» Symantec Antivirus Corporate Edition (часть 2)

AndrewASB
arakcheev@gmail.com

Arakcheev
отправил

alx19, везде ВинХР СП2.
Ты считаешь проблема в версии? Раньше на SAV 10.1.0.394RUS такого не было. Хотя если та дашь 100%, что после смены версии проблема уйдёт. Тогда версию поменяю .

Цитата:

Добавлено:
Да! *.XDB - ЭТО ОБНОВЛЕНИЯ ДЛЯ СЕРВАКА. Клиент обновляется или с родительского сервера, или через Live Update, или через *.EXE.
Во избежание геморроя - нельзя обновлять клиента на самом сервере через *.EXE.

ЭТО ОБНОВЛЕНИЕ УНИРЕСАЛЬНОЕ!
На XP на неуправляемом клиенте эта байда кладется в "D:\DS\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\"
и это клиент прекрасно ее видит!

А вот

Цитата:

Обновление *.XDB однозначно кладется в C:\Program Files\SAV

Не нашел такой папки!
Вопрос открытый!

AlexSystem
У SAV, они в общем все универсальны - просто архивы.
Но xdb позиционируется конкретно под сервер. Зачем его в клиента кидать? MDTM ведь есть.
У тебя нормальный сервер стоит? По умолчанию он создает именно те папки, о которых я писал. И валит в SAV все, начиная от CTL-INST, Groups и заканчивая обновлениями.
Реально, чтобы не заморачиваться на всякое лучше обновляться так, как про то написано.
Может стоить этого клиента проверить, как он из exe обновиться? Может он вообще, того?
Ну, правда, иногда выдрючиться приходится, но оч редко. У меня неуправляемых клиентов, в общем и нет. Разве, что я сам, да пара безопов.

Есть ли у SAV 9 или 10.х все равно в настройках возможность ограничить время
real time сканирования файла (то есть если допустим за 45 сек. сканирование файла
xxx.exe не завершилось - прекращать сканирование) ?

Если нет, то уязвим ли SAV 9.0.5.1100 если на компьютер загрузят 1000 мб файл exe и он начав его проверять - перегрузит компьютер так что он зависнет ?

Цитата:

Зачем его в клиента кидать?

Да совершенно отвязанный клиент!
Работает автономно, как-то защить нужно?
года 3-4 работаю на SAV + XP
Неуправляемые клиенты и сервер+сеть с SAV все нормально.

Связка WIN98+SAV - хрен (сорри) поймешь как обновлять.

XDB - потому что он на сервере 1 раз в неделю обновляется

Копирую его на USD_HDD и пошел по городу гулять, клиентов обновллять, тех у которых интеренета нету.

Нехочу ничего качать персонально для этого клиента.

AlexSystem
А сколько их, неуправляемых клиентов?
Я для таких *.exe в сетке/интранете выкладываю. Обновляться заставляю самих - каждый в своей ответственности расписался лично. Мне какая разница? Синхронизировал у себя папку с симантековским фтп (понятно, что фильтр еще есть) и все. Если нет интранета и сетки - значит будь добр раз в 2 недели залить и запустить у себя какой нибудь 20061211-017-x86.exe на флешку или CD - и вперед. Периодически это дело контролируется или ИТ или безопами, или аудитом. Денег за бестолковость, понятно, никто терять не хочет. Т.е. вопрос с обновлениями таких станций поставлен следующим образом: Не можешь - научим. Не хочешь - заставим.
Так что лучше таким качать и давать обновление в ехешниках.

Добавлено:
Кстати - неуправляемые у меня все W95-98 штук 20.

Цитата:

А сколько их, неуправляемых клиентов?

Да один такой! Без всяких сетей и интернетов.
Есть FDD и USB порт.
Активно всякую дрянь таскают на дискетах.
ДУРОН900\128М\6GB - страшно сюда было городить ХР.

Та ладно вопрос снят! Буду персонально под них качать..... ПЕЧАЛЬНО!

подскажите пж-ста e-mail на который засылать в службу поддержки Symantec вирус для распознования и т.п.?

Цитата:

Та ладно вопрос снят! Буду персонально под них качать..... ПЕЧАЛЬНО!

А что делать?
Только административно зажать.

SergeyKLIM

Зайдешь в клиенте в карантин (View > Quarantine), выделишь файл, а тама кнопочка есть "Отправить в группу Symantec Security Response" - это по мылу.

Я так им отправил ехешник от winrar 3.30, который симантек ни за что, ни про што хавал.


Добавлено:
можно и из центрального карантина, если он ё и на мыло настроен

Подскажите что необходимо сделать чтобы можно было из Symatec System Center просмотреть логи любого выбранного мною компьютера.
Раньше на 9-ке (сервер и клиент) такое было без проблем. Теперь когда установили 10ую версию и того и другого выдается сообщение о том что не удается получить все необходимые данные, убедитесь что работает служба Symantec.
Насколько я понимаю такое происходит из-за того что сервер обращается к клиенту по порту UDP 3967 а клиент слушает по порту TCP 2967.
Как побороть это?что настроить? с файрволами уже давно разобралсяи настроил исключения (и даже пробовал при отключенном Windows firewall) не помогает.

А ты там галку на на работу 10-ки с 9 клиентами поставил?

Arakcheev
а есть мануал к Command Desk?

Интересует такой вопрос - как с его помощью все-таки перекинуть клиентов на новый сервер. И в догонку - какой порт пользует Symantec System Center для подключения к серверу?

golkanavt
Есть текстовый файл с кратким описанием. Я старался сделать программу легко воспринимаемой.


Цитата:

Интересует такой вопрос - как с его помощью все-таки перекинуть клиентов на новый сервер

Если вопрос адресован мне, то надо провести обзор сети, в списке выбрать новый антивирусный сервер, ввести админский логин/пароль, выбрать клиентов и нажать кнопку "Пуск". Все!

AndrewASB
я хочу как раз отправить те вирусы которые симантек нераспознаёт!
поэтом у и спрашиваю email службы техподдержки, на который можно заслать вирусы для индефикации

SergeyKLIM
Такого отдельного e-mal нету - разве, что по platinum поддержке.
В карантине есть кнопка "Добавить в карантин". Добавляешь любой файл - и вперед.

Добавлено:
Впрочем, на почтовом серваке можно посмотреть куда мыло пошло, если сервак свой.

AndrewASB
нашёл другим путём
securityresponseblogs@symantec.com

помогите плиз... досталя комп, домен. на нем симантек 9 версии стоит. хочу удалить и поставить макафи. но вот пароля на серверную часть никто не помнит.
как можно его скинуть.....

AlexRNeos

ВНИМАНИЕ! Поскольку данная процедура связана с модификацией реестра рекомендую выполнять всё внимательно и по пунктам.

1. Проверить, чтобы нигде (ни на сервере, ни на других машинах) не была запущена консоль SSC.
Следующие пункты выполнять на главном (первичном) сервере Symantec Antivirus.
2. Остановить службу Symantec Antivirus
3. Выполнить файл symantec.reg
4. Запустить службу Symantec Antivirus
5. Запустить консоль SSC
6. В консоли разблокировать вашу группу XXXXXX (где XXXXX - имя серверной группы) паролем symantec. При этом появится группа XXXXX (2)
7. В консоли разблокировать группу XXXXX (2) c паролем symantec
8. Удалить группу XXXXX (проверить - она должна быть пустой без серверов и клиентов)
9. Переименовать группу XXXXX (2) в XXXXX

RegFile:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion]
"ConsolePassword"="1084A085DC6BD2D755D4D6A7726"




И еще 1 путь:

HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AdministratorOnly\Security\UseVPUninstallPassword - устанавливаем в ноль
HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AdministratorOnly\Security\VPUninstallPassword - удаляем этот параметр.

to
Цитата:

AndrewASB А ты там галку на на работу 10-ки с 9 клиентами поставил?

конечно поставил. Эта галка влияет на то что Сервер может обращаться к 9-ым клиентам и как я понимаю по UDP, а на точ то он должен со своими только по TCP общаться - это не влияет. Он все равно продолжает пытаться взять журналы по джругомцу протоколу.

огромный сенкс... вечером попробую...

Arakcheev
Спасибо, все получилось. Тыкал-тыкал, не догадался что надо сначала сервер двойным щелчком указать Хорошая утилита получилось, пользовал одну из первых версий, много что добавилось/улучшилось.

golkanavt
Спасибо. Очень польщен. Рад понравилась программа. Идей еще много еще. Работаю над этим. Буду признателен, если будете рекомендовать ее своим друзьм.

Arakcheev

Честно сказать, продукт достаточно специфичный, не для массового исппользования, так что широкую известность ему обеспечить будет сложно - а в пределах руборда большое сообщество админов уже имеет возможность ознакомиться и оценить.

Опять про обноления!
Все прочитал. Может у кого тоже была такая ситуация.
Есть сервер под 9.0.1.5000 Rus (для клиентов Win98)
И есть сервер под 10.0.2.2000 Rus (для остальных)
Группы разные.
Поставил LiveUpdate Administration Utility и 9 нормально обновляется. Десятка не захотела. Пробовал все и вот это помогло

_http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2002091007405248?Open&src=bar_sch_nam&docid=2005050508401413&nsf=sharedtech.nsf&view=docid&dtype=&prod=&ver=&osv=&osv_lvl=&seg=

а точнее помогло 3 пункт- you must have both English and SymAllLanguages.
с симантека выкачало 600 метров и 10 стала обновлятся.

И теперь проблема - 9 перестала обновлятся!

Обновил на 9 LUA - ни каких эффектов.

Может кто поможет?
Спасибо ответившим.

Вот какая история... На своём серваке (на 2-х серверах) обнаружил набор радости. Вот он
http://webfile.ru/1235937
Пароль на архив www.ru. Архив содержит набор вирусни, что я обнаружил, а так же 2 reg файлика с ключиками, кот. создаёт данные трояны. Прикол в том, что симантек молчит, молчит и до сих пор. Как отправить к ним эту дрянь я так и не нашёл. Если у кого есть возможность скиньте этот архив. Другие антивирусы часть этих файликов определяет, несколько я кинул антивирусным компаниям, после чего они стали определяться. Описание моих мучений можно посмотреть тут
_http://forum.sysadmin.su/viewtopic.php?t=2056&postdays=0&postorder=asc&start=0
(да не сочтут модераторы это рекламой, ежели что, ссылку можно удалить.)

RamCram

https://submit.symantec.com/websubmit/retail.cgi

ОТПРАВКА ВИРУСОВ В SYMANTEC

На сайте www.virustotal.com
справа вверху окно - отправляешь через него - идет проверка многими антивирусами с новыми базами.


по очереди поотправлял файлы их твоего архива на www.virustotal.com

McAfee, Kaspersky - также не видят (те файлы которые пробовал)
То есть Symantec виноват вместе со всеми, а не только Symantec в данном случае лажается.

И где интересно у тебя народ находит столько вирусов ?

Почему нельзя поставить шлюзовой http и почтовый KAV ?

Почему нельзя назначить человека, который будет для всех лазить по нехорошим сайтам ?

Ситуёвина некрасивая. Я только пришёл на новую работу (нас тут 2-е). Несколько серверов, как оказалось, смотрели напрямую в WAN, при этом ничем защищены не были. (сейчас уже всё исправлено) На нас пошли жалобы о завирусованном спаме. Начал разбираться и вот обнаружилось. Короче нас поимели, по другому сказать нельзя. Сейчас вроде всё вылечили, но меня терзают смутные сомнения..
За ссылку спасибо !
Касперский сегодня прислал мне письмо

Цитата:

instgina.exey - Trojan-PSW.Win32.GinaPass.h
Детектирование файла будет добавлено в следующее обновление

И DrWeb позачера тоже обнаружил в services.exe irc-ного бота, я им всю эту дрянь сплавил. По поводу остальных файлов из архива молчат. Почему не знаю, видно же что это дрянь какая-то..
По поводу организации сети. Я сейчас активно пытаюсь продвинуть идею о DMZ (но боюсь денег на сервера не выделят.. ) и подыскать антивирус для Exchang'а, Symantec'овский наш exchenge почему-то валит, когда заходишь на сервер по rdp. Ещё херня, у нас в основном программеры, поэтому приходится открывать много "левых" портов для тестов и всем давать права локальных админов. Поэтому я сейчас активно пытаюсь внедрить клиентские фаерволы. Однако тут минус, фаер от микрософта не катит в связи с его не гибкостью, я вот думаю сейчас поставить SCS CE от симантека, но ни разу с ним не работал. Кто-нить по этому поводу что-нить скажет ?