке есть ссылки, от куда ее качать)
Цитата:
VETAL123456789 для корректного удаления используй Cleanwipe (в варезной ветке в шапке есть ссылки, от куда ее качать)
... Сенкс. Удалось удалисть черзе msconfig. Везде где можно поотключал Symantec. далее удалось удалить стандартно. Подскажите, что такое варезная ветка ?
VETAL123456789
Цитата:
Смотри вверху страницы
Цитата:
Цитата:
Подскажите, что такое варезная ветка ?
Смотри вверху страницы
Цитата:
ПЕРЕЙТИ В ВАРЕЗНУЮ ВЕТКУ
Цитата:
Заблокировал фаерволом одной проге доступ в инет, а она туда рвётся. Теперь в системном трее всё время всплывает сообщение, что, мол, такая-то прога заблокирована. Как это уведомление отключить? Раздражает, да и обзор загораживает. Такой опции в соответствующем правиле фаервола не увидел
Присоединяюсь. В свое время тоже пытался найти способ, отключения назойливых сообщений и тоже не нашел. Может можно через реестр отключить?
del
oshizelly
7658
Цитата:
Снимите галку и сообщений о вторжении не будет. Отдельно такой настройки для каждого приложения не предусмотрено. Твикать антивирус через реестр это плохая затея.
7658
Цитата:
способ, отключения назойливых сообщений
Снимите галку и сообщений о вторжении не будет. Отдельно такой настройки для каждого приложения не предусмотрено. Твикать антивирус через реестр это плохая затея.
Подвел семантик - не дедектировал вирус эбола.
Хотя он начал распространяться ещё с 18 августа 2014 года.
Вот один клиент по глупости ткнул - а семантик просто промолчал пока шифровали все документы и базы!! пипец в общем!!
Хотя он начал распространяться ещё с 18 августа 2014 года.
Вот один клиент по глупости ткнул - а семантик просто промолчал пока шифровали все документы и базы!! пипец в общем!!
Kamerton
Цитата:
Тоже самое. В моей бывшей организации стоял SEP 12.4. Пропустил, зашифровались документы и базы в бухгалтерии.
Цитата:
Вот один клиент по глупости ткнул - а семантик просто промолчал пока шифровали все документы и базы!! пипец в общем!!
Тоже самое. В моей бывшей организации стоял SEP 12.4. Пропустил, зашифровались документы и базы в бухгалтерии.
Люди, подскажите решение.
В частной сети два компа с W8.1 и неуправляемыми клиентами SEP12.1.5
имею гемор с организацией "Домашней группы".
Без SEP - Домашняя группа работает, если установить SEP - не хочет.
Понимаю, что SEP перехватывает на себя функции виндового брэндмауэра и копать нужно в этом направлении.
Но что и как настроить? Может кто сталкивался с такой проблемой?
Может быть поскольку SEP - корпоративный продукт, и поэтому в данном случае его использовать не получится?
В общем сплошные "может"...
В частной сети два компа с W8.1 и неуправляемыми клиентами SEP12.1.5
имею гемор с организацией "Домашней группы".
Без SEP - Домашняя группа работает, если установить SEP - не хочет.
Понимаю, что SEP перехватывает на себя функции виндового брэндмауэра и копать нужно в этом направлении.
Но что и как настроить? Может кто сталкивался с такой проблемой?
Может быть поскольку SEP - корпоративный продукт, и поэтому в данном случае его использовать не получится?
В общем сплошные "может"...
Colonel
А я понял, что вы не желаете делать их управляемыми (и правильно), просто клиенты блокируют создание "домашней группы" Windows. Тогда включите ведение всех журналов в клиентах и в разделе <Защита от сетевых угроз> разрешите только трафик приложения с запросом. Во вкладке "Сеть Microsoft Windows" разрешите отображение и общ доступ к папкам для вашего сетевого адаптера. Очистите все параметры приложений, если есть. Теперь по запросам и журналам при создании группы можно определять что мешает.
А я понял, что вы не желаете делать их управляемыми (и правильно), просто клиенты блокируют создание "домашней группы" Windows. Тогда включите ведение всех журналов в клиентах и в разделе <Защита от сетевых угроз> разрешите только трафик приложения с запросом. Во вкладке "Сеть Microsoft Windows" разрешите отображение и общ доступ к папкам для вашего сетевого адаптера. Очистите все параметры приложений, если есть. Теперь по запросам и журналам при создании группы можно определять что мешает.
стоит SEP 11.0.7
в один прекрасный момент перестали обновляться клиенты. Причем обновления на сервер шли нормально и клиент, стоящий на месте установки сервера симанека обновлялся.
Вылечилось так:
Брандмауэр на сервере:
добавил во входящие и исходящие подключения следующий порты:
137-139, 445, 2967, 8014, 8443, 8444, 8445, 8765, 9090
во входящих не было части портов таких как 8443-8445, 8675, 137-139.
клиенты пошли обновляться только после того, как эти порты прописал в исходящих
в один прекрасный момент перестали обновляться клиенты. Причем обновления на сервер шли нормально и клиент, стоящий на месте установки сервера симанека обновлялся.
Вылечилось так:
Брандмауэр на сервере:
добавил во входящие и исходящие подключения следующий порты:
137-139, 445, 2967, 8014, 8443, 8444, 8445, 8765, 9090
во входящих не было части портов таких как 8443-8445, 8675, 137-139.
клиенты пошли обновляться только после того, как эти порты прописал в исходящих
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104
Предыдущая тема: Аудиофайлы *.mix
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.