» Корпоративные продукты McAfee / Networks Associates (NAI)

SergeyCVS
Факт в том что антивирусу абсолютно всё равно что там стоит в Unwanted Programs: Clean file , Move file to folder, или DENY - он удаляэт кряки полюбе. Я уже всё перепробовал. Ужасная тупость програмы.

baribal
volk79
да, я то пару раз сталкивался с тем что кряки сразу грохолись. решил проблему тем что заносил название обноруженного spyware в список исключений

Мне кажется что за кряки и трояны отвечает Spyware модуль, и настройки Virus Scan Console на него не действуют. Я уже пробовал отключать обнаружение UNWANTED programs, по совету baribal - не помогает. Креки стабильно удаляются. Кажется очень странным что разработчики допустили такую недоделку. Эта програма ставит под угрозу безопасность данных на дисках.

Цитата:

Эта програма ставит под угрозу безопасность данных на дисках.

Наличие кряков и троянов на пользовательских компах - вот что ставит под угрозу безопасность данных на всем предприятии. Имхо всю подобную дрянь надо убивать без каких-либо предупреждений, а если хочется побаловаться со всякими хакерскими тулзами - заведи себе отдельную машину, изолированную от остальных.

Имею следующую конфигурацию:
Сеть на AD, 1 домен, 3 домен контролера, 150 компов с windows XP SP2, 2000 SP4. На Windows 2003 Server SP1 (не контролер домена) изначально был установлен ePo 3.5 (версию патча не помню, но дата изменения EPO350LML.Zip 29.08.2005). На клиентов внедрил VSE8.0 patch 10 (потом обновлен до patch 11)

Где-то в ноябре Repository Pull с nai.com периодически начал проваливаться с ошибкой. В Task Logs следующее:


Цитата:

NAIHttp Completed
09.03.2006 23:08:33: Failed to check in package VSCANDAT1000\4714\DAT\0000
09.03.2006 23:08:33: Failed to connect, error 0
09.03.2006 23:08:32: Checking in package VSCANDAT1000\4714\DAT\0000
09.03.2006 23:00:09: Downoading package VSCANDAT1000\4714\DAT\0000

Вот, что в это время пишется в EpoApSvr.log (это уже конечный этап обновления, когда файл дельты закачался и начинает заливаться в базу видимо)

Цитата:

20060309230832 I #1616 SIM_InetMgr Starting upload session for site ePO_IT-23
20060309230832 I #1616 naInet HTTP Session initialized
20060309230832 I #1616 naInet Connecting to HTTP Server using Microsoft WinInet
20060309230832 I #1616 naInet Trying to connect to Real Server 10.10.1.23 using INTERNET_OPEN_TYPE_PRECONFIG
20060309230832 I #1616 naInet Connected to Server: 10.10.1.23 on Port: 82 using WinInet
20060309230832 I #1616 McUpload Start http session login...
20060309230833 E #1616 McUpload Failed to send http request
20060309230833 I #1616 McUpload End http session login, status=2
20060309230833 E #1616 McUpload BeginUploadSession failed, err=2
20060309230833 I #1616 McUpload Start http session login...
20060309230833 E #1616 McUpload Failed to send http request
20060309230833 I #1616 McUpload End http session login, status=2
20060309230833 E #1616 McUpload BeginUploadSession failed, err=2
20060309230833 I #1616 McUpload Start http session login...
20060309230833 E #1616 McUpload Failed to send http request
20060309230833 I #1616 McUpload End http session login, status=2
20060309230833 E #1616 McUpload BeginUploadSession failed, err=2
20060309230833 I #1616 naInet HTTP Session closed
20060309230833 I #1616 naInet ------------------------------------------------------------
20060309230833 E #1616 SIM_InetMgr Start session for site upload failed
20060309230833 I #1616 SiteMgr SetSiteStatus: Setting catalog version to 20060306192311
20060309230833 I #1616 SiteMgr CheckInThreadProc: Check in thread ended
20060309230833 e #1616 SiteMgr CheckInMirrorPackage: Failed to check in package VSCANDAT1000\4714\DAT\\0000, hr=-606
20060309230833 I #1616 McUpload Start http session login...
20060309230834 E #1616 McUpload Failed to send http request
20060309230834 I #1616 McUpload End http session login, status=2
20060309230834 I #1616 naInet HTTP Session closed
20060309230834 I #1616 naInet ------------------------------------------------------------
20060309230834 I #1616 SIM_InetMgr Session 1 ended, result=1
20060309230834 I #1616 SiteMgr MirrorThreadProc: Mirror thread ended
20060309230834 x #5500 SiteMgr SiteMgr main control final release...

Подумал, что обновления исправят ситуацию - обновил до версии 3.6, когда она вышла. Параллельно W2k3 был обновлен до R2. Но ситуация после этого еще хуже стала - если раньше сбои были дня 4 подряд и на 5ый репозиторий обновлялся, то в какой-то момент вообще перестал обновляться. Потом я прибил свой профиль, создал заново и обновления вдруг снова заработали. Поработали пару недель - и перестали работать на версии DAT 4.0.4690

Файрвол виндовый отключен, другого нет.

В базе знаний НАИ есть статья с такими же ошибками, но при обновлении не с центрального сервера (а по UNC путям). Есть предположение что 82ой порт, на который не может достучаться WinInet занят другим сервисом. TCPView про этот порт показывает следующее:

Цитата:

[System Process]:0 TCP it-23.selt:82 it-12.selt:1490 TIME_WAIT

и еще 10-20 соединений с других компьютеров. Я так понимаю - это агенты общаются с сервером ePo.

А так же на нем висит Апач ePo, который видимо обеспечивает админку веб-интерфейсом.

Цитата:

Apache.exe:2132 TCP it-23:82 it-23:0 LISTENING

В настройках изменять Agent To Server Communication port (82) не дают - он выделен серым.

В чем может заключаться проблема?


Цитата:

Эта програма ставит под угрозу безопасность данных на дисках.

Программа не расчитана под Российскую действительность Здесь писали, что продукты McAfee популярны очень в больших и богатых корпорациях (80 корпораций из ТОП100 мира), в них кряки не считаются полезными данными

sertas
а ты не пробовал настроить свою таску, которая делает Repository Pull, на работу с NAIFtp?

Пробовал, получается тоже самое. В этом случае лог чуть-чуть другой:

Цитата:

20060314204237 I #10056 SIM_InetMgr Starting upload session for site ePO_IT-23
20060314204237 I #10056 naInet HTTP Session initialized
20060314204237 I #10056 naInet Connecting to HTTP Server using Microsoft WinInet
20060314204237 I #10056 naInet Trying to connect to Real Server 10.10.1.23 using INTERNET_OPEN_TYPE_PRECONFIG
20060314204237 I #10056 naInet Connected to Server: 10.10.1.23 on Port: 82 using WinInet
20060314204237 I #10056 McUpload Start http session login...
20060314204237 E #10056 McUpload Failed to send http request
20060314204238 I #10056 McUpload End http session login, status=2
20060314204238 E #10056 McUpload BeginUploadSession failed, err=2
20060314204238 I #10056 McUpload Start http session login...
20060314204259 E #10056 McUpload Failed to send http request
20060314204259 I #10056 McUpload End http session login, status=2
20060314204259 E #10056 McUpload BeginUploadSession failed, err=2
20060314204259 I #10056 McUpload Start http session login...
20060314204320 E #10056 McUpload Failed to send http request
20060314204320 I #10056 McUpload End http session login, status=2
20060314204320 E #10056 McUpload BeginUploadSession failed, err=2
20060314204320 I #10056 naInet HTTP Session closed
20060314204320 I #10056 naInet ------------------------------------------------------------
20060314204320 E #10056 SIM_InetMgr Start session for site upload failed
20060314204320 I #10056 SiteMgr SetSiteStatus: Setting catalog version to 20060306192311
20060314204320 I #10056 SiteMgr CheckInThreadProc: Check in thread ended
20060314204320 e #10056 SiteMgr CheckInMirrorPackage: Failed to check in package VSCANDAT1000\4717\DAT\\0000, hr=-606
20060314204320 I #10056 McUpload Start http session login...
20060314204340 E #10056 McUpload Failed to send http request
20060314204340 I #10056 McUpload End http session login, status=2
20060314204340 I #10056 naInet HTTP Session closed
20060314204340 I #10056 naInet ------------------------------------------------------------
20060314204340 I #10056 naInet FTP Session 1 closed
20060314204340 I #10056 naInet ------------------------------------------------------------
20060314204340 I #10056 SIM_InetMgr Session 1 ended, result=1
20060314204340 I #10056 SiteMgr MirrorThreadProc: Mirror thread ended
20060314204340 x #5472 SiteMgr SiteMgr main control final release...

sertas
у тя какие обновления стоят для еПО сервака? точную версию еПО сервака можеш сказать?

SergeyCVS
Server Version 3.6.0.575, Enterprise Edition, Licensed. Вначале был 3.5 забыл с каким патчем, потом 1 или 2 патча на него накатывались, потом ставилась поверх версия 3.6, на нее вначале 1ый, а недавно и 2ой патч.

Добавлено:
И еще забыл написать, а это возможно важно.

1. На том же Windows Server 2003 R2 работает Citrix Presentation Server 4 (раньше стоял Citrix Metaframe 3). Одновременно на сервере висит не больше 10 сессий терминальных пользователей.
2. Иногда при выключении машины с ePo Windows сообщала о зависшем приложении UpdaterUI (кажется, это было до какого-то из обновлений). А вообще не часто перезагружается машина - так как терминальный сервер.

sertas
глянув на твои логи у меня появилось нектрое предположение, какая версия ntlm авторизации используется (глянь Administrative Tools/Local Security Policy/Local Policies/Security Options/Network Security: LAN Manager authentication level)? Должно быть Send LM & NTLM responses, это значение должно быть выставленого у твоего еПО-сервака, SQL-сервака где лежит база еПО и домен контроллера. Или нужно чтобы использовалась SQL Authentication, глянуть можно через cfgnaims.exe. Больше пока идей нет.

ЗЫ у тя в EpoApSvr.log всегда были одни и те же ошибки?

SergeyCVS
И про это забыл рассказать - столько уже всего перепробовал, что забыл.

После обновления до 3.6 SP2 еще раз обратил внимание на указание в ридмиках ограничения по аутентификации. Через консольку сконфигурил msde (он стоит на тойже машине где и epo сервер) и сменил тип аутентификации на SQL Authentication через пользователя sa. Насколько я понимаю, в этом случае не надо на домен контролерах изменять LAN Manager authentication level?

cfgnaims.exe перенастроил на SQL Authentication. Он новые настройки одобрил и ошибку не выдал. Т.е. теперь у меня используется именно этот тип аутентификации. Ошибки от его смены остались теже самые.

Цитата:

ЗЫ у тя в EpoApSvr.log всегда были одни и те же ошибки?

Когда я начал смотреть в логи - самые старые данные уже затерлись. Но все ошибки, которые я увидел, были такими же как и в тех логах.

Опять поставил на XP SP2
- McAfee 8i Enterprise patch10
- patch 11
- patch 11a
-Antispyware Module

Возникли следующие вопросы:

1. Почему установка Antispyware Module Enterprise - не увеличила тормоза компьютера антивирусом?

3. Патч 11 исправляет много серьезных ошибок. Следует ли отсюда что VSE8 недостаточно добротен, или у конкурентов также проблем хватает?

3. Правильно ли я понимаю, что все письма c прикрепленными зараженными файлами принятые через Outlook Express 6 будут собираться в почтовой базе и единственное что сделает антвирус при попытке запустить зараженное вложение - заблокирует доступ к нему(но не удалит его и не попытается вылечить) и пользователь должен будет удалить письмо с зараженным вложением - сам?

4. Есть ли основания считать, что VSE8 пропускает опасные вирусы чаще чем SAV10 ?

Спасибо.

Макэфи уже 3-й день не обновляется?

baribal
последний ДАТ 4725, от 23.03.06. так что обнавляется

SergeyCVS
У них такое бывает, что 2 дня без апдейта? А то как-то не привычно, многие антивирусники каждый час обновляются.

ЗЫ А как можно посмотреть кол-во вирусов в базе?

Да, по субботам и воскресеньям не обновляется.
А надо ли, это количество? Эвристика находит и то чего в базе нет... и как?

baribal
обнавления выходят каждый рабочий день

Имеется такая трабла:
Апдейт через AUArhitect в домене... с тачками где стоит VSE8.0i OK, а вот где 4,5,1 SP1 под админом все ОК, а под юзером не катит... Ставить в свойствах задачи имя/пасс админа пробовал... Не помогает... Подскажите что плз...

Liberty_2000
На тачках какая ось? Как вариант проверь права юзеров на папки с самим антивирусом и папки с базами. Типа на C:\Program Files\Common Files\Network Associates и C:\Program Files\Network Associates...

Такой вопрос. Даже 2. Установлен ePO 3.6 patch 1 + VSE8.0+patch 11+MASE + Security Shield for ISA+SSH patch 3.
1. первоначально, из-за ошибки в днс, при установке агент привязался к внешнему айпишнику. потом ошибку в днс я устранил, но агент так и остался привязанным к внешнему интерфейсу. теперь в списке Rogue Systems этот комп указывается как имеющий "Alien agent". переустановка и пляски с бубном не помогли. как снести агента и привязать его при установке к нужному интерфейсу? или может быть есть возможность это без переустановки исправить?

2. Security Shield for ISA бьёт файлы, причём как-то хитро бьёт. только *.ехе и только больше определённого размера (~3Mb), например обновление с сайта McAfee при включенном щите скачать невозможно, он закачивает где-то %98-99 и на этом останавливается. что делал: пробовал указывать оч. большой и оч. маленький тайм аут сканирования - не помогает, указывать в правилах фильтрации что бы он пропускал файлы которые не может просканировать - не помогает, мучал туда-сюда "Keep alive" - не помогает.
хелп!

Yurk
NT 4.0 там где получше компы, там 8.0i стоит... Все без проблем обновляется...
А вот на НТишке траблы... А их 12 шт. И проблема стоити достаточно остро...
Спасибо за подсказку... Буду пробовать....

Y Sobolev
14:08 20-12-2005

Цитата:

20051220150221 i #868 Manage Enforcing Policies for EPOAGENT3000META
20051220150222 I #868 Manage CManage::EnforcePolicies() - FAILED - "EPOAGENT3000META" Error(-1207)
20051220150222 i #868 Manage Enforcing Policies for EPOAGENT3000
20051220150222 I #868 Manage CManage::EnforcePolicies() - FAILED - "EPOAGENT3000" Error(-1000)
20051220150222 i #868 Manage Enforcing Policies for ePolicy Orchestrator Agent

Можно полюбопытствовать чем вылечилось?

Помогите плз. Первый раз пользую ePo. Пока навиртуальной машине. Вопрос по LanManager. Если использовать SQL Authentication нужно выставлять LM & NTLM responses или необязательно?(не могу залогиниться хотя логин/пароль те, что при установке вводил) ePo 3.6 patch2. Стоит на AD.

Добавлено:
SQL отдельная копия

ogamy

Цитата:

нужно выставлять LM & NTLM responses

- в ридми написано что нужно, но у меня работает и без этого. Если используется SQL Authentication, то это вообще неважно.

Помоги понять работу правил в Spamkiller (Exchange ser. 2003)

Создал в “Rule Groups” группу “MyGroup”. В группе создал “Body – High” где прописал ключевые слова, которые считать спамом. Все работает – при совпадении слов из моего правила они не проходят, а удаляются ( я указал «Удалять» ). Но как заставить не удалять, а пересылать их в служебный почтовый ящик?

Если посмотреть свойство у «Anti-spam», то там присутствует данная возможность (и все работает - шлет на служебный почтовый ящик, но только для правил которые были созданы по умолчанию). Если мою политику не привязывать к «Global», то правило не срабатывает ( я думал, что правила групп которые были по умолчанию не привязаны ( по крайней мере они не отображаются в Policies > Global ), то может и мое правило будет обрабатываться на равнее с ними, но увы - в таком случае мое правило не обрабатывается.

Как заставить не удалять письма, а пересылать их на указанные почтовый ящик ?

И еще, я не могу в «Policies» создать свою политику – это нормально ?

Спасибо.

Yurk
К сожалению не помогло... Поставил Full Access ко всему диску С для юзеров... Не идет обнова... Под админом идет...
МОж есть какие нить другие гипотезы? Буду благодарен

Совсем запутался..... Брррр
Извините если ОФФ, но никак разобраться не могу:
Сеть: 3 сервака
1) КД(W2K3)+ISA2004+Exchange2003+SQL2005
2) Резервный КД(W2K3)+SQL2005
3) W2K3+web(apache)
Клиентов 70 машин:
XP Pro.
Установлено ПО:
Полный офисный пакет
1С
+всякое для инета (качалки, аськи и т.д.)

ПОчитал про продукты McAfee, очень понравились, но т.к. на сегодня серваки все работают и эксперементировать на них не вариант, можно услышать, какие именно продукты мне нужны для: Централизованного управления и сканирования почты, шлюза, клиентов....

Если я правильно понял:
ePO 3.6
McAfee VirusScan Enterprise v8.0i
McAfee GroupShield for Microsoft Exchange
McAfee SecurityShield for Microsoft® ISA Server
alert manager 4.7.1
Или тут что то лишнее или не хватает, поправьте плиз....
Добавлено:
Или может McAfee Secure Content Management (SCM)

AlexRNeos
ePO 3.6
McAfee VirusScan Enterprise v8.0i
McAfee GroupShield for Microsoft Exchange
McAfee SecurityShield for Microsoft® ISA Server
alert manager 4.7.1 - устарел, его заменяет ePolicy Orchestrator Notifications
+
McAfee Anti-Spyware Enterprise Module, добавка к VSE8, имхо, будет полезна


Добавлено:


Цитата:

Или может McAfee Secure Content Management (SCM)

если есть возможность то попробуй, для проверки http/ftp трафа вместо McAfee SecurityShield for ISA Server

Возникла такая проблема:
На ПК поставили агента и VS 8.0i. VS обновляется, политики с ePO берутся. Но этот ПК не видет в консоли ePO. После установки агента он там вообще не появлялся.

На сервере ePO Windows2000 английская. Кроме консоли ePO ничего больше нет. Домена нет.

Можно как-то ПК "запихать" в консоль ePO?

dezar
ты в Lost&Found смотрел?

Добавлено:

а ты поиск вааще делал по своему Directory? (правый клик на Directory и Search...)