» Symantec Antivirus Corporate Edition (часть 3)

Цитата:

Там только типы угроз, а хотелось бы указать конкретные файлы

Был у меня такой вопрос. Хотя прямо скажем решение не очень, но работает.
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=22939&start=1200
Ответ в " Отправлено: 08:14 16-02-2009" от SergeyMark
Недостаток имхо в том, что надо пофиксить один ресурс, далее его прописать свободным от контроля. А если он обновляемый? Вопрос пожалуй без ответа.

SergejFk

Цитата:

Недостаток имхо в том, что надо пофиксить один ресурс, далее его прописать свободным от контроля. А если он обновляемый?

Что значит обновляемый? Обновляется содержимое папки? Так нет проблемы. Я на одной из машин добавил в исключения папку. Содержимое папки часто меняется. Symantec соообщает о своей находке но ничего с ней не делает.

Добавлено:
Файлы лучше добавлять в архивах с паролем, тогда Symantec безсилен.

Обновляемый - значит пользователь может записать туда без блокировки и останова тот самый вирус.
Как правило где-о в районе D: Vs E:\Distr. Я уж не упоминаю, что ресурс вообще может быть переименован. Как например с моим случаем. Прописал Miranda 0.4... Не трогает. Добвавили Miranda 0.5..., т.к. версию новая - удалил все icq.dll. Речь о ресурсе на файл-сервере, где лежат актуальные дистрибутивы.

Цитата:

Symantec соообщает о своей находке но ничего с ней не делает.

А смысл? Что б полнее был EventID? Хотя может лучше, чем ничего. Но ещё лучше, не трогать, то что не мешает. А Symantec-у чего-то все больше начинает мешать, либо подозревать. Причем случилось с программой 1998-97г. выпуска.
Впрочем, надо как-то подстроить, что б именно давал информацию, но не лечил на конкретной директории или диске.

SergejFk

Цитата:

ресурс вообще может быть переименован. Как например с моим случаем. Прописал Miranda 0.4... Не трогает. Добвавили Miranda 0.5..., т.к. версию новая - удалил все icq.dll. Речь о ресурсе на файл-сервере, где лежат актуальные дистрибутивы.

Создай папку Miranda и добавь в исключения, а в ней Miranda 0.5 - Miranda 0.6 и т.д.

Да как-то так и сделал.
Варианты создания архивов с паролем, или тем-более каким-либо криптом пожалуй не пройдут. Во-первых сложностей и так хватает, стараться множить не лучший выход. Во-вторых потом могут проблемы году этак в н-надцатом.

чет у меня уже на второй машине перестал запускаться сервис "symantec antivirus"

попробывал сделать как описанно тут


Цитата:

Q:Клиентская часть сообщает что "Auto-Protect is Disabled" и сервис вываливатся с кодом ошибки 14 в логах приложений

не помогло. удалил симантек, пробую установить доходить до установки и запуска служб и не может запустить и откатывается =(

даже пробывал клинером удалить (SCSClean на случай если что в реестре остается) ничего не помогает,

троянов вроде не видно, проверился доктором тоже ничего не нашел =( моежт кто направит куда ?

Attid

Цитата:

моежт кто направит куда ?

В этой ветке уже неоднократно давался этот совет.
Полностью удалить антивирус:
" 1. Используй утилиту очистки компа от Симантека - SCSClean
2. Перезагрузка
3. Удали папки \Documents and Settings\All Users\Application Data\Symantec\ (скрытая)
\Documents and Settings\<все остальные пользователи>\Application Data\Symantec\ (скрытая)
\Program Files\Common Files\Symantec Shared\
\Program Files\Symantec\
\Program Files\Symantec Antivirus\
\Program Files\SymNetDrv\
4. Почисти реестр (например бесплатной утилитой CCleaner)
5. Перезагрузка
После этого Симантек ставится без глюков. "

У меня такой вопрос.
Можно перекрыть возможность деактивации клиента ( Sav10.1.6000 ), для пользователя локального администратора. В домене он входит лишь в группу "Пользователи Домена".
Комп. - клиент домена, клиент сервера Sav10.1.6000.
Или сделать это после ввода пароля.
По - моему в консоле сервера нода и каспера такая возможность появилась. Как это приделать к семантеку?!
По идеи надо предотвратить останов службы Семантек Антивирус. Может ещё чего?
В консоле стоит, пользователи не могут отключать. Но наверное это касается одних локальных пользователей.

Цитата:

[/q][q]По идеи надо предотвратить останов службы Семантек Антивирус. Может ещё чего?
В консоле стоит, пользователи не могут отключать. Но наверное это касается одних локальных пользователей.

У нас локальнаядоменная политика запрещает остановку служб симаентека contoso.com\Administrators удалили все разрешения в безопасности и добавили группы которые могут.

Цитата:

mudrij_p

Цитата:

У нас локальнаядоменная политика запрещает остановку служб симаентека contoso.com\Administrators удалили все разрешения в безопасности и добавили группы которые могут.

Поподробнее. Это как?
В Domain Security Policy
или
Domain Controller Security Policy
или через GPO.
В принципе почти одно и тоже, но с разных сторон. Как запретили останов службы?

Цитата:

Поподробнее. Это как?

Только позавчера применили, но уже сегодня вылезли грабли. Прав system не хватает, для нормальной работы системы, при применении GPO клиент перестал видится сервером, и отключался, восклицательный знак в трее. Поэтому пришлось вернуть все взад.
А была такая хорошая светлая мысль, прописать в ГПО Computer Configuration, Windows Settings, Security Settings, System Services присвоить значение Automatic службам Symantec Antivirus, Symantec Antivirus Definition Watche, Symantec SPBBCSVC, Symantec EventManager, Symantec Setting Manager, в security установить группы domain\Domain_admins, domain\Heldesk
Так что пока присоединяюсь к вопросу:Как можно запретить останавливать службы симантека админам на локальных станциях?

Ага, нашему полку прибыло!
Товарищи ГУРУ Семантека, есть вариант ответа для общественности?


Цитата:

Прав system не хватает, для нормальной работы системы,

Что-то странно! Имеется ввиду группа SYSTEM или чего-то ещё?
Ну так ввести на C: в секурити полный доступ.
Кстати, проявляется лишь на одном или всех клиентах?

Цитата:

Имеется ввиду группа SYSTEM или чего-то ещё

Угу, она. Я почему-то был уверен раз сервис запускается под системной учетной записью, то больше никаких прав ему для счастья и не надо


Цитата:

Ну так ввести на C: в секурити полный доступ.

Вот здесь я не понял, кому дать полные права на диск С


Цитата:

Кстати, проявляется лишь на одном или всех клиентах?

Проявалась на всех клиентах куда уползла политика. В консоли Симантека все клиенты были офллайн, со статусом disabled because couldn't connect(если не ошибаюсь)

Цитата:

Вот здесь я не понял, кому дать полные права на диск С

Диск C:, Security> SYSTEM = Full. Но наверное, если не одном, то все было как надо.

Напиши подробнее ветку в GPO, где были изменения.
Измения были на Ou или весь домен, как Default Domain....
Если второй вариант, то не удивительно. году не помню в каком, также прошелся по "этим граблям". Еле отмазался. Надо выводить в отдельный юнит. Хотя встречал мнения, что наоборот править так править дефалтные. Но эти советы не для меня. Мне лучше кой-чего добавить в ADCU, чем потом делать откаты из образа.

SergeyMark

Цитата:

Полностью удалить антивирус:

не помогает.

все сделал, перезагрузился, ставлю заново, вываливается с ошибкой не могу запустить службу. если нажать отмена, то симантек удаляется.

если не нажать отмена, иду в службы пробую по очереди запускать службы часть запускается, часть зависимы от "symantec setting manager" он же не запускается "служба не ответила на запрос своенвременно"

Attid

Цитата:

не помогает.

А раньше на этой машине нормально работал? Вспоминай что изменял за последнее время на компьютере.
Какая версия Symantec? Какая версия операционной системы? Какая версия IE?
В логах смотрел? (Управление компьютером>просмотр событий)

*А раньше на этой машине нормально работал?
да стоял. появилась еще одна машина с подобными симптомами =(

*Какая версия Symantec?
10,1,0,394 хотя пробывал ставить разные

*Какая версия операционной системы? Какая версия IE?
один 2003 один ХП ИЕ 6

**В логах смотрел?
первым делом. ничего подозрительного просто не запускается служба.
пробывал процесмонитором следить обращается ли кто-то к этим службам, ничего не заметил, хотя там сложно что-то смотреть

обратил внимание что если запускать файл обновления на этих машинах то он говорит что файл поврежден.
(на одном симантек стоит не стартует служба, на другом я его удалил не могу поставить обратно)

Добрый день.

Возникла такая проблема. Не обновляется сервер и клиенты. Live Update скачивает последние обновления с сайта но не раскидывает их. Консоль при этом заблокирована и не разблокируется. Кеш скидывал, сервисы перезапускал не помогает. После рестарта сервера все приходит в норм, только через пару дней все по новой.

Как решить эту проблему?

Нужно ли из за этого переходить на новую версию?
Сейчас стоит 10.0.1.1000

Attid

Цитата:

10,1,0,394 хотя пробывал ставить разные

Есть резон обновить сервер, а потом и клиентов до v10.1.8.8000, со старыми релизами (до v10.1.6.6000) происходили разные чудеса.

Цитата:

появилась еще одна машина с подобными симптомами

Стоит проверить с помощью бесплатной лечащей утилиты Dr.Web CureIt!®
К сожалению Symantec Antivirus Corporate Edition не видит многих троянов и иногда гибнет в борьбе сними, а CureIt!® их обнаруживает и удаляет. И новый продукт Symantec Endpoint Protection (SEP) троянов ловит.

Angoim

Цитата:

Нужно ли из за этого переходить на новую версию?

Что называешь новой версией (SEP) или релиз v10.1.8.8000 ?
Раз со старой версией есть проблемы, нужно обновлять. Для начала до v10.1.8.8000, а там сам решишь. Если планируешь переход на (SEP) , сперва отработай все в тестовой среде, есть "подводные камни".

SergeyMark

Цитата:

Раз со старой версией есть проблемы, нужно обновлять.

А без обновления можно решить мою проблему?

Цитата:

Есть резон обновить сервер, а потом и клиентов до v10.1.8.8000, со старыми релизами (до v10.1.6.6000) происходили разные чудеса.

а я такой не нашел только SAVCE_10.1.6.6010_AllWin_RU.zip такой пойдет ?

ЗЫ а из инстолятора и нескольких msp можно иснтолятор собрать ?


Цитата:

CureIt!®

эту пробывал ничего не нашел =(

Angoim

Цитата:

А без обновления можно решить мою проблему?

Если достаточно свободного времени, можно посмотреть код ошибки в логах и пытаться найти решение на http://www.symantec.com/business/support/index.jsp или на сервере Microsoft, в зависимости от произошедшей ошибки. Но новые релизы для того и пишут, чтоб исправить найденные ошибки и добавить новые возможности.


Добавлено:
Attid
Смотри в шапке.

Цитата:

Q:Где скачать последнюю/восьмую/девятую/русскую версию или русскую документацию?
A:Как всегдa - в Варезнике

Цитата:

такой пойдет ?

Для обновления понадобится весь диск. Смотри в смежной теме http://forum.ru-board.com/topic.cgi?forum=35&topic=32746&start=1740#lt

Angoim

Цитата:

Сейчас стоит 10.0.1.1000

Вот здесь исправления для твоего релиза ftp://ftp.symantec.com/public/russian/products/symantec_antivirus/ver10.0_CE/updates/

Всем доброго времени суток. Установил с нуля SAV 10.1.8.8000
Возникла проблема при удаленной установке клиента: при попытке добавить выбранного клиента возникает сообщение "На компьютере установлена более ранняя операционная система чем Windows 2000". Все клиенты на WinXP SP3. Причем некоторые клиенты все-таки добавляются в список установки. Ручная установка на каждом клиенте работает без проблем. Помогите решить проблему - клиентов более 70 и устанавливать руками не вариант.

Заранее благодарен.

Цитата:

возникает сообщение "На компьютере установлена более ранняя операционная система чем Windows 2000"

Решил эту проблему так: заменил содержимое каталога "C:\Program Files\Symantec\Symantec System Center\Deployment\ClientRemote Installation" содержимым каталога "Rollout\ClientRemote" из дистрибутива 10.1.0.394. Заменял и из более новых - не помогло. В чём причина - честно говоря, так и не разобрался.

не помогло

2 Davion33
Я решаю это дело двумя вариантами.
1. На клиенте Sp4 ( кстати, как у тебя с юсб без него? ) + IE6 обновление.
2. На клиенте ставлю клиент Sav 8.0. Конечно, есть мнения, что с Sav10 и выше это нелучший вариант, но у меня работает, клиенты не отваливаются. Преимущество - меньше нагружаю и без того не мощную машину. Не зря ж там стоит ещё двух-тонник.

Доброго времени суток!
Столкнулся с проблемой обновления версии SAV с 10.1.7.7000 на 10.1.8.8000
Имеем SAV CE RUS 10.1.7.7000, ОС - W2K3R2 RUS, WXPSP3 RUS.
После выхода релиза 10.2.2 RUS скачал его - пробовал на клиентах, все ок версия обновляется до 10.1.8.8000
Развернул внутренний LU сервер, LUAdmin - 1.5.7.19, LU - 3.5, раздача по FTP
Скачиваю свежий product list, выбираю LU, LUA, SAVCE 10.x srv и clt, SAVCE Virusdef 10.x srv и clt, языки Rus Eng и SymAll
Скачивается 500 с лишним Mb. Перестраиваю тестового клиента с родительского сервера на внутренний LU сервер - начинает обновлять вирусную базу с него, но версию не меняет. Аналогично с тестовым сервером.
Подскажите плиз в какую сторону копать!

SergeyMark

Цитата:

Вот здесь исправления для твоего релиза ftp://ftp.symantec.com/public/russian/products/symantec_antivirus/ver10.0_CE/updates/

Сейчас у меня стоит 10.0.1.1000 Eng, я скачал c линка SAVCE_10.0.1.1008_AllWin_RU.msp

Выходит ошибка Службе Windows Installer не удается установть пакет исправлений, поскольку либо отсутствует обновляемая программа, либо существет опасность обновления другой версии этой программы. И т.д.

Какой порядок установки перехода на новые версии. И я должен каждую версию устанавливать поочередно или могу сразу последюю?

Спасибо.

Angoim

Цитата:

Какой порядок установки перехода на новые версии. И я должен каждую версию устанавливать поочередно или могу сразу последюю?

1. Берешь полный дистрибутив самой новой версии.
2. Деинсталируешь консоль от старой версии.
3. Обновляешь сервер до самой новой версии.
4. Ставишь новую консоль и проверяешь (изменяешь) настройки.
5. Из консоли обновляешь всех клиентов.