» Корпоративные продукты McAfee / Networks Associates (NAI) II

Guest88
где есть инфа по перечню поддерживаемых продуктов?
NickolayUA
не правильно в исключения ставишь.
надо смотреть название по какому удаляет антивирус, и добавлять по названию в свойствах политики для нежелательных программ. прописанное там обязательно для любого модуля антивируса.
пример радмин добавляем как RemAdm-RemoteAdmin и он не будет удаляться из любого места и любая версия.

Zuh

Цитата:

не правильно в исключения ставишь.

Ну этот вопрос спорный...
радмин прописывается в исключения в политике "Unwanted Programs Policy", что у меня собственно сделано и работает, а исключения для антивирусника прописывается в политике On-Access Default Processes Policies ->Exclusions/
Вчера даже видео-тьюториал просмотрел на сайте...
Я же говорю и папку даже добавил в исключения, а глючит все-равно. тем более причем тут Unwanted Programs Policy, если лог указывает на OAS - или я не прав?
"Generic" в имени меня все-таки больше наталкивает на проблему с эвристической частью антивируса, тобиш Artemis-модулем..

вот кусок лога:
Threat Name: Generic.dx!ksa
Threat Type: trojan
Action Taken: Deleted
Threat Handled: true
Analyzer Detection Method: OAS

Да кстати тоже не могу понять, почему Action Taken: Deleted, если у меня везде стоит последним действием "deny access to files"






Добавлено:
to Zuh
Пол-дня читаю сайт McAfee
Судя по ссылке
https://kc.mcafee.com/corporate/index?page=content&id=KB50383
вы правы, именно в Unwanted Programs Policy надо прописывать такие случаи, НО это если имя "вируса" нормально детектится.
А если, как у меня(Generic.dx!ksa), то больше подходят другие описания
https://kc.mcafee.com/corporate/index?page=content&id=KB66655&actp=search&searchid=1263557011104
https://kc.mcafee.com/corporate/index?page=content&id=KB53893&actp=search&searchid=1263557011104
и как я понял, решения реального нет - описанное решение, в следующем *.dat - ошибка устранена....
А если у меня нераспространенное ПО, то может и не устранится....
А каков тогда механизм работы исключений политики On-Access Default Processes Policies ->Exclusions? Когда они работают?

trisen

Цитата:

- В основной политике для McAfee Agent меняем порядок выбора ближайшего по подсети;

не нашел такого пункта можно поподробнее

hashros
McAfee Agent > General >Repositories

Select repository by: Subnet distance

NickolayUA
согласен, проглядел что у тебя всего лишь троян

Други, поделитесь опытом - у кого в сети работает 2 или более ePO сервера ? есть мысль развернуть дополнительный, но смущает пара вопросов...Например:
1.Базы расположены на отдельном SQL - каждый из ePO будет коннектиться к своей или можно направить в одну общую ?
2. Как научить имеющийся сервер обращать внимание на наличие еще одного EPO сервера?
3. Как быть с политиками - новый сервер все подхватит или надо их назначать вручную?
Ну и еще в таком духе...

Silencer62
1. Насчет общей сильно сомневаюсь, как ты себе это представляешь?
2 и 3 - думаю стоит посмотреть в этом направлении, да и мануал почитать совсем неплохо.

brassnet
По поводу общей базы.. В ней же хранятся как минимум события, происходящие в сети - обнаруженные вирусы, логи обновлений и т.д. было бы логичнО, чтобы оба сервера могли доступаться до этой информации. По п.2 - пробовал, добавлял. но сильно подозреваю, что добавленный сервер об этом не знал ничего. Вопрос с обработчиками агентов тоже не совсем ясен... В мануале epo_450_product_guide_ru-ru.pdf, взятом с сайта доходчиво не расписано ( или отупел за новогодние праздники ). Вроде делал, как рекомендуют, но результат мягко говоря никакой Мож что пропустил в мануале на 328 страницах... поэтому и решил поискать кого-нить, у кого такая схема работает. Ладно, будем искать решение. Может что найду..

Привет всем. Что то я подзапутался слегка, поддвердите пожалуйста что я прав или скажите как надо сделать правильно:
1. Поставил новый ePO сервер, создал в нем репозиторий, создал дерево систем. Далее хочу чтобы VSE и AntiSpy уснановились на все системы, для этого для групп своего дерева сделал задачи клиента: развертывание продукта, где и выбрал VSE и AntiSpy и сделал еще обновление продукта. Скажите этого достаточно, чтобы проги встали на компы?

Mataes

На компах должен быть установлен агент. А так в принципе достаточно (ИМХО)

Мне вот тоже казалось достаточным...
агент стоит инфу сервреру регулярно шлет, но проги не ставит... что еще можно подкрутить?

Mataes
Проверь шедулер или состояние задачи (включено или выключено). Попробуй задачу запустить на одном компе (выполнить немедленно).

Silencer62 и brassnet

В базе данных хранится конфигурация ePO сервера, полисы, таски, эвенты, public и private ключи и тд..
Поэтому общая DB используется только в случае установки ePO в кластере.
Agent Handler обычно используется для распределения нагрузки или в случае сегментов разделённых Access lists или фаерволом.
Для чего нужны 2 ePO сервера в одной сети - не очень понятно.
Если можно поясните.

Да что тут пояснять - просто было интересно, благо появилась такая возможность. Увы, это оказалось не совсем то, на что я рассчитывал.

возникла проблема с почтой:

в 3.61 у меня была возможность с епо–сервера посылать меил, в случае , если на каком–то из компутеров, вирусскан находил вирус.
т.е. инфа о вирусе была под епо и дополнительно я получала меил о заражении.

в 4.5 такую фишку найти не смогла, т.е. на епо–сервере инфа о завирусованности имеется, тестовый меил мне приходит, а вот как организовать поредачу мейла о
завирусованном компе, разобраться не могу.

прошу о помощи....

julia4
Все очень просто. "Меню" - "Автоматизация" - "Автоматические ответы". Тут можно создавать уведомления практически на любое событие, в т.ч. и на обнаружение вируса. С помощью визарда создается ответ на событие. Группа событий - "События уведомления ePO" и дальше по тексту. А в тексте письма можно указывать все, что интересуе - DNS-имя компа, имя вируса, удалось удалить или нет и т.д.

Silencer62 - спасибо


"Группа событий - "События уведомления ePO" и дальше по тексту"
досюда дошла, а дальше - ни в какую.....

при этом "тестовое электронное письмо" посылается без проблем и приходит
на "сервер электронной почты" (выставленного в настройках епо-сервера)
а также в "журнале событий угроз" на епо-сервере идентифицируются
все случаи заражения рабочих станций.

julia4

Я собссно не понял - удалось настроить уведомления ? Если нет - пиши в ПМ, чтобы тут не разводить флуд

емеется ePo 361 win srv2003r2. решил обновиться до 4.5. во время установки sql express не переустанавливается, ссылаясь нга то, что будет использоватья имеющийся а потом после проверки аутенификафии SQL-ной выдает что текущий продукт уже старый и установка блокируется. как бы это обойти без сноса предыдущей версии ePo ?

Добавлено:

yurl
А перенести базы на полноценный сервер нет возможности ? С MSDE возможны проблемы, сам сталкивался..

чешу репу.
в двух разных компаниях на один и тот же файл идет разное срабатывание.
в одном месте детект как артемис!абракадабра а во втором месте вообще никак. то что во втором месте нигде эвристика не пашет я давно заметил т.к. ответы сервера специально настроил так чтобы приходило отдельно от сигнатурного и отдельно от эвристического анализатора. так вот за год ни одного срабатывания эвристики. причем настройки вируссканов одинаковые что там что там. патчи и версии тоже идентичны.
просто в недоумении.

Zuh

Проверь настройки Artemisa и DNS forwarding с локальных станций.

Guest88
настройки Artemisa???
а где их смотреть? я насколько понял с какого то номера движок содержит артемис. кажися с 8300 если не ошибаюсь. по сводкам епо он вроде как работает. но где поставить галку по его настройкам?
а причем тут проброс днс запросов и артемис? ему что инет нужен?

Zuh

Цитата:

настройки Artemisa???

Насколько мне помнится в on-access scaner-e он появился в первом патче к VSE8.7

как настраивается - здесь:
https://kc.mcafee.com/corporate/index?page=content&id=KB53732&actp=search&searchid=1265034549261

NickolayUA
понял. так и было. на одной машине обновил базы через супердат. там и сработало. это понятно.
теперь вопрос следующий у кого включен артемис повсеместно. как с тормозами?
какие минимальные требования для безтормозной работы?

Zuh

Artemis действительно можно активировать только после установки Patch 1 для VirusScan 8.7. Вот только к супердатам этот Patch никакого отношения не имеет.
А работает Artemis через DNS request - собирает MD5 хаш подозрительного файла и отправляет запрос который выглядит так: "qwieuy32u4eqwS31.avqs.mblmcafee.com". DNS response получаемый в ответ несёт решение облака - malware или нет.
Рекомендуемые начальные настройки - Very Low. Тормозов не замечено. Если сеть из соображений безопастности физически отключена от интернета и DNS resolving интернет адрессов не работает - Artemis можно отключить. Пользы он не принесёт.

Zuh
У меня включен Artemis, тормозов не замечено, хотя компы по своей начинке - самые разные: от Атомов 1,6 до С2D 2,9.

Guest88
вопрос такой. каждый компьютер самостоятельно отправляет запросы, или они отравляются через епо?
Silencer62
ну вообще-то тормоза и без включенного артемиса в все8.7 замечены только на комьютерах с п3 и младше. в тоже время только на ядре копермайн, на туалатинах тормозов нет. на любых п4 и старше тормозов нет. на процах амд закономерности не замечены т.к. их очень мало и все из последних.

Zuh
В принципе, если поднастроить на компе что именно сканировать, то тормозов можно избежать и на не очень резвых машинах. Хотя мое впечатление - VSE8.7 работает резвее, чем 8.5 с последним патчем, ессно с одинаковыми настройками..

Silencer62
ну не совсем согласен. подозреваю все дело не только в настройках программы. к примеру у меня все убогие компы по тегам сортируются в отдельную группу, и на них применяются ослабленные до минимума политики. и все равно тормоза заметны. проводил опыты по поводу замены процессора с 1.1 туалатина на 1.0 копермайн и обратно. разница в скорости просто поражает. до этого такой значительной разницы не замечал ни на одном приложении.

ну и конечно же разница в скорости между 8.7 без патчей и им-же со вторым, заметна.