» Корпоративные продукты McAfee / Networks Associates (NAI) II

При входе в систему и в процесе применения Group Policy я получаю в логах VirusScan записи подобные этим:

Would be blocked by Access Protection rule (rule is currently not enforced)     NT AUTHORITY\SYSTEM    C:\WINDOWS\System32\svchost.exe    \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\NWCWorkstation\Parameters\ServiceLogon\000000000009b349    Common Maximum Protection:Prevent programs registering as a service    Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced)     MyDomain\MyUserName C:\WINDOWS\system32\svchost.exe    \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer    Common Standard Protection:Protect Internet Explorer settings    Action blocked : Write

Правильно ли будет добавить svchost.exe в Processes to exclude в правилах
Common Standard Protection:Protect Internet Explorer settings и
Common Maximum Protection:Prevent programs registering as a service

или нужно действовать по другому?
Можно ли разрешить svchost.exe изменять только определенные ключи в реестре?

Всем предлагаю обсудить продукт McAfee Device Control.
Если кто-то юзает эту вещь, то поделитесь опытом, а ещё лучше, русским мануалом.
Или подскажите тему, где это обсуждается.

Zuh
Да уже по несколько раз все ребутил.
А по поводу другого админа: я ведь захожу не через консоль а через IE или FF и даже ничего не выводится, только The requested resource (/) is not available
Думаю перейти на ePO4.0 может стартанется тогда.

Всем спасибо! Все решилось установкой на сервер ePO 4.0
Ещё раз всех благодарю, в частности г-на Zuh!

Люди, а всё-таки, что там по McAfee Device Control ???

shukurov

Цитата:

Думаю перейти на ePO4.0 может стартанется тогда.

Думаю для начала нужно мануалы читать, где черным по белому написано, что ePo 3.x.x управляется только через админскую консоль, которая устанавливается отдельно, либо вместе с сервером в процессе установки ePo/ На нем нет и никогда небыло WEB админконсоли, она появилась только на 4 версии.

DLP устанавливал и конфигурировал десятка полтора раз для разных клиентов.
Если есть конкретные вопросы, постораюсь ответить.

Кто подскажет как сэкспортировать список исключений rogue system detection с оркестратора 3.6?

Кто сталкивался с инсталляцией агента с консоли на другие компьютеры в других подсетях? Пока выходит что бы подключить их к серверу надо вручную инсталлить их. RSD показывает что компы есть, а вот при инсталле когда указываешь домен учетку и пароль - выходить что не видит комп. Синтаксис непонятен ему или что?

Добавлено:
to SergeyCVS
Может вы прокомментируете куда надо нажать, чтобы заработала удаленная установка?

Добавление к сообщению от shukurov

Задача такова: Подцепить машины к себе в дерево еРО из совершенно другого домена (соотв. с другой подсетью) и заинсталить агентов + VSE. Пол дела есть: машины видим с помощью RSD, которым слил нам всю инфу от сенсора с машинами другого домена. В дерево тоже добавили в другую группу под названием чужого домена, теперь не инсталится агент, учетная запись и пароль того !!!домен админа!!! нам известна, что может быть?

ERROR
Failed to authenticate with remote system, system error: The network path was not found.

Сервак видит МАС адрес и IP машины, а также Host name жулика, но не деплоится агент!
Понятно, что сервер не видит этой машины у себя в сети, где он сам и находиться, но... по идеи он должен как-то это замутить. Как вы думаете, кто пробовал?

если что, то ждем ответа от саппорта...

Для того чтобы "Deploy agent" работал необходимо следующее:
1. Открытые порты NetBIOS от ePO к удалённой машине (TCP 139 and 445, UDP 137 and 138)
2. Права локалного администратора на удалённой машине. Если машина в другом домайне, оптимально исползовать Domain admin, если в workgroup то пишем в поле "Domain" точку "." без кавычек и используем локалного админа.
3. Если машина в workgroup, по дефолту включен "Simple file Sharing" непозволяющий подключадся к шерам удаллённо. Его надо отменить.

Это всё, удачи

Guest88
Это вы мне? Больше ничего не придумали? Как вы думаете, я этого не знаю? Только без обид!
В своем домене эта машина работает под управлением своего еРО, а как заставить работать под управлением другого еРО с другого домена?

Извините Rossiyanka, вы наверное "Tier 3 Support engineer" в McAfee.
А поделу: другой домайн - другие Name Servers. Следовательно надо на ePO сервере добавить аддресс DNS сервера из нового домайна и его DNS Suffix в свойствах TCP/IP. Тогда ePO будет знать ккому обращаться для аuthentication.

Народ, буквально дня 4 назад перестали приходить запросы от клиентов. В логах клиентов пишется что не может найти репозитарий. Последний таск pull`а не выполнился. Сейчас еще сильнее заглючило - захожу на веб страницу, раньше сразу окошко со вводом пароля появлялось, сейчас же просто висит ярлык Mcafee, нажимаю на него, что-то начинает грузится и так и повисает. Никто не сталкивался с этим? Делал pull now, доходит до выбора package и все, и выбрать отдельные пакеты не дает, и на следующую вкладку не переходит....снова как быдто что-то грузится.

Как то смог зайти в config. Database port должен быть 1041? Учетка введена та, под которой захожу на сервак (правда странно, указываю юзера, домен, делаю тест соединения - пишет fail for user "". Затем ввожу пароль - тест успешный. Делаю применить, перестартовываю службы, снова захожу в конфиг - опять поля с паролем пустые). Есть предположения, что почему-то перестало подрубаться к базе mcafee. В SQL в Logins есть моя учетка с правами админа и для неё же стоит галочка на базе ePO. Режим авторизации - mixed.

После перезагрузки сервака в логах были ошибки - Login failed for user '' (я думаю из-за того что не сохраняется пароль) и SQL Server is not ready to accept new client connections. Wait a few minutes before trying again.

Пользователь, под которым я захожу на сервак - доменный. Попробовал через osql подрубиться к серверу osql -S -U domain\user -P pass - вернул ошибку login fail. Пробовал прописать локального пользователя сервера - то же самое. Подключиться смог только под sa.

Может кто подскажет в какую сторону копать?

Guest88
Получается Вы меня не правильно поняли или я не правильно выразилась. Вобщем, все просто: есть один большой, главный и общий домен "Test0", а мы поддомены его т.е. "Test1" и "Test2", мы то его видим по DNS, все машинки пингуются между поддоменами и отображаются имена по DNS. Но мы в разных городах и соответсвенно в разных поддсетях. Как соединить машины из домена "Test2" в еРО домена "Test1". Вот и все! Есть мысли?

К моему вышенаписанному посту. Окошко с паролем появилось, захожу на веб-страницу. Wake-up одной машины делался 8(!) минут. В отчетах стоит результат выполнения complited, но дата отклика у этого компьютера стала не сегодняшней ,а осталась старой. В логах агента на клиенте часто встречается ошибка NaiInet error trace. Pull руками так и застревает на выборе пакетов.......

Здравствуйте коллеги! Сейчас используется ePo 3.6.1 Вопрос, стоит -ли переходить на 4-ку? У кого есть опыт сравнения? Спасибо..

yurl
Добрый день!
Я сам перешел с 3,6 на 4,0 буквально неделю назад, кстати чего и вам советую. ВОзможностей побольше, тормозов по сранению с предыдущей версией не заметил (скорее всего их нет) да и функционально - поудобнее. Так что я рад переходу на еРО 4.0!

Добавлено:
Serhi84
А в отчетах если кликнуть по отчету что пишет? То же что комплит или какие то ошибки?

shukurov
Rossiyanka
у меня все устанавливается.
для пробы попробуйте просто по ip адресу. если пойдет то проблема в настройках днс.
если нет. то гляньте нет ли ограничений на уровне маршрутизации.

Zuh
вы сделали через RDS? Мне кажется что именно McAfee чтото не видет. Потому что если заходить через винду набирая тупо \\ip\c$ то с вводом учетки домена все ок. Как через маккафи - то тишина, сетевой путь не найден пишет.

Zuh
у тебя именно через RDS устанавливается? Т.е. на машинки которые определились через сенсор из другой подсети, установился агент? Странно, вываливается выше написанная ошибка!

Rossiyanka
По поводу инсталла агентов в другую подсеть.
У меня тоже бывает такая ошибка, комп был внутри моей подсети, просто на нем маршрутизация чуть не такая была, альтернативный айпишник еще был прописан в определенных целях, соответственно роутами картинка была чуть другая, мне кажется надо выстроить роуты как-то по другому, сам пока не знаю что именно надо менять, вот хочу с цискарями пообщаться.
Может быть и прада какой-то порт рубится

shukurov
Rossiyanka
да именно.
но не понимаю зачем вы по одной машине ищете.
говорю же попробуйте для верности руками вписать вместо имени ip адрес.
если получится то проблема точно в днс.
я сделал по другому. для каждого домена создал контейнер из него сделал синхронизацию с нужным мне доменом. и имею список компов без дополнительно поиска.
вообщето проверьте настройки dhcp и dns серверов.
например я не знаю по какому имени обращается макафи, по нетбиос или по днс.
приведенном вами примере юнс путь использует нетбиос имя, а макафи может днс поэтому и не может найти адрес.

Не нашел на форуме:
Случайно нашел что на одном компьютере агент при инсталляции не установил VSE. Накатываю снова агента - результат тот же? Почему?
Второй момент: как мне сделать отчет по компьютерам где не установлен VSE либо как настроить такой репорт?
И третье: как создать отчет у каких компов старые обновления или какие компы вообще не обновляются по каким-либо причинам?


Добавлено:
Конфигурация: сервер еРО 4,0 и VSE 8.5.0i с 8 патчем.

Добавлено:
Пардон, первый вопрос снят. Установка VSE прошла успешно при повторной попытке, разбираюсь почему. Остальные два вопросы актуальны!

вышли бетки с поддержкой русского (агент и еРО) перевод хромает но отличия по интерфейсу от предыдущих значительные.

кто нибудь разбирался с работой супер агентов ?

можно как нить сделать что бы софт ставился не с сервака еРО и из удаленных репозиториев ?

Вот что у меня случилось может у кого еще такое и я не один ?

Update not found mcafee GroupShield for Lotus Domino v7

Product log пишет Update not found

в Dats
...\McAfee\GroupShield for Lotus Domino v7\bin\DATs

создается новая папка 5625.0000 с файлами

но в DashBoard пишет
Anti-Virus Engine | DAT Version | Extra Drivers 5200.2160 | 5192.0000 | 0 Monday, December 24, 2007

пробывал переустновить и обновить в результате тоже самое - не обновляется

Может есть у коко GSD 7.0 Patch 1 ?
вдруг поможет ?

Здравствуйте. Необходима консультация по MCAfee total protection for endpoint
Имеется следующая ситуация - Я студент одного образовательного учреждения. Необходимо разработать комплекс лабораторных работ по вышеназванному антивирусу. никогда раньше не имел опыта работы с подобными продуктами. Но как успел заметить русская документация отсутствует полностью.
Требуются совет бывалых людей с какой лучше стороны начинать работать с этим зверем.
Мимолетно прочитав один из мануалов я понял (поправьте если чтото нетак пишу)
На допустим вин 2003 сервак ставится ePolicy Orchestrator и через эту вещь потом можно будет добавить хосты и установить на них остальные компоненты - McAfee Host Intrusion Prevention, VirusScan Enterprise и т.д
С самих рабочих станций возможность конфигурирования как таковая отсутсвует?
Наиболее интересует правильность вышесказанных тезисов и совет в какой очередности рекомендуется изучать MCAfee total protection for endpoint.
буду чрезвычайно признателен любому откликнувшемуся человеку
P.s: имеется следующая литература
ePolicy Orchestrator 4.0
• ePolicy Orchestrator 4.0 Evaluation Guide
• ePolicy Orchestrator 4.0.2 Product Guide
• ePolicy Orchestrator 4.0 Installation Guide
VirusScan Enterprise 8.7i
• VirusScan Enterprise 8.7i Installation Guide
• VirusScan Enterprise 8.7i Product Guide
AntiSpyware Enterprise 8.7
• AntiSpyware Enterprise 8.7 Product Guide
McAfee Host Intrusion Prevention 7.0
• Host Intrusion Prevention 7.0.0 Installation Guide
• Adopting Host Intrusion Prevention - Best practices for quick success
• Host Intrusion Prevention 7.0.0 for ePO 4.0 Product Guide
McAfee Total Protection for Endpoint Lab Evaluation Guide 37
• SiteAdvisor Enterprise Plus 2.0 Product Guide
GroupShield 7.0 for Microsoft Exchange
• GroupShield 7.0.1 for Microsoft Exchange Best Practices Guide
• GroupShield 7.0 for Microsoft Exchange User Guide
• GroupShield 7.0.1 for Microsoft Exchange User Guide Addendum
GroupShield 7.0 for Lotus Domino
• GroupShield 7.0 for Lotus Domino - ePolicy Orchestrator - Configuration Guide
• GroupShield 7.0 for Lotus Domino - Installation Guide
• GroupShield 7.0 for Lotus Domino - Product Guide
• GroupShield 7.0 for Lotus Domino Best Practices Guide

Killputin
Ну так как конкретной задачи не поставлено

Цитата:

Необходимо разработать комплекс лабораторных работ по вышеназванному антивирусу.

То предлагаю помимо чтения указанной вами литературы поставить ещё данный софт и поюзать, скажем даже на виртуалке. Так как теория без практики мертва.

Добавлено:

Цитата:

С самих рабочих станций возможность конфигурирования как таковая отсутсвует?

Да, но все настройки определяются и затачиваются админом под себя.

Приветствую!

Не могу понять в чем проблема, стоит ePO 4.0.0 (Build 1113), клиенты VirusScan 8.5 и 8.0, установленные на серверах (2000 и 2003), подключенные к консоли, не наследуют никаких политик ни задач, хотя по логам агента (3.6.595) политики на продукты форсированы и отчетность с них собирается (в ePO видны версии продуктов на системе), а VirusScan-ы, выходит, работают сами по себе.

HelpAbout
На странице самих политик примените ваши настройки не только для Workstation но и для Servers тоже, или так тоже делали?