» Symantec Antivirus Corporate Edition (часть 3)

Ситуация:
На сервере обновили SAV 10.1.394 ENG до версии 10.1.5.5000 RUS. Визуально обновление прошло гладко, без ошибок и предупреждений. Но:

1) Перестали обновляться базы на клиентах.
2) Невозможно войти в консоль SSC (причем с этими учетными данными могу открыть сам SAV Server, но не могу войти именно в консоль) Сбрасывал пароль согласно рекомендации из FAQ, на сервере работает новый пароль, в консоль войти нельзя.

Собственно где рыть и что делать?

1. Имеет ли смысл на клиентах с SAV обновлять Liveupdate до самой новой версии?
Например текущая версия Liveupdate для SAV 32bit - 3.3.0.61.
http://www.symantec.com/techsupp/home_homeoffice/products/lu/lu/files.html
ftp://ftp.symantec.com/public/english_us_canada/liveupdate/

2. Корректно ли устанавливается liveupdate поверх установленного? Или лучше перед установкой снести старый?

3. Можно ли использовать английскую версию liveupdate c русскими версиями клиентов SAV ?

Как отключить проверку исходящей почты?

Подскажите, пожалуйста, что делать с компьютерами, имеющими статус Risk Found!, которые привязаны к серверу Symantec? Это предполагает, что вирус уже удален, или зараза ещё осталась?

bsergiy
Это предполагает, что администратор сети обратит внимание на факт обнаружения угрозы (не обязательно вируса) на этих компьютерах. По каждому риску надо смотреть предпринятые антивирусом действия и их результат и делать соответствующие выводы.

golkanavt, спасибо тебе большое
В логах Симантека написано, что на этом компьютере вирус W32 Cleaned by Deletion или Quarantied, это означает, что этот компьютер больше не трогать или, допустим сбросить состояния угрозы? А можно вообще как-то посмотреть, откуда пользователь подцепил этот вирус? В логах пишется Original Location, допустим D:\. Может быть это оно? Заранее благодарю за помощь...

bsergiy
Это означает, что надо уделить внимание машине с обнаруженной угрозой - просканить все диски (мало ли где еще какая зараза спряталась), проверить систему на наличие всех необходимых обновлений, закрыть дыры, настучать пользователю по рукам (голове) - в общем, думать головой нужно и не расслабляться, надеясь только на антивирус. Откуда подцепил - в логах SAV этой информации нет, там лишь место обнаружения заразы. Однако, если вирус найден во временных файлах интернета, можно сделать вывод о его происхождении.

доброго всем...
подскажите плз.как установит Symantec AntiVirus Corporate Edition 10.2.276 клиент на висту?именно устоновочный файл при клике правой кнопкой не имеет пункта запустить от имени админа(все остальные ехе файлы имеют)а при простом wклике грит нужны права админа.
как справится с этим?

Установил дома SAV 10.1.6.6000, скачал 25 МВ обновлений
Хочу установить на работе и поэтому возник вопрос - т.к. на работе нет интернета , то возможно ли скопировать обновленные базы, которые я закачал (в какой папке они находятся ?)

Где копать?
1) Имеется сеть на 500 компов, сервера семантек установлены на 2 машинках с 2000 server. В связи а апгрейдом хочу перебраться на 2003, но в консоли сервера symantec 10 видится как отключенные, такая проблема только на win2003 server. Консоль ставилась и на сервера и на клиенты, все службы запущены.
2) Tакая же проблема с сервером на Netware, в консоли вижу, но от отключен и базы автоматом не обновляются
3) С начала 2008 года на клиентах перестала отображаться версия антивисных баз. У клиентов установлена sav8, управляемый. В консоли я вижу, что базы обновились, а у пользователей кажый раз орет, что базы устарели. Переходить на 9 геморно, ибо активно пользуемся радмином + много древних компов.

Цитата:

Как отключить проверку исходящей почты?

Присоединяюсь к вопросу.
Знатоки, подскажите как.

Если SAV, когда находит trojan downloader пишет, что он partial removed, говорит ли это о том, что часть зараженных файлов проникли в систему и/или только о том, что он не удалил все следы?

Коллеги, я не фтыкаю в этого антивируса. Задача казалось бы простая - сделать исключения при автоматической защите на определённые папки для определённого клиента. Суть в том, что мне надо на одну машину поставить клавиатурного шпиона Blazingtools Software Perfect Keylogger. Так вот симантек и дистрибутив и саму установленную программу сечёт на раз и киляет сразу. А мне ну очень надо "заразить" одну машинку этим кейлоггером. Пробовал добавлять место, куда устанавливается программа и место, где лежит дистрибутив в исключения, но это почему-то не помогает. Кстати, столкнулся с проблемой, что настройки исключений у меня не получается сделать удалённо (из консоли) на уровне одного клиента. Приходилось изменять настройки на уровне всего сервера, но и это не помогает. Помогите, пожалуйста, решить проблему!!!

Yri
Чтобы отключить проверку исходящей почты, необходимо в настройках клиента
в разделе e-mail, указать в настройках напротив проверки smtp
вместо 25 порта, какой-нибудь другой левый порт.
В журнале станут появляться соответствующие сообщения об ошибках, но и проверять исходящую почту sav не будет.
Если поможет, отпишитесь пожалуйста.

Стоит SAV 10.1.0.394 Rus. Некоторые мобильные сотрудники ездят по всему городу с ноутбуком. Клиент SAV после того как его отключают от офисной сети пишет "автоматическая защита остановлена". Кто как решает проблему?

Дело в том, что в эти ноутбуки мобильные сотрудники втыкают диски и дискеты и с этих носителей на ноутбук может попасть вирус.

vicwanderer
Проверь на месте ли в этих машинах файл xxx.x.servergroupca.cer. Настрой в косоли, в параметрах клиента, запрет на выгрузку SAV. Поставь галку "если атоматическая защита выключена, включить через 3 минуты". Включи защиту от изменений и запрети ее выключать.

Добавлено:
Big_Black_Cat

Цитата:

в консоли сервера symantec 10 видится как отключенные, такая проблема только на win2003 server

Значит на них включен интегрированный файрвол. Отключи его или настрой.

Цитата:

Переходить на 9 геморно, ибо активно пользуемся радмином + много древних компов.

Переходи на 10 , в ней есть возможность управлять клиентами 8 и 9.

alx19

Цитата:

указать в настройках напротив проверки smtp
вместо 25 порта, какой-нибудь другой левый порт.

Какой левый? Какие цифры туда надо забить?

Yri
Любой порт, который в данный момент ничем не задействован.
Возможно, что пойдет 70000, если согласится. Тогда точно никому не помешает.

PIL123

Цитата:

Кстати, столкнулся с проблемой, что настройки исключений у меня не получается сделать удалённо (из консоли) на уровне одного клиента.

SSC - Tools - SSC Console Options - Client Display - Allow direct configuration of individual clients

Цитата:

Задача казалось бы простая - сделать исключения при автоматической защите на определённые папки для определённого клиента.

Client Avto-Protect Options - Exclude selected files and folders

ПОМОГИТЕ!!! У мну установлен Symantec Antivirus Corporate Edition v9 с последними обновлениями. Но антивирусник упорно не может найти вирус который обнаруживает и DrWeb и Касперский. 2а вируса пропускает файлы с которым сохранил. Trojan.PWS.Bart, Trojan.NTRootKit.360. Что делать нинаю? Можно отправть эти файлы в техподдержку(куда?) чтоб с новыми обновлениями мочил упыря. Заранее пасиба!

alx19

Цитата:

Возможно, что пойдет 70000, если согласится

Принимает только в диапазоне 1 - 65535
Поставил 65535, все равно проверяет

RA блокируется \ удаляется в SAV10 четырмя видами проверок
1) File system auto protect
2) Manual \ sheduled scan
2) Startup scan (запускается при регистрации пользователя)
3) Defwatch Quick scan (имеется ввиду НЕ разновидность Full\Custom\Quick, а та проверка, которая запускается после обновления баз\перезапуска )

для первых двух типов можно в клиенте внести RA в исключения
(Action -> Security Risks -> Remote Access -> Exceptions -> Add выбрать из списка Remacc.Radmin или там-же переопределить действие для всего класса угроз Remote Access на leave_alone)

настройка остальных проверок изменяется для каждого пользователя через реестр.
вот содержимое двух reg файлов (взято с сервера Symantec)

DefwatchQSOff.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Intel\Landesk\VirusProtect6\CurrentVersion\LocalScans\Defwatch QuickScan Options]
"ScanBootSector"=dword:00000000
"ScanLoadPoints"=dword:00000000
"ScanProcesses"=dword:00000000

RemoveStartScan.reg

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Intel\LANDesk\VirusProtect6\CurrentVersion\Custom Tasks]

[HKEY_CURRENT_USER\Software\Intel\LANDesk\VirusProtect6\CurrentVersion\Custom Tasks]
"CreatedUserQuickScan"=dword:00000001
"CopiedDefaultScanOptions"=dword:00000001

[HKEY_CURRENT_USER\Software\Intel\LANDesk\VirusProtect6\CurrentVersion\Custom Tasks\Default Scan Options]
"ScanForGreyware"=dword:00000000
"ScanNotifyStopService"=dword:00000001
"ScanNotifyReboot"=dword:00000002
"ScanNotifyTerminateProcess"=dword:00000001

[HKEY_CURRENT_USER\Software\Intel\LANDesk\VirusProtect6\CurrentVersion\Custom Tasks\TaskPadStartup]


Также можно внести RA в список глобальных исключений.

Все знающий All, получил такую проблему:
Установил SAV 10.1.6.6000 на win2003 SP1 rus std. Ставил четко по инструкции, (установка SSC , ребут, установка сервера на той же машине что и SSC, ребут),
при первом запуске SSC пытаюсь разлочить server group, а мне говорят что неверный логин или пароль, но логин и пароль 100% правильные, пробовал удалить и переставить заново, результат тот же. Что делать?

PS. В логах " Remote managebility has been disabled. A Server Certificate does not exist"

Привет тебе, наоборот надо ставить, сначала сервер, а уж потом консоль управления.

Matroxman
Пробовал, таже хрень, причем сертификатов в папке C:\Program Files\SAV\pki\private-keys\ действительно нет, т.к. они создаются при назначении какого-либо сервера primary serverom, получается замкнутый круг, что бы разлочить группу нужен сертификат, что бы появился сертификат нужно разлочить группу и нажначить сервер primary serverom. Впервые с таким сталкиваюсь, что делать ума не приложу.
Добавлено:
Ради экспиримента попробовал такой вариант: сначала консоль, потом из консоли server rollout. тоже не работает.

Тогда сноси все, вычищай из системы все следы пребывания симантека и ставь по новой. Сначала сервер, потом консоль.

Доброго дня
Подскажите: поставил на Win2003 SAV 10.1.7.7000 при инсталляции можно выбрать что ставить КЛИЕНТ или СЕРВЕР выбрал СЕРВЕР
Затем ставлю на WinXP SAV 10.1.7.7000 при инсталляции можно выбрать что ставить КЛИЕНТ или СЕРВЕР выбрал КЛИЕНТ далее выбираю управляемый клиент и мне выдаётся сообщение
«Управляемый клиент не может подключится к неуправляемому вторичному серверу. Он должен подключатся к управляемому вторичному серверу или напрямую к первичному серверу»
Подскажите как поставить этот ПЕРВИЧНЫЙ СЕРВЕР или как подключить управляемый клиент к этому серверу.

PS: в SAV 8.0 подобных проблем не было

Вниманию всех, у кого стоит LUA 2.1

Решение проблемы Free Disk Space 0MB

Симантековский ответ на эту проблему не дает решения для Windows 2000. Мое решение универсальное. Тем у кого LUA 1.5 скажу честно - LUA 2.1 лучше, т.к. объемы принимаемых обновлений значительно меньше стали.

Saiga

Цитата:

Подскажите как поставить этот ПЕРВИЧНЫЙ СЕРВЕР или как подключить управляемый клиент к этому серверу.

Во первых поставь на этот сервер "Консоль Symantec System Center". Зайди в консоль и разблокируй группу серверов. Далее правый клик по серверу и выбери "Сделать сервер первичным". После этого обнови базы и сделай все необходимые настройки. Теперь можно ставить клиентов либо из консоли, либо из расшаренной самим Symantec сетевой папки \\Имя_Сервера\VPHOME\CLT-INST .

Проблема симантек 10,*,5000 грузит комп жутко сразу после загрузки.
все настройки по умолчанию, как это поправить?