» Корпоративные продукты McAfee / Networks Associates (NAI) II

res2001,
Такая беда была при переходе с 8 на 8.5 VSE, помогало только решение загнать полностью папки windows/system и windows/system32 со всем содержимым в исключения, отдельные исключения, само собой, на admdl.dll, raddrv.dll, r_server и на папку radmin в програм файлсах.

От таких исключений конечно безопасность не идеальна.

а по поводу проблемы у Zuh хочу добавить что по наблюдениям моих коллег производительность падает от постоянного скана файлов модулем On-Access Scanner, может попробовать убрать галочку on-access scanning on system start Up и некоторые файловые расширения исключить из сканинга.

Rossiyanka, узнал.

Печально что при сессии агент-сервер он не распространяет датник в случае неактуальности, приходится таски задавать, причем 2 как минимум - на стартап и в рабочее время для тех кто не выключал машину на ночь. Может есть какая нибудь альтернатива? Не удобно еще в том отношении, что если срочно нужно обновить удаленно некоторые клиентские компьютеры (бывало и такое), то на него отдельно нужно настраивать таск на немедленное обновление, при этом нужно затратить определенно время, а так бы нажали wake up - проверил бы и обновил сам, было бы замечательно.

Кстати, как бы по-грамотнее настроить dashboard на основе queries? По дефолту мало queries нашел, вроде бы в 3.6 орчестраторе их больше было, типа top 10 вирусов и т.д.

res2001
по умолчанию проверка сетевых дисков архивов и эвристика отключены.
ок попробую 8.0
но я почитал что они тоже тормозят.
кто давно использует подскажите.

а каким образом ты добавляешь в исключения? если по имени файла то это плохой способ.
пробуй так VirusScan Enterprise 8.7.0 > Unwanted Programs Policies > имя политики>Specify exclusions by detection name.
дабавь RemAdm-RemoteAdmin у меня работает и ни каких нареканий. он на все версии радмина ругается одинаково хоть на 2х хоть на 3х

Zuh
У меня как раз там и добавлено, только имена файлов.
Сделал как ты сказал, посмотрю на его поведение.

У меня самая чахлая машина это Селерон 1200 с 256 метрами мозгов и Вин2000. Вирусскан 8.7 работает, особых тормозов не замечено.

res2001

как так имена файлов? работать не будет. по имени фалов в другом месте.
VirusScan Enterprise 8.7.0 > On-Access Default Processes Policies > имя> Exclusions
но этот способ имеет кучу недостатков. работает только для мониторинга. когда сканируешь эти исключения не работают.
а в Unwanted Programs Policies работает для любого модуля. и там же ясно пишут что добавлять в исключения нужно по имени которое детектирует вирусскан а он опредеяет радмин как RemAdm-RemoteAdmin.

showbegin

пасип, попробую поиграть настройками On-Access Scanner.

res2001

Цитата:

Есть такая тулзовина для удаленного администрирования RAdmin.
Макафи ессно ее пытается все время убить

Никогда не добавляла файлы удаленного администрирования в исключения, только убрала галку с remote administration tools в unwanted programs и все!
showbegin

Цитата:

Кстати, как бы по-грамотнее настроить dashboard на основе queries? По дефолту мало queries нашел, вроде бы в 3.6 орчестраторе их больше было, типа top 10 вирусов и т.д.

А они есть не в dashboard, а в reporting'e в самом внизу VSE: Top 10 Users with the Most Detections, изменить вид отчета, добавить/удалить колонки и запустить.

Zuh
Спасибо, твой совет работает!

Rossiyanka
Тож снимал - работает. Но эта галка действует сразу на все программы этого типа, а мне нужна только одна.

Rossiyanka


Цитата:

А они есть не в dashboard, а в reporting'e в самом внизу VSE: Top 10 Users with the Most Detections, изменить вид отчета, добавить/удалить колонки и запустить.

Не вижу, у меня в reporting - queries - my queries - пусто
в Public Queries только 3 запроса -

ePO: complience Summary
ePO: Distributed Repository Status
ePO: Malware Detection History

На виртуалке установлен Epo 4.5.0 Build 581.
Конфигурация Windows 2003 Server Ent SP2 R2, DC.

McAfee Agent Номер версии: 4.5.0.816
VirusScan Enterprise Номер версии: 8.7i

Добавил в репозитарий версию агента новее 868.

Вопросы:
1) Как правильно обновить на всех компах версию агента. Какое задание нужно нужно ему выставить?
2) Как заставить Epo устанавливать агента и антивирус на новые появившиеся компы в группе?

Заранее спасибо.

Коллеги есть вопрос.

Есть в одной сети сервак с ePO4. Задача перенести ePO с базой и всем репозиторием на другой сервер в этой же сети, а старый сервер убрать. ну и конечно клиентов на новый сервер ориентировать.
Кто имеет опыт как лучше сделать сие без последствий???

Цитата:

TitanMK

Коллеги есть вопрос.

Есть в одной сети сервак с ePO4. Задача перенести ePO с базой и всем репозиторием на другой сервер в этой же сети, а старый сервер убрать. ну и конечно клиентов на новый сервер ориентировать.
Кто имеет опыт как лучше сделать сие без последствий???

Имели такой опыт в случае перехода с ePO 3 на ePO 3.6 Просто на новый сервак вбили ip старого, причем новый был виртуальным адресом кластера, но не важно, после такой операции новый сервак принял всех клиентов как своих, единственное еще симпортировали базу данных SQL со старого.

Все вроде бы нормально стало, но это на свой страх и риск, грамотнее было бы со старого на новый:
1) импортировать БД
2) наполнить репозиторий
3) импортировать политики
4) импортировать клиенты
5) заново настроить задачи

showbegin
я сделал графики активности за день, за неделю, за месяц, топ20 пользователей, переделал некоторые встроенные например ePO: Compliance Summary он опускал всех кто не подключался более суток.
инструмент запросов мощный конечно. но не идеальный. есть недостатки. например не нашел как выставить локальное время в графиках вирусной активности.

делается просто. создаешь новый через мастера. а чтобы можно было добавить в Dashboards надо перенести из My Queries в паблик. делается кнопкой майк паблик. и все

Rossiyanka
именно у нас очень много деятелей с шаловливыми ручками. если им эту дырку оставить то начнется нечто ужасное.

res2001
хорошо

d454
у меня агент устанавливается автоматом только при синхронизации контейнера с активным каталогом. в других случаях пуш метод.

TitanMK
сам не пробовал но насколько я понял банально перустановить агента с нового сервака и все привяжется к новому. думаю проблем не будет выбрать всех и сделать пуш инсталляцию. только надо обязательно поставить галку Force installation over existing version тогда он переориентирует на новый сервак. а сам епо я так понял надо будет настраивать по новой.
п.с. если не правильно понял поправьте.

назрел вопрос.
динамическое членство в контейнерах это замечательно. но немного удручает узость создания тэгов. можно выбирать только по особенностям железа или ос.
есть непонятные поля критериев кастом 1 кастом 2 и т.д. ни кто не знает к чему они относятся?

вопрос по синхронизации.

у меня структура контейнеров по разным критериям. синхронизация настроена на один контейнер. при добавлении компьютера в активный каталог все происходит как нельзя лучше, происходит инсталл агента, и дальше комп подхватывается автоматической сортировкой в зависимости от тегов, и замечательно курсирует по контейнерам в зависимости от обстоятельств. тут все ок. а вот если из активного каталога удалить компьютер то при синхронизации он удаляется если находится в том же контейнере на который настроена синхронизация, но остается в других контейнерах. как это обойти?
неужели надо настраивать на каждый контейнер синхронизацию для удаления?

вот значит как у меня сделано:
После синхронизации появились в группе 2 компа, написано НЕУПРАВЛЯЕМЫЕ:


затем В заданиях стоит так:





А в группе стоит синхронизация с AD, где отмечено галочкой:

Внедрить агент в новые системы во время их обнаружения
Внедрить параметры: Настроено

но при этом все равно ничего не происходит =\

КАк быть?

d454
автоматический инсталл агента происходит из задачи синхронизации, а на скринах обычная задача для компьютеров с уже установленным агентом.

Я зашел в группу, там
     Тип синхронизации: Active Directory sk Нажимаю "Изменить "
Выбираю тип синхронизации : AD пишу логин и пароль к домену
Выбираю "Переместить системы из текущего расположения дерева систем в синхронизированную группу "
И ставлю галку " Внедрить агент в новые системы во время их обнаружения "
И настраиваю параметры внедрения, тоже AD и логин пароль к нему.

вроде там? иль я не прав?

d454
прав но не совсем точно. надо указать с каким контейнером в активном каталоге будет синхронизация.
у тебя вообще после синхронизации новые компьютеры в группе появляются?
попробуй вручную. глянь логи что пишет после синхронизации. если все ок то настраивай автоматизацию.
да и еще. те компьютеры которые уже есть в группе на них не распространяется автоматический инсталл агента. даже если у них агента и нет. только на вновь добавляемые компьютеры.

Цитата:

d454
прав но не совсем точно. надо указать с каким контейнером в активном каталоге будет синхронизация.

Да, вот синхронизируемый контейнер
OU=Test for install McAfee 8.7,OU=OIT,OU=Root,DC=sk,DC=corp

После синхронизации новые компьютеры в группе появляются

буду дальше копаться..

Добрый день!
Гуру, подскажите пожалуйста, вот если нужно определенной группе компьютеров добавить в правило Access Protection какой-то процесс. Как правильно будет - сделать для этой группы компьютеров отдельную политику или добавить новый ТЭГ и делать исключение в MyDeafult политике для этого ТЭГа? Т.е. вообще когда лучше использовать теги, а когда раздельные политики?

кто нить работал с еРО 4.0 ? есть ли где нить русские маны ?

avk1811

а как на теги навешивать политику ?

avk1811
а теги не добавляются в политику, по умолчанию сервер и воркстейшн.
Rex Pirr
методом тыка и читая форум.

Цитата:

кто нить работал с еРО 4.0 ? есть ли где нить русские маны ?

вот я сейчас на версии 4.5.0 билд 581 русский интерфейс ввключен. но бета версия. мануалок нет на русском

Добавлено:
вот у меня агенты не устанавливаются =\
на компьютерах в логах пишет просто - установка макафи агент провалена.
когда попробовал поставить в ручную, выдал следующее:
"error transforms. verify that the specified transform paths", на русской винде сказал так:
"ошибка преобразования проверьте правильность путей преобразования"

ничего пока внятного не нашел.

d454
вот надо было начинать с того что и в ручную не ставится.
а служба удаленного реестра включена? пользователь имеет права к темповым папкам но не к своим а винды т.е. %виндир%\темп. какие права у пользователя на компе. какие права у пользователя от которого выполняется инсталяция. служба файрвола выключена на компе?
скрытые локальные шары адм ц и т.д. включены? на винтуке запущена служба ранас? а на хр вторичный вход в систему?
у тебя компы в домене или нет? если нет отключи гостевой доступ и дай админу миниум пароль из трех символов.

зайди в темповую папку винды и глянь папку макафи в ней логи изучи их. там обычно пишется код ошибки винды. по нему многое будет понятно.

погодь а в ручную т.е. ты запускаешь инсталлятор прямо на машине? а как ты будешь в таком случае привязывать его к серваку?

Добрый вечер. Пришёл в новый офис, на данный момент нужно разобраться с EPO4, пользователи жалуются на то что компьютеры сильно тормазят из за вирус скана 8.5 и 8.7 и действительно, не знаю почему но процессы антивируса много ресурсов жрут...постоянно, особенно svhost которые был вызван антивирусом. (слышал тут был разговор похожий про сетевые диски)

Планирую переустановить EPO на другом сервере. Всё с нуля. Отсюда вопрос.

Подскажите, какие первоначальные настройки нужно сделать в EPO, а так же какие правила задать? Установка еро не проблема, компьютеры и агенты я так же установлю... А вот оптимизация (и автоматизация).... что бы работало всё гладко и не тормзаило... это уже проблема....

Помогите пожалуйста. Спасибо!

Цитата:

Zuh

Итак:
1. Все компы в домене. Пользователь имеет права локального админа на своем компе.
2. У меня права локального админа, установка идет от моего имени.
3. Служба удаленного реестра включена
4. Вторичный вход в систему включен
5. Локальные шары Admic$, C$, D$, IPC$ включены
6. Фаервол виндоус выключен, а служба работает. Хотя ведь на 4 компа агенты и антивирусы установились!!

По поводу моей ручной установки:
Я зашел на расшаренную папку сервера Epo и запустил из репозитария файл - FramePkg.exe, который и выдал "Ошибку преобразования". Просто хотел проверить установится он или нет.
и вот здесь выложил логи:
Файл FrmInst_P404XPP02.log
Файл FrmInst_P404XPP02_error.log
Файл MFEagent.msi.2009.04.29.15.00.48.log
Файлы по 9-8 кб.

Добавлено:
bombording
можно попробовать отключить проверку сетевых дисков, проверку архивов, которые больше чем Столько то Мегабайт. исключить проверку баз данных.
больше на ум ничего не приходит.

bombording
Какой смысл в переустановке сервера? От этого на клиентских компах быстрее работать не будет.
Но если очень надо, то смотри настройки на старом и сделай такие же на новом.

d454
в логах же ясно указана ошибка 1624 вот по ней ищи. в нете полно ссылок на эту ошибку инсталлятора msi.

и второе а что появляется на машине когда ты пытаешься установить с консоли сервера? удали все логи, инсталляционные пакеты с папки C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\Current\

хм.... Не могу поставить EPO 4. До этого на сервере уже стояла epo 4 и была удалена.
Где то в конце установки происходит сбой какой то и затем идёт откат установки....
В логе EPO450-Install-MSI.LOG ничего много говорящего об ошибке нет. Вот что насторожило...

Property(S): UPGRADING = 0
Property(S): UnableToRemoveDatabase = Программе установки не удалось удалить базу данных в части процесса отмены установки.
Property(S): RecacheTransforms = C:\Documents and Settings\Администратор.DOMEN\Рабочий стол\ePO_450_Beta3_627_7\1049.mst
Property(S): UpdatingCoreInstallProperties = Обновление файла ядра install.properties.
Property(S): UpdatingePOInstallProperties = Обновление файла ePO install.properties.
..................
Property(S): UPGRADING = 0
Property(S): UnableToRemoveDatabase = Программе установки не удалось удалить базу данных в части процесса отмены установки.
Property(S): RecacheTransforms = C:\Documents and Settings\Администратор.AIN\Рабочий стол\ePO_450_Beta3_627_7\1049.mst
Property(S): UpdatingCoreInstallProperties = Обновление файла ядра install.properties.
............
Property(S): Prod_InstallEpoCoreRollback = **********
Property(S): ProductToBeRegistered = 1
MSI (s) (F8:D8) [15:32:08:171]: Note: 1: 1708
MSI (s) (F8:D8) [15:32:08:171]: Transforming table Error.

MSI (s) (F8:D8) [15:32:08:171]: Transforming table Error.

MSI (s) (F8:D8) [15:32:08:171]: Продукт: McAfee ePolicy Orchestrator -- Сбой операции установки.

MSI (s) (F8:D8) [15:32:08:171]: Attempting to delete file C:\WINDOWS\Installer\545c2df.mst
MSI (s) (F8:D8) [15:32:08:187]: Cleaning up uninstalled install packages, if any exist
MSI (s) (F8:D8) [15:32:08:187]: MainEngineThread is returning 1602
MSI (s) (F8:50) [15:32:08:187]: Destroying RemoteAPI object.
MSI (s) (F8:9C) [15:32:08:187]: Custom Action Manager thread ending.
=== Запись журнала остановлена: 29.04.2009 15:32:08 ===
MSI (c) (64:A0) [15:32:08:203]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied. Counter after decrement: -1
MSI (c) (64:A0) [15:32:08:203]: MainEngineThread is returning 1602
=== Verbose logging stopped: 29.04.2009 15:32:08 ===

Ошибка 1624 "error transforms. verify that the specified transform paths" -
Ошибка применения преобразований. Проверьте правильности путей указанных преобразований.
Все просто: для установки агента версии 4.5.0.868 нужен windows installer 4.5, а у нас везде 3-ка стояла.
Установил 4.5 и пошло поехало.

Вопрос установлены на сервере ePO 3.6.1 а на клиентах VSE 8.5.0i не получается зайти на https://localhost:8443 хотя если набирать в адресе https://antivirus:8443/webui/start.jsp то выходит окно web коноли маккафи с надписью Your session has expired. Please close and restart the ePolicy Orchestrator console. Насколько я понял - это не стартует Томсат, как мне его запустить?
Спасибо!

Добавлено:
https://localhost:8443 следует рассмматривать как https://antivirus:8443 и наоборот, так как проверял в обоих случаях.

shukurov
а службы ребутить в сервисах не пробовал?
а другим админом не пробовал подрубиться?