» Не могу понять: GFI EndPointSecurity

rkhodjaev

Цитата:

он сам автоматом на твоем компе подниметь и настроить MS SQL БД?

нет, у него нет в встроенного sql-экземпляра. на выбор или ставь любой sql-сервер или используй любой существующий в сети.


Цитата:

когда агент установишь на клиентской машине, то значить на этом копме все устройства закр? и потом им открываешь доступ?

да, все именно так. если у тебя домен, лучше создать группы в AD в самом EPSec.

DalayLamer

Цитата:

на выбор или ставь любой sql-сервер или используй любой существующий в сети.

у меня в сети есть 1 MS SQL, о там кое что серьезное хранится...поэтому боюсь испортить, думаю МС СКЮЛ самому новую для GFI поднимать что ли?

Цитата:

да, все именно так. если у тебя домен, лучше создать группы в AD в самом EPSec.

да у меня домен, подскажешь чуть более детально?
Просто я установил агент на клиентской машине, потом создал новый permission и выбрал ,так что бы у пользователя все устройства открылись. Но почему то у нее не заработали и все порты не открылось. Поэтому сразу снес агент до уточнения проблем. Не подскажешь как правильно сделать?

rkhodjaev

Цитата:

у меня в сети есть 1 MS SQL, о там кое что серьезное хранится...

GFI создаст свою базу (точнее 2 базы, рабочую и бакап) и никоим образом не завалит sql при всем желании


Цитата:

да у меня домен, подскажешь чуть более детально?

как я помню, после установки сабжа и старта появляеца "quick start dialog", также можно вызвать через "File". ну и по пунктам:
Configure User Groups - создать группы в AD (требуюца права domain&schema admins)
в них (группы) будешь добавлять юзеров, которым надо доступ к устройствам
Configure BackEnd DB - создает базу на SQL сервере, для хранения логоф и формирования отчетоф.
Configure Alerting Options - для уведомлений по netsend, email и т.д.
закрываешь етно, открывается основное окно.
там Configuration - Computers - Add computer(s), добавляешь машины, на которых будет установлен агент. потом Deploy agents. после успешной установки агента на машину она готова к использованию. далее в оснастке AD Users&Comuters в группах созданных ESEC добавляешь юзероф по усмотрению.
потом logoff/logon тех юзероф на машинах с агентом - и радуемся результу распевая песни радости и щастья
ну вот, достаточно подробно, почти по шагам. грех не разобраться. да и мануал по сабжу неплохой (на англицком)

DalayLamer
Спасибо большое за советы.Я понял, как все делать теперь,но я не хочу пока на БД связывать это, буду пока без логов и отчетов, хочу полностью работу изучать,потом связывать с БД. А пока у меня обратно не открывается порты ЮСБ.Я еще без домена делаю.Сделал так:
1.Workstation>Computers добавил комп,потом установил агент.
2.Workstation> Security>add permission выбрал пункт Connectivity ports (e.g. USB,Firewire)
3. Далее выбрал все порты.
Теперь не работает порты....в чем может быть troubles?

Добавлено:
Пардон,все норма уже,то есть агенты четко работают в пунктах назначения!
Теперь надо БД поднимать т настроить, а кроме логов и отчетов от БД есть какая нибудь польза? В логах ежедневные логи агентов пишется да? а можно будет читать там, какой файл именно был копирован через ЮЗБ порты?

З.Ы.
Цитата:

Файлик с базой и ридмишкой бросил сюда - http://ifolder.ru/5451381
Пароль, как я понимаю, стандартный и любимый для данного форума.

почему-то ru-board пароль не идет? не подскажите в чем причина?

rkhodjaev

Цитата:

почему-то ru-board пароль не идет? не подскажите в чем причина?

только что проверил - ru-board подходит. может кроме ентого там еще и цифры на картинке надо ввести? пароль на сам архив такойже.
там я так понял бакап базы (скорее всего пустой)+ридми от reportpack

Здравствуйте. Поставил EndPointSecurity, но установить удаленно агентов на другие машины не получается - ставит пометку что запланировано и ничего не происходит. почему-то не запущена служба (вручную тоже не запускается). В чем может быть причина?

XelaIII
телепатия не является моим коньком, так что надо подробное описание. среда (домен или рабочая группа), какая служба и на какой(их) машине не стартует. ну и что в eventlog'е по ентому поводу пишется?

Подскажите пож-та! На работе необходимо подавляющему большинству пользователей запретить флэшки. Из 400 пользователей разрешить примерно 20-ти. Как можно это сделать не занося всез в GFI. Поставил правило запрета для пользователей домена, а разрешил конкретному юзеру, не прошло, запрещает. Не хочется всех пользователей добавлять в новую группу, утомительно. Подскажите, есть ли выход?

Извините вопрос снят приближение нового года чувствуется!!!

Косяк с GFI EPS 4.0 20081023: отсутствует возможность установить Read-Only доступ к USB-устройствам (опция Read-Only Access неактивна). Подскажите, в каком направлении рыть

вопрос снят. Кому интересно: рыть нужно в направлении Storage devices, a не USB

У меня есть три вопроса:
1. Агент не дает стартовать драйверам программ виртуальных CD-Rom'ов, поэтому я не могу добавить виртуальный сидиром в исключения.
2. Если дать временный доступ пользователю на три часа или более, то доступ почему-то прекращается раньше этого времени и приходится повторять процедуру.
3. На одном из компьютеров нужно блокировать доступ к устройствам лишь три дня в неделю, остальное время доступ должен быть открыть. Сейчас планировщик установки агентов не дает сделать эту процедуру автоматической, т.ч. мне каждый раз от руки приходится удалять/устанавливать агентов.

Если какой-то способ обойти эти недостатки программы?

1. Virtual CD-ROM programs and many CD/DVD writer applications use the so called SPTD driver (SCSI Pass-Thrugh Direct layer) to simulate / write on device. In order we can block such virtual devices, we have to block completely this driver, for every user. If you wish to allow usage of such virtual devices on computers that are protected by the GFI ESEC agent, you can:
- Configure the CD-ROM devices as not being controlled by ESEC or
- Configure that everyone has access to the CD-ROM devices

2. Can you give us some more details on this please? How much earlier does your temporary access run out? It would be very useful if we could take a look on the debug logs from the agent - can you escalate this issue to the ESEC support please?


3. Scheduling of protection policies is not implemented yet. We will consider it as a feature request for the next version. However, to ease your work and in order not to uninstall the agents, you can do the following:
Create two protection policies - one that will apply for those 3 days in which you wish to block the devices on the agents and one that will be used on other days. When these 3 days run out, you can easily move the agents to the second protection policy.

Привет Foffa_is_me AKA Marfa! Скажи, тебе их 1й ответ действительно помог? У меня ничего не изменилось. (( Даже если применяешь пустую (!) политику на компьютер клиента, DaemonTools/Alcohol перестают запускаться. Может, чтобы они заработали, надо сделать что-то еще?

* * *

На форуме поддержки мне запомнилось одно сообщение, связанное с проблемой удаления переставшего слушаться агента.

Пишут:

To disable security agent just set permissions to registry section
HKLM\SYSTEM\CurrenControlSet\EsecAgentSvc
and
HKLM\SYSTEM\CurrentControlSet\esecdrv for user SYSTEM - Deny Read.

Сам не испытывал.

Люди добрые помогите разобраться!
Установил GFI 4, создал базу на MS SQL Server 2000 под названием ESEC4LOGS, импортировал из предлагаемого производителем файла базу, вроде все работает нормально, но проблема в одном в Logs Browser показывает что записи есть, но не отображает их - пустое окно! Т.е. не могу посмотреть логи, также не отображается график Protection Status в закладке Status -General

adm_j
непонятно, зачем импортировать? надо новую создать. делается енто прям в консоли GFI.
потом, после установки клиентов уже в базу будут записываться разные события, которые и будут отображаться в логах и графиках

DalayLamer
Импортировать нужно чтобы ReportPack работал, с базой созданной GFI он работать не хочет.
Путем экспериментов я выяснил что работает GFI со своей созданной базой только если её сразу первый раз создать, если базу сменить на другую, а потом вернуть назад - та же картина, логи не отображаются, хотя записи есть. Возможно кто-то столкнулся с этим, подскажите пожалуйста

adm_j
дык то, о чем ты писал никакого отношения ни к демобазе ни к reportpack'у не имеет.
для нормальной работы надо сабж+sql. тут надо смотреть в сторону sql-базы имхо, т.к. логи агентов (которых у тебя не видно в log browser'е) хранятся в базе.
пример работы без reportpack'а тут

Спасибо, буду разбираться

Возвращаясь к проблемам с виртуальными дисками. В Windows 7 они тоже не работали. И там нашли забавное решение, они использовали древнюю версию Daemon Tools 3.16, которая работала без SPTD. Быть может, нам с GFI это тоже поможет? (Но я, к сожалению, пока не нашел, где эту версию скачать, и поэтому не проверял.)

Можно этот GFI развернуть в Рабочей Группе или для этой проги обязательно нужен домен?

4kusnik
можно и в домене и в workgroup. не забудь обеспечить все машины в группе единой уч.записью (админской), под которой будут работать агенты.

DalayLamer, можешь чуть подробнее про это:

Цитата:

не забудь обеспечить все машины в группе единой уч.записью (админской), под которой будут работать агенты.

Что под обычным пользователем агент работать не будет?

4kusnik
т.к. домена нет, доступ к ресурсам осуществляеца через общие уч.записи, для решения проблем с аутентификацией.

Я начал потихоньку спрыгивать с GFI. Он конечно штука хорошая в смысле идеи, но работает слишком криво и глючно - то рапорты о проблемах не приходят, то юзер таки умудряется на пару секунд получить доступ к флешке, а потом GFI его рубит - а уже поздно.

Пользую NOD v4.x, там появилась возможность дизаблить юзерам девайсы. Увы, логов нет, но зато нет и глюков.

Доброго времени суток.

Господа, подскажите как решить следующую проблему.
GFI EndPointSecurity 4.1 установлен в домене Win 2003, на компах пользователей WinXP.
Политики настроены по дефолту (3 политики:Servers, Workstations, Laptops; для каждой созданы группы GFI_ESEC_...). Работает на стационарных компах нормально. Но, если взять ноутбук, установить на нём агента, доменному пользователю дать права, допустим, на полный доступ к CD-ROMу, то всё работает и доступ есть, но ТОЛЬКО когда этот ноут в сети. Если ноут выдернуть из сети и зайти туда под кэшированной доменной учёткой пользователя, то доступа к CD-ROMу нет - пишет "Отказано в доступе", как-будто доступ и не был открыт. Работает в таком случае нормально только когда доменный пользователь входит в локальные админы этого ноута, но этого делать нельзя. Как реализовать нормальную работу GFI EndPointSecurity без прав локального админа у пользователя?
Может кто сталкивался с такой бедой? Помогите, пожалуйста.

Заранее благодарен за помощь.

кто нибудь решил проблему с неоторажением логов ?

Цитата:

Вопрос в следующем: есть принтер подключаемый по USB к компьютеру PC_TEST.
На компьютер успешно установлен агент.
Пользователь MyDomain\User1 включен в группу GFI_ESEC_Printer_FullAccess,
При попытке напечатать на принтер выдает ошибку и в журнале появляется соответствующая запись

После добавления MyDomain\User1 в группу GFI_ESEC_StorageDevices_FullAccess печать проходит.

Получается, что невозможно сделать так, чтобы пользователь мог печатать на USB принтер и НЕ мог пользоваться флешкой?
Или я что не так делаю?

Решил вопрос?

Добавлено:
UP
Разобрался, в самой программе есть вкладка Tools там можно либо диапазон либо конкретный IP просканировать на наличие девайсов, допустим тот же принтер он находит, добавляем в базу, потом добавляем в белые листы.
У вас всех не работает статистика?

Добавлено:
базу создал с нуля, версия 4.1 программы, статус базы ок, а логах нет нечего, и в статистике.
как можно поправить?

VEnZ0ja
делаю небольшой ман с картинками по сбору и отображению логов в ESEC.
1 - добиваемся чтобы было так (п.1-п.3), т.е. создаем группы, создаем базу и настраиваем алерты: http://pic.ipicture.ru/uploads/090915/4S2dlCsKgA.png
2 - во всех используемых политиках проверяем наличие галок на логгировании: http://pic.ipicture.ru/uploads/090915/BpCTECr6Ds.jpg
3 - устанавливаем агентов на клиентах
4 - если все хорошо, то должно быть чтото вроде ентого (активность агентов в реальном времени): http://pic.ipicture.ru/uploads/090915/lpTyzEVgVg.jpg
5 - если в п.4 все хорошо, то идем в Log Browser и видим примерно такое: http://pic.ipicture.ru/uploads/090314/tTwJyJwt3r.jpg

зы: базу создавал в MSSQL2k3 и MSSQL2k5.
если в п.4 ничего нет (нулевая активность при явном использовании), то в первую очередь смотрим в сторону агента на клиенте. если в п.4 все ок, а в п.5 пусто - тогда смотрим в сторону sql, ну и eventlog естественно.

DalayLamer
Хорошо, спасиб завтра переберу еще раз по пунктам, подскажи какой вид у тебя в алертинг? я не как не настрою ее (3 пункт конфигурирования)
о ходе отпишу сюда.

VEnZ0ja
алерты у меня на мыло настроены так:
http://pic.ipicture.ru/uploads/090915/6Ad5qGNR48.jpg
и настройка рассылки:
http://pic.ipicture.ru/uploads/090915/ReSR5B3xZW.jpg

DalayLamer
спасибо. решил проблему так:
Поставил ,все по новой, на другой машине (на своей рабочей станции)
агенты который работали,подцепились без проблем, даже со старыми логами.
, до этого ставил на сервера АД, делал как ты и описал, на новой тачке все сразу заработало.

пару вопросов:
1. алерты у тебя на мыло настроены, у тебя доходят? или просто для красоты настроил.
2. Если не удается установить агента на ПК, через интерфейс управления, как разворачиваешь? через ГПО?
3. Логи, допустим тысяч 4000-5000 когда накапливается лучше бекапить? или удалять?

VEnZ0ja
1 - уведомления на почту приходят.
2 - не было случаев, когда не получалось через консоль ESEC установить агентов. но и через GPO не вижу сложностей поставить.
3 - логи в 4к-5к - енто смешно для sql енто детский лепет. записи в несколько миллионов - уже чтото. надо смотреть размер базы и исходя из енгого уже принимать какиета решения (типа очистки до какойлибо даты или еще как)

зы: для успешной отправки уведомлений на мыло или еще как надо включить ее тут:
http://pic.ipicture.ru/uploads/090916/jah1y4rT7M.jpg