» Корпоративные продукты McAfee / Networks Associates (NAI) II

julia4
После того как добавила хотфикс в мастер-репозиторий не нужно больше ничего делать.
Хотфикс - это не отдельный продукт.
В зависимости от политик, при следующем обновлении на рабочей станции агент сам запросит доступные патчи/обновления для установленных продуктов (VSE), сам скачает, сам установит.

агенты стоят на машинах с XP сервер 2003, аенты видит, но IP везде показывает 127.0.0.1 , домен там же где стоит еРО 4.5, обновление агентов не дает : "Эти системы не поддерживают функцию "Обновить сейчас": с систем где стоят агенты связь без перерывов. Вопрос откуда аент берет IP etc/hosts вписал адреса а все равно не видит. и еще где у еРО подключение к конкретному DNS серверу, есть только участок подсети, может отсюда грабли?

Motocop

Да нету у ePO "подключение к конкретному DNS серверу", все настройки берутся из параметров сетевого адаптера. Можно посмотреть и в эту сторону - возможны грабли в сети. Да, на сколько я помню, не рекомендуется ставить еРО на контроллер домена. Об этом в доке было написано, во всяком случае в доке на 3.6 Не думаю, что требования к 4.5 изменились

Motocop

Функция "Обновить сейчас" работает только начиная с версии агента 4.5
Ваши агенты судя по описанию не зарегистрировались на ePO сервере.
Агент ищет сервер по трём параметрам в следующей последовательности: IP Address, FQDN, NetBios Name.
Но впевый раз регисрация возможна телько по IP аддресу (если не изменяет память).
Возможно вы сменили IP серверу после установки ePO?
Если да, то необходимо создать пакет установки агента заново.
Для этого идём в ...\Program Files\Mcafee\Epolicy Orchestrator\DB\Software\Current\EPOAGENT3000\Install\0409
и удаляем два фаила: framepkg.exe и framework.z
После этого перстартуем сервисы ePO.

Расскажите про ID

Короче, новая напасть:
у меня винда на десятке компов реставрирована с одного имаджа.
после инсталляции агента EPO видит не все компы, и устроил чехарду.

julia4

Цитата:

Расскажите про ID

Расскажи сначала про свою сеть, раб группа, или домен, а потом уже все остальное.

julia4
У самого была такая беда. Лечил (гарантированно) следующим способом: удаляешь Макафу, руками деинсталлируешь агента (\Program Files\Mcafee\CommonFramework
FrmInst.exe /remove=agent). Ребут. После этого хорошо бы еще почистить следы от Макафы утилиткой от NAI (MCPR.exe, есть в варезнике). После перезагрузки машина чистая. Накатываешь на нее агент через еРО и ставишь Макафу. Повторюсь - это полный путь починки. Возможно и другое решение, но мне помогло только это, проверил..

julia4

ID или Agent GUID хранится в регистре windows.
Отройте regedit на проблемных станциях и в ветке HKLM\Software\Network Associates\ePolicy Orcestrator\Agent
удалите ключ AgentGUID.
Его необходимо именно удалить а не обнолить!!
После этого рестарт сервису McAfee Framework или ребут.
И всё будет ОК.

julia4
То, что описал Guest88 также можно почитать здесь:
https://kc.mcafee.com/corporate/index?page=content&id=KB56086&actp=search&searchid=1267697834919

Цитата:

Возникла новая проблема:
Потребовалось на компы ставить Aгенты45 и VSE87 вручную.

Если проблема еще актуальна, могу написать подробную инструкцию
по инсталляции агента и антивируса.

стоит VirusscanEnterprise 8.5i.

Как сделать так, чтобы перед удалением или перемещением в карантин он всегда спрашивал у пользователя разрешения на данное действие? Можно ли это сделать?

mistx
можно но с оговорками.
в политике On-Access General Policies в вкладке Messages ставите галку напротив
Show the messages dialog box when a threat is detected and display the specified text in the message.
это включает папап
выбор действий включается тут же
Remove messages from the list
Clean files
Delete files
но при этом в любом случае файл будет удалятся. чтобы этого не происходило в политике On-Access Default Processes Policies в вкладке Actions устанавливаете нужные вам параметры.
даже после этого все будет работать возможно не так как вам этого хотелось бы.
ну и как показывает практика, лучше не давать пользователям возможности выбора.

Zuh
благодарю. все понятно.


Цитата:

ну и как показывает практика, лучше не давать пользователям возможности выбора.

полностью согласен.

Коллеги, а не подскажете - как понять с какого конкретно Rogue-сенсора пришла информация о найденном ПК?

MEHb
стоит попробовать автоматические ответы. возможно при обнаружении и будет указано кто обнаружил, а в уже обнаруженных я думаю никак.
но с другой стороны в каждой подсети не так много сенсоров.

А что есть "автоматические ответы"?

есть n подсетей. в одной из них кто-то в рамках одного броадкастового сегмента поднял свою левую подсеть со своими левыми IP-адресами, и какой-то сенсор эту подсеть со всеми компами нашел.
я хочу найти в какой же подсети это произошло, чтобы поймать злоумышленника

Подскажите, стоит ePO4.5 скормил ему Path 2 для McAfee VirusScan 8.7
Но почему то на старые клиенты он не накатывается, а если новый клиент появляется то на него ставиться VirusScan 8.7 с патчем 2
И второй вопрос, на новых клиентах почему то в параметре "Состояние лицензии" стоит "оценка"
Лицензий куплено 101 - по факту пока 67 клиентов.

Добавлено:
Да, забыл сказать. В задачах клиента стоят галочки
Исправления и пакеты обновления:
ePO Agent Key Updater 4.5.0
VirusScan Enterprise 8.7.0

Тоже по ePO 4.5 вопрос. Хотел сделать клиентскую задачу чтобы сервер проверял версию установленного на клиенте пакета, и, если она не 8,5 и не 8,7 - принудительно его устанавливал. Думал что мне помогут теги, но там слишком мало критериев отбора. Как-нибудь можно расширить фильтрацию по тегам? Или есть какой-то другой способ?

ePO 4.0 + DLP 9
проблемма удаленного администрирования DLP

Локально на сервере закладка DLP Policies открывается без проблем.

Удаленно - первый раз запрашивает ActiveX, разрешаешь, а потом только голое окошко и
"Please reopen this page in order to see its content. If this message is still shown, contact your administrator."

NickolayUA

Если для удалённого доступа вы используете Windows 7 или Vista, запускайте браузер с ePO через "Run as Administrator".

Цитата:

проблемма удаленного администрирования DLP

Проблема решилась: на ПК удаленного администрирования необходимо ручками установить DLPManagementTools.
Инсталяция зарыта в HDLP_Extension_9_0_0_403.zip, там еще запаковано в cab-файле: webapp\dlp.cab

не получается поставить ePolicy Orchestrator 4,5 п1

скрин ошибки прилагаю.



в чем может быть проблема ?

спасибо

j0nny
Создай другого пользователя с правами админа и ставь из под него. Инсталляшка не любит учетку "Administrator" да еще и на русском.

brassnet
спасибо

1)на Windows Server 2008 R2 x64 ePolicy Orchestrator 4,5 п1 не ставится ?

2) при запуске с ярлыка ePolicy Orchestrator 4,5 п1 получаю следующую ошибку



как исправить ?

j0nny
И в чем проблема? Где написано, что оно не встало?
Жмакай продолжить и работай

Все-таки NAI решили проблему агента 4.5 и VSE в трее. Последняя версия VSEp3 с хотфиксом для агента 4.5 нормально работают.

Столкнулся с проблемой назначения SuperAgent-ом сервера под управление Windows Server 2008 R2 x64,
конфигурация такая: ePolicy Orchestrator 4.0 на самом сервере McAfee Agent 4.0.0.1494 patch 3, Product Coverage Reports 4.0.0.1494, VirusScan Enterprise 8.7.0.570.Srv, AntiSpyware 8.7.0.129. Каталог под репозиторий на сервере создается, а вот репликация не происходит.В логах агента ошибок нет. Может кто сталкивался с данной проблемой?

Возможно этот репозиторий не указан в списке реплицируемых ? Посмотри в этом направлении..

Silencer62
В том то и дело, что этот сервер не появляется в списке доступных репозиториев. Политика по конвертированию в SuperAgent не полностью, почему то отрабатывается.

Хм... Загадочно.. Возможно не создался суперагент, как таковой, или не стоит галка "использовать суперагент как распределенный репозиторий". У меня была трабла, когда сервер находился на очень медленном канале и долго агент не мог преобразоваться в Суперагент. Но потом все пошло на ура..