» Корпоративные продукты McAfee / Networks Associates (NAI) II

Zuh
В принципе мы практически согласились друг с другом
Я уже почти весь свой домен перевел на VSE8.7, остались только ноуты, которые не часто бывают в сети и снятые с вооружения компы, которые включаются очень редко и смысла их трогать я не вижу. По поводу тормозов... У меня в сети на 90 % системы однотипные (CPU, RAM, MB и т.д), так что при переходе на VSE8.7 им только легче стало.

Zuh

Каждый клиент отправляет DNS запросы самостоятельно.

Guest88
понял пасип. уже проверил. сейчас экспериментируем по поводу того что еще надо для этого. окромя запроса.
т.к. включение артемиса актально. живой пример. у нас в городе пошла эпидемия патчера, по типу салити но эта штуковина в отличие от последнего полностью зафлуживает канал в инет, ей сетки мало. поймали на другом предприятии. каспер проспал, выловился нодом. но нод его просто удаляет и не лечит. на следующий день каспер тоже. после остаются руины а не комп. детект макакой был только с артемисом. после обращения в лабораторию выслали экстрадат. так что сигнатура его и у нас ловит на ура. но прошла уже неделя а в основные базы он так и не внесен. когда вносят в базы сообщают письмом об этом. хотя с эстрадатом он нормально лечится. я отпралял им в паре с зараженым копию чистых файлов. сегодня пошли срабатывания на нашем предприятии, так что неделя уже практически получается вилка между срабатыванием эвристики и сигнатуры. а это много. надо активировать артемис.
Silencer62
хорошо вам. у нас такой зоопарк в марках и типах, мало не покажется.

Zuh
Кстати, боюсь соврать, но когда-то читал о возможности включения Artemis на VSE8.5. Вроде такая возможность есть - при соответствующей пляске с бубном. Ну, это если еще есть VSE8.5
добавлено:
И таки да, на предыдущей странице - ссылка на базу знаний McAfee


Цитата:

хорошо вам. у нас такой зоопарк в марках и типах, мало не покажется.

Хех, я за это 4 года боролся

ай нид хелп.
как добавить в репозиторий екстрадат файл количеством больше одного?

Такой вопрос. В сети есть развернуты ePo 3.6. Хочется на другом сервере поднять 4.5, потихоньку перетянуть туда клиентов, а старый похоронить.

Какие-то подводные камни есть?

altaranenco

Скорее всего будет много. ИМХО лучше этого не делать. Проще из 3.6 экспортировать политики ,если они очень наверченные. Если нет - ставь с нуля, будет легче

Zuh

Два "extra dat" фаила одновременно держать в репозитории невозможно.
Но можно скомбинировать два и более "extra dat" фила в один "Super Extra dat" и загрузить его.
Используйте этот линк:
hххps://www.webimmune.net/extra/getextra.aspx

Для поиска в БД необходимых "extra dats" испозуйте имя зловреда.

Приветствую всех!
Есть проблема, т.е. появилась...
Была в долгой коммандировке, сервера обновлялись по расписанию все ОК!
Юзеры принесли из дому безобидный вирус, который создает одноименные папки в папке с расширением *.ехе
если напр., была Новая папка, то в этой папке "Новая папка.ехе" и т.д. по всей машине, моя макака молчит, ловит тока паучок от доктора Веба или мескомягкий бесплатный антивирь. Что делать? Вирус передается по сети и через накопители. Спасибки за ответы, если будут...

Rossiyanka

Я думаю вам лучше сюда:
hxxps://www.webimmune.net/default.asp

Guest88
не все так безоблачно.
предыстория.
взялся за обслуживание одного маленького предприятия. сетка всего компов на 35-45. и натолкнулся на настоящую классическую зомби сеть.
на каждом компе по паре руткитов. несколько ботов по рассылке спама. примерная производительность 5-6 писем в минуту с каждого компа.
макака практически ничего не видит не только из-за руткитов. после того как дезактивируешь действия руткитов остается еще примерно около десятка разновидностей всякой заразы. причем одного руткита макака не знает.
все осложняется еще действием вируса патчера. т.к. он на ходу заражает екзешники удаленная установка практически не возможна.
итого у меня скопилось порядка десятка экстра дат файлов. причем с лаборатории прислали экстра даты не на все. жду.
все названия вирусов имеют вид Generic.TRA!07e36ef6734b ну или другой набор букв.
таких названий сайт не знает. мол не существует такого и все.
я так понимаю что экстра даты делаются из того что есть у них в базе. но это же смешно. вечером они все попадут в очередной дат файл. и период валидности у них до ближайшего обновления очередного дат файла.
отсылать начал им примерно 27го января. за все время в основную базу было добавлено всего три вируса. и слава богу патчер в том числе. за две недели вирусписатели сумели проапдейтить свои вирусы т.к. дата на некоторых файлах стоит первое февраля.
резюмирую. т.к. сетка в реальном предприятии то и отключение от инета и выключение всех компов не представляется возможным, лечение руками каждого компа примерно от 3 до 6 часов, т.е. очень долго. и это с учетом что это не основная моя работа.
существенно помогло бы добавление ВСЕХ экстрадатов к базе. но увы и ах реально это не возможно.

Вот что ответили:
McAfee Labs - Beaverton
Current Scan Engine Version:5400.1158
Current DAT Version:5887.0000
Thank you for your submission.

Analysis ID: 5795566
Name    Findings    Detection    Type    Extra
xxxxx xxxxx.exe    heuristic detection    beav-shellcode    Application    no

heuristic detection [ xxxxx xxxxx.exe ]
The file received may contain a potentially unwanted program or joke program. This potential threat was identified with our most powerful set of heuristic DAT drivers. Heuristic drivers can cause false-positive identifications, as such, this issue is being escalated to Avert Labs for a thorough review. You will be contacted through e-mail with the results of our analysis.

Rossiyanka
все правильно. теперь жди екстрадат файл, обычно часов в 17 00 по москве или с утра до 11 00 пришлют.
добавишь его к главному репизиторию и все. реплицируй репозитории и обновляй клиентов.
у обновленных клиентов в инфе о программе появится запись об эктрадат файле. как тлько эту сигнатуру добавят в общую базу запись пропадет.

Итак,как я уже писала, имеется сетка с старым EPO36 и компами, на которых установлен старый Agent и VSE85.
Поставила новый сервак с EPO45, с которого на компы ставится Agent45 и VSE87.
Все работает как часы ( спасибо Silencer62 )

Возникла новая проблема:
Потребовалось на компы ставить Aгенты45 и VSE87 вручную.
Скопировала отсюда c:\Program Files\McAfee\ePolicy Orchestrator\DB\Software\Current\
папки c:\Program Files\McAfee\ePolicy Orchestrator\DB\Software\Current\VIRUSCAN8700\
и c:\Program Files\McAfee\ePolicy Orchestrator\DB\Software\Current\EPOAGENT3000\
на локальную машину и попробовала запустить FramePkg.exe
после чего вроде все инсталлируется, но не работает трей.
после деинсталляции агента через FrmInst.exe /forceuninstall и повторной инсталляции агент встает, но это не решение.
вероятно возникают заморочки с деинсталляцией старого агента, но я решение найти не смогла.

И еще на машине со старым агентом я не могу деактивировать службы McAfee

julia4
попробуй покопать в направлении того что надо удалить все до переустановки агента. т.к. по умолчанию vse блокирует любые попытки локальных изменений. в том числе и обновление агента. удаленно же вроде прокатывает.
во всяком случае при удаленной установке агента есть галка принудительной установки поверх старых версий. у меня версии в таком случае обновлялись нормально.

Zuh
Рекомендую поступить примено так:
вариант 1: все компы, которые только можно, запустить с лайв CD под линуксом, настроить подключения к инету, и пусть работают. Паралельно, запустить сканер, чтоб из-под линуска отсканил их. Это может прокатить для тех, кто работает только в нете. Если еще и другие задачи решают, то сложнее, но кстати, если там скажем у тебя терминалка 1С - то с терминалом будет работать лучше чем под виндой.
вариант 2: запустить не с лайв СД. а установить линь, что несколько дольше возиться, но может быть проще потом
вариант 3: временная замена винчестеров(нужны винчестера) - отключаешь винд со злым вирусом, ставишь ОС в минимально требуемой комплектации, клиент работает, а в свободное или удобное для тебя время пытаешься бороться с вирусом.
вариант 4: сегментируешь сеть роутером, разрешаешь только то что необходимо, чтоб никакого лишнего обмена, и потом уже лечишь кусками свои компы.

Но самое лучшее, и даже может и простое и быстрое по времени - переустановка осей, тк ты будешь делать рутинную, но понятную операцию, и с понятным результатом, причем наверняка будешь уверен в результате, и наверняка сделаешь лучше, чем есть сейчас. А если еще хватит задора все оси забэкапить скажем акронисом, и записать на болванки, то после этого будешь админить свою сетку и в ус не дуть. А удаление вирусов с сети в твоем случае будет долгим, муторным, непонятным в процессе и не явными результатами.

РS: уверен, что ты и сам все эт понимаешь, но почему-то не мог не высказаться )

Проблемы с треем приняли угрожающий характер
Во-первых после "ручной" инсталляции агента и антивируса,
независимо от того, что и как было деинсталлировано перед установкой агента
при выклучении машина ненадолго зависает и идет сообщение, что трей не в порядке.
Во-вторых такая-же неприятность возникла на двух-трех компах,
на которых агент и антивирус были отапдейтованы "нормальным " способом.
нуждаюсь снова в помощи.

julia4
Если я правильно понимаю, проблема происходит в связке агент 4.5 и VSE 8.7repack2 ?

julia4
добавь этот патч в репозиторий обнови vse и будет счастье
хttps://kc.mcafee.com/resources/sites/MCAFEE/content/live/CORP_KNOWLEDGEBASE/67000/KB67118/en_US/VSE870HF517265.Zip

Zuh
Этот патч полностью проблему не решает. После его установки McTray.exe перестает вылетать с ошибкой, но значек McAfee не появляется. У меня на ХР-шных компах удалось добиться появления только значка агента в трее. На компах с Win7 в трее нет ничего - ни значка агента ни значка McAfee VSE. Поэтому пришлось вернуться на агент 4.0.

Цитата:

Если я правильно понимаю, проблема происходит в связке агент 4.5 и VSE 8.7repack2

да.
точнее декабрьская версия EPО, из которой вытягивается агент.
и VSE от 22.10.2009.

HOTFIX (от 15.10.2009) более старый чем VSE.

сейчас попробовала поставить вручную на комп со старым агентом и VSE85
сначала агент, потом VSE8.7SP2 и далее hotfix.
после установки VSE было сообщение об ошибке в трее,
а после хотфикса трей вообще умер.

Silencer62
julia4
странно все. никаких пропаданий значка из трея не замечено. везе стоит 4.5 за исключением 2к систем.

разница в датах обусловлена тем, что сперва выпустили патч, потом хотфикс а уж потом только версию с интегрированным патчем.

Zuh
М-да, софт подкидывает загадки. Но у меня повторяемость железная: с агентом 4.5 VSE8.7Repack2 и с последним хотфиксом в трее нет никаких значков VSE. Хотя и ошибок нет тоже. Хочу сегодня провести еще один эксперимент, уже с ХР SP3. На чистую машину поставлю агента и VSE8.7. Если будет интересно - отпишусь о результатах

Цитата:

добавь этот патч в репозиторий обнови vse

проблема с треем приняла угрожающий характер.
на всех машинах с VSE87 появилась эта бяка.
вручную проблема вроде-бы стала решаться.
а как с этим хотфиксом работать в репозитории. ???

разжуйте поподробнее пожалуйста.

julia4
точно так же как и со всеми остальными пакетами.
добавляешь пакет на входе. и он попадает в главный репозиторий. а дальше он уже сам реплицируется и разворачивается на клиентах.
напоминаю что этот хотфикс для vse т.е. на иконку в трее для агента он по идее влиять не должен. у vse своя иконка.
напишу про наблюдения по хотфиксам. за последний год их ставил несколько на разные баги, и за этот же год прошел эволюцию от 8.7 базового до второго патча. так вот если выходит патч который содержит установленные хотфиксы то хотфиксы эти сами удаляются из репозитория. т.е. актуальность патчей и хотфиксов отслеживается самим епо.
и еще на всякий случай, поглядите в полисах для агента и для vse стоит показывать иконку в трее? и думаю стоит в полисах выставить подробный лог на большее количество строк подрубиться по порту и глядеть логи что да как.

Цитата:

добавляешь пакет на входе. и он попадает в главный репозиторий. а дальше он уже сам реплицируется и разворачивается на клиентах.

а не будет-ли пакет в репозитории конфликтовать с пакетом VSE.
или по-проще : на клиентах должны разворачиваться 2 продукта:
VSE и Hotfix - не будет-ли Hotfix мешать установке VSE,
т.к. он по идее должен развертываться после антивируса.

julia4
Не будет. ePo сам разруливает что и когда устанавливать. Все будет ОК.

тогда на пальцах:
1. загоняю "hotfix".zip черeз software в репозиторий.
2. делаю новую таску, как сделала таску VSE.
3 и что дальше ???

у меня таска VSE рассылается "ежедневно" на все клиенты, на которых агент установлен, и если на клиенте еще VSE не установлен , то он автоматически инсталлируется.
а как быть с таской "hotfix" ?

julia4

Цитата:

а как быть с таской "hotfix" ?

Да никак. При обновлении из репозитория хотфикс подтянется автоматом. Можешь, если интересно, последить за этим процессом. Но поверь, хотфикс накатывается