» Корпоративные продукты McAfee / Networks Associates (NAI) II

julia4

Тогда вам придётся разбить синхронизацию с AD и настрить её для отдельных контейнеров с разными настройками (толкать или не толкать агента).
Менее удобно но одноразово и отвечает требованиям.

Добрый день, коллеги !
Недавно столкнулся с неожиданной проблемой: перестал обновляться репозиторий на ePo 4.6.6. Сообщение об ошибке - Не удалось проверить пакет Current\VSCANDAT1000\7227.0000\DAT\0000
Обновить главный репозиторий (error.-2147467259)
В базе знаний похожего вроде не нашел. :( Может, кто-то сталкивался с такой проблемой ??

Silencer62

Попробуйте выполнить задачу "Pull Updates" и выложите пожалуйста лог "EpoAPSRV.log"
Находится в папке ..\McAfee\ePolicy Orchestrator\DB\Logs\

Guest88

Пока проблема решилась не совсем стандартным способом.. Запустил задачу на обновление репозитория, но не в текущую ветвь, а в предыдущую. Потом переместил её на место (т.е. в текущую).. Все получилось Посмотрим, как завтра обновится репозиторий... Но все равно - спасибо ! Если что пойдет не так - буду писать..

Сегодня утром проверил - все работает, как надо. Аж на душе легче стало

Снова что-то не так делаю:

в одном контейнере необходимо, чтобы при толкании агента автоматически инсталлировался антивирус.
агенты толкаются без проблем, после того как агент закинут и коммуницирует с сервером, также без проблем ставится антивирус.
client task инсталляции антивируса установила, но он при толкании агента не срабатывает.
нуждаюсь в помощи.

забыла добавить : на компах уже были установлены старый агент и антивирус

Julia4

Какая версия старого антивируса?
Deployment task для установки антивируса должен быть "Run immediately" и по возможности отмечен checkbox "Run every enforcement interval".
В момент подключения агента к ePO, агент потянет полиси и таски. Если таск определён "Run immediately", в течении 1-3 минут он начнёт выполнятся.

Guest88, спасибо.
сегодня по Вашим советам обновила две сотни компов.
осталась сотня ноутов, на которых работают сотрудники, которые " всегда в пути".

у руководства возникла следующая идея:
как только ноут, на котором установлены старый агент и старый антивирус, оказываются в сети, на них сразу-же толкается агент и устанавливается новый антивирус.

возможно-ли это и какую таску для этого написать нужно ???

--------------
например каждое утро еРО проверяет все компы в сети на наличие актуального агента, и если обнаруживает "старый" агент, сразу-же толкает новый, который за собой новый антивирус тянет.

Julia4

Если ваш старый ePO сервер ещё жив, вы можете "познакомить" его с новым ePO и использовать команду "Transfer system". При этом необязательно чтобы все клиенты зарегистрированные на старом ePO были online. После выполнения команды "Transfer", в базе данных клиент помечается как нуждающийся в переходе на другой ePO server. После его возвращения в сеть, он подключится к старому ePO и получит команду по пореходу.
Если старого ePO нет, можно использовать login script домэйна для проверки установленного агента или RSD сенсоры для выявления "чужих" машин и установки агента.

от " login script и RSD" решила пока отказаться.
попробовала загнать "Push Agent" в AD, которая у меня на самом верхнем уровне " Организация ".
все заработало.
Guest88, спасибо.

Установлен Mcafee VSE 8.8 и не работает Auto Update Windows 8, происходит постоянно ошибка, при отключение всех служб которые связанны с McAfee обновление проходит корректно, как быть люди дорогие помогите пожалуйста.

тоже прекратилось обновление 8.8 патч 1, писал что файл не найден и полный фэйл. Скачал 8.8 патч 3, обновилось все отлично, как быть тоже не знаю.

Всем доброго дня !
Столкнулся с непонятным моментом.. На Вин8.1 стоит VSE8.8p3. Начали исчезать кейгены, к которым у VSE странная тяга Всплывающих сообщений не было, обнаруживалось только по наличию файлов в папке "Карантин". На Вин7, при тех же настройках, сообщения были. Допускаю, что это проблемы одиночного компа.. Никто не сталкивался с такой проблемой ??

пытаюсь организовать "почтовое отправление":

Source IP addresses: 10.11.15.110 - IP "больного" компа
Source HostName: EХR225 - его адрес
Threat Names: FakeAlert-G - имя зловреда.

необходимо также указать папку ( с путем) откуда вирус был стерт.
к сожалению в установках автоматических ответов не нашла, подскажите плиз.

julia4
При настройке автоматических ответов (когда посылается письмо об угрозе) в тексте письма можно вставить переменную. Если мне память не изменяет, то вроде вот это - {listOfTargetFileName}. Но могу и ошибаться ;) Надо проверять

Silencer62

Спасибо, все работает.

новая проблема:


на рабочих станциях справа внизу среди прочих картинок имеется М - McAfee Status Monitor
на серверах такая картинка отсутствует.
как ее в установках активировать ???

julia4
McAfee Status Monitor ? А не McAfee Agent ? Если агент - убирается настройками политики для агента

Silencer62

ткните, плиз, где

в настройках агента нет деления на сервер и рабочую станцию

julia4
У меня эта политика накатывается на все машины в сети, не зависимо от того, сервер это или рабоч. станция. Можно проверить, какая политика применяется на серверах и в настройках поменять значение. McAfee Agent-> Общие->My Default-> чекбокс "Показывать значок McAfee на панели задач (только для Windows)"

Silencer62


у меня в настройках McAfee Agent-> Общие->My Default->
чекбокс "Показывать значок McAfee на панели задач (только для Windows)" установлен и для компов и для серверов
но все-равно его видно только на компах.


сейчас новая проблема, в принципе не мешает, но непонятна.

в политиках установлено: AUTORUN.INF блокировать как для рабочих станций , так и для серверов.
но почему-то копировать его на сервера я не могу ( логично), а на рабочие станции копируется, несмотря на запрет.
также после попытки копирования AUTORUN.INF на сервер, я получаю почту, что копирование невозможно (также логично),
но почта приходит не сразу , а в строго определенное время ( например в 9:06, 10:06 или например в 21:06).

julia4
"В чем сила, брат ?" © Сила - в настройках.. По поводу почты. В настройках есть такой параметр - как отсылать автоматические ответы. Там есть вариант "Запустить ответ для каждого события". Если надо ограничивать количество писем, то поставить галку в пункте "Регулирование" - Запускать ответ не более раза в "___" (промежуток времени). Что и как проверять при копировании тех же файлов (типа AUTORUN.INF) - все указывается в политиках защиты доступа для соотв. версии антивируса. И кстати.. На этом же окне слева вверху есть дроп-бокс "Настройка для". Там выбирается рабочая станция или сервер..

Silencer62


Цитата:

По поводу почты. В настройках есть такой параметр - как отсылать автоматические ответы. Там есть вариант "Запустить ответ для каждого события". Если надо ограничивать количество писем, то поставить галку в пункте "Регулирование" - Запускать ответ не более раза в "___" (промежуток времени). Что и как проверять при копировании тех же файлов (типа AUTORUN.INF) - все указывается в политиках защиты доступа для соотв. версии антивируса. На этом же окне слева вверху есть дроп-бокс "Настройка для". Там выбирается рабочая станция или сервер..

в " автоматических ответах" галка не стоит: инфа о вирусах присылается сразу, а AUTORUN.INF - раз в час.
зато в политиках для копирования AUTORUN.INF - галки стоят и для рабочих станций и для серверов

и еще, что означает в почте такое: "Threat Names: none"

julia4
Ну, даже и не знаю.. У меня именно так и настраивалось все.. Есть смысл еще покопаться.. Например сделать еще один автоматический ответ при срабатывании защиты доступа. А про "Threat Names: none".. Наверное антивирус говорит о том, что не смог классифицировать имя угрозы. Как-то так

Сейчас скачала VirusScan Enterprise 8.8.0 Patch 4

Буду ставить, поэтому снова головная боль и проблемы


http://s-download.mcafee.com/corporate/products/protected/VIRUSSCAN/MULTILINGUAL/V8.8/PATCH4/Patch4.htm?__gda__=1392823200_04ba6d9f41c3b1adc5be1f8acb9bc672&ext=.htm#unique_1


И агент новый тоже:

http://s-download.mcafee.com/corporate/products/protected/ePO/MA_480_Patch_02/Documentation/English/MA480P2_ReleaseNotes.html?__gda__=1392889200_0e9d39b6bcb742206cd5c78030d57a18&ext=.html

После прикручивания Patch 4 к еРО у юзеров начала вываливаться ошибка "переполнения буфера". Ошибки выскакивали только на Windows XP.

8.02.2014    15:01:37    Заблокировано защитой от переполнения буфера     Domain\User    C:\WINDOWS\Explorer.EXE:NTDLL.KiUserExceptionDispatcher::eb3056    ПБ:Образ ПБ:Записываемый
28.02.2014    15:01:38    Заблокировано защитой от переполнения буфера     Domain\User    C:\WINDOWS\Explorer.EXE:NTDLL.KiUserExceptionDispatcher::ea12a5    ПБ:Образ ПБ:Записываемый
28.02.2014    15:30:10    Заблокировано защитой от переполнения буфера     Domain\User    C:\Program Files\Adobe\Reader 10.0\Reader\AcroRd32.exe:NTDLL.KiUserExceptionDispatcher::34d3001    ПБ:Образ ПБ:Записываемый
28.02.2014    15:30:11    Заблокировано защитой от переполнения буфера     Domain\User    C:\WINDOWS\Explorer.EXE:NTDLL.KiUserExceptionDispatcher::ea12a5    ПБ:Образ ПБ:Записываемый
28.02.2014    15:30:12    Заблокировано защитой от переполнения буфера     Domain\User    C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE:NTDLL.KiUserExceptionDispatcher::20e3056    ПБ:Образ ПБ:Записываемый
28.02.2014    15:30:12    Заблокировано защитой от переполнения буфера     Domain\User    C:\Program Files\Adobe\Reader 10.0\Reader\AcroRd32.exe:NTDLL.KiUserExceptionDispatcher::10013001    ПБ:Образ ПБ:Записываемый
28.02.2014    15:30:12    Заблокировано защитой от переполнения буфера     Domain\User    C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE:NTDLL.KiUserExceptionDispatcher::10013056    ПБ:Образ ПБ:Записываемый
28.02.2014    15:30:17    Заблокировано защитой от переполнения буфера     Domain\User    C:\WINDOWS\Explorer.EXE:NTDLL.KiUserExceptionDispatcher::ea13ed    ПБ:Образ ПБ:Записываемый
28.02.2014    15:36:50    Заблокировано защитой от переполнения буфера     Domain\User    C:\WINDOWS\Explorer.EXE:NTDLL.KiUserExceptionDispatcher::1813056    ПБ:Образ ПБ:Записываемый
28.02.2014    15:36:50    Заблокировано защитой от переполнения буфера     Domain\User    C:\WINDOWS\Explorer.EXE:NTDLL.KiUserExceptionDispatcher::18012a5    ПБ:Образ ПБ:Записываемый

Проблема пока не решена... (((

( https://community.mcafee.com/thread/64526?start=0&tstart=0 ) - официальные проклятия Пача 4 )))

kogluk

у тебя ЕРО 5.01 или 5.10 ???

ты все 7 пакетов поставил ???

Install - Windows (Patch 4) 8.8.0.1247
Management Extension 8.8.0.368
VirusScan Enterprise Reports 1.2.0.236

Agent Install - Windows (Patch 2) 4.8.0.1500
Install - Windows (Patch 2, Embedded Credential) 4.8.0.1500
ePO Policy and Reporting Extension (Patch 2) 4.8.0.348
ePO Agent Key Updater (Patch 2) 4.8.0.1500

и как там с переполнением буфера ???
у меня во понедельник апдейт предполагается.

julia4

У меня еРО 4.6.6 (Build: 176)
Все пакеты установлены точно такие-же.
Как временная мера в настройках групповой политики Buffer overflow settings: (Настройки переполнения буфера )

Переключил настройки защиты с:
Режим защиты (Protection mode) на
Режим предупреждения (Warning mode ).

Убрал галку (Выводить диалоговое окно сообщений при обнаружении переполнения буфера )

Логи переполнения пишутся, народ перестал доставать )))

Всем привет!

Есть ePO 4.5, работает на Win 2003 x32.
Хочу обновить до актуальной версии ePO 5.1.0.
В документации прочитал, что мало того что нет поддержки Win 2003, дык еще и продукт теперь 64 разрядный. Т.е. по любому ставить на другой комп под другую ОСь.
Подскажите, как грамотно это сделать. Перетащить политики и все подключенные системы.

res2001, доброго времени суток.

https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24807/en_US/epo_510_ig_0-00_en-us.pdf

Страница 39

ProtectPoint
Уже делаю по этому документу, только на русском языке его нашел.
Правда там как-то так все написано, что не очень понятно подходит ли описанное к моей ситуации.