» Корпоративные продукты McAfee / Networks Associates (NAI) II

Canonier

Всё правильно, НО:

1. Для того чтобы DLP client начал работать необходимо выполнить ребут после его установки.
2. Любые изменения в Agent global policy вступают всилу после Logoff/Loggon или ребута.
3.Стоит также проверить включены ли все Handlers.
4. После конфигурирования полиси, нажимаем кнопку "Apply".
5. DLP полиси накладываются на компютеры или узеров/узер групы. Поэтому либо в Reaction Rule указывайте юзера / группу, либо после нажатия "Apply" идём в "Policy catalog" и создаём "User assignment Policy" вкотором выбираем нужные rules и присваеваем policy группе или компютеру с установленным DLP client. Затем делаем WakeUp клиенту (лучше дважды).

Всем привет !
После перехода на ePo 4.5 обнаружилась интересная картина: часть компов в домене перестали обнаруживаться орхестратором. В дереве они видны с пометкой "неуправляемый", при нажатии "проверка связи" вылетает сообщение о невозможности определения IP. При этом компы прекрасно отзываются на пинги и по имени и по адресу, т.е. DNS работает .... Почему орхестратор их не видит - не могу понять Может есть у кого идеи ?

Silencer62
у меня тоже у неуправляемых компов не определяется ip.
но они у меня никогда и не были управляемыми.
подозреваю функция обнаружения бесхозных компов как то влияет. не разбирался пока с ней.

другое дело что когда-то у тебя были управляемые а стали нет. попробуй накатить сверху агента.

Zuh
Заметил, что Вы уже давненько столкнулись с проблемой.
Проблема заключается в том, что скорее всего у вас разливался один и тот же имидж на проблемные раб. станции, и имидж был с уже интегрированным ePO агентом. В результате на всех раб. станциях сейчас один и тот же агентский GUID.
Таким образом, чтобы компы стали управляемыми, Вам надо удалить в реестре каждого проблемного компа параметр AgentGUID из ключика:
HKLM\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent
после чего перезапустить службу mcafeeframework.

Можете использовать батник:
netsvc mcafeeframework \\machinename /stop
reg delete "\\machinename\HKLM\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent" /v AgentGUID /f
netsvc mcafeeframework \\machinename /start

Это была большая проблема и не один год, а решение появилось в репозитории McAfee только 17 июня
https://kc.mcafee.com/corporate/index?page=content&id=KB56086

fomin

Цитата:

Проблема заключается в том, что скорее всего у вас разливался один и тот же имидж на проблемные раб. станции

Спасибо за подсказку, обязательно попробую Ваш метод лечения. Хотя у меня 99% машин подняты из имиджа, и после переустановки агента все работает, как часы. Но ведь проблема в том, что орхестратор при проверке связи не видит сам комп ! И соответственно не может на него накатить по новой агент.

fomin
у меня проблем нет
то что у меня полно компов в сети неуправляемых так это уже издержки других факторов. никоим образом не относящихся к епо.
Silencer62
конечно и не сможет накатить через таски т.к. для оркестратора на этой машине агента нет.

Zuh

Цитата:

для оркестратора на этой машине агента нет

Согласен на все 100 %. Но даже при переустановке агента вручную на машине проблема не лечится, вот что обидно...

fomin

Цитата:

Это была большая проблема и не один год, а решение появилось в репозитории McAfee только 17 июня
https://kc.mcafee.com/corporate/index?page=content&id=KB56086

Неправда.
Описание проблемы дублирующих AgentGUID появилось в KB McAfee намного ранее.

Обратите внимание в конце статьи:
Previous Document ID
KB40636

К сожалению данный документ сейчас не доступен, но часть его приведена на форуме McAfee
http://forums.mcafeehelp.com/showthread.php?t=159168
(пост №2)
Дата поста - 10-18-2005, т.е. больше 3-х лет назад.

djkatso
Действительно, дата ссылки на статью относится аж к 2005г.
Тем более неприятно, что я и мой коллега трижды заводили инцнденты в техподдержке McAfee по этому поводу. Результат всегда был одинаков - через несколько дней issue получал статус completed и отправлялся в архив, при этом никакого решения нам не предлагалось, пока я сам случаянно на него не наткнулся.
Видимо, каков антивирус такова и техподдержка.

Silencer62

Цитата:

Но даже при переустановке агента вручную

это каким методом?

Zuh

Цитата:

это каким методом?

Да очень просто: средствами оркестратора создаешь FramePkg.exe, выкладываешь в любое доступное для компа место и запускаешь. Описано в мануале

Silencer62
ну я так и предположил.
а попробуй другим. прямо из оркестратора.
только обязательно отметь -развернуть агента поверх существующей версии.

Zuh

Цитата:

а попробуй другим. прямо из оркестратора

Нет такой возможности, увы... Оркестратор при проверке связа с компом пишет однозначно: Не удалось определить IP-адрес.

Silencer62
А с компа где оркестратор работает
nslookup <имя клиентского компа>
выдает правильный IP?

Еще как вариант можно в файле %systemroot%/system32/drivers/hosts прописать такие компы вручную.

Silencer62
у меня тоже пишет я проверял. и что из этого. но все равно епо разворачивает агентов замечательно.

res2001
IP выдается правильный, проверял неоднократно. С любой машины, в т.ч. и с сервера с оркестратором комп определяется правильно. Пугает другое - те компы, которые в ePo4 нормально определялись и были 100% управляемы, теперь для ePo недоступны.

Guest88

Цитата:

3.Стоит также проверить включены ли все Handlers.

Это что такое? Где найти?

Canonier

Agent Configuration -> Edit Global Agent Configuration -> Miscellaneous

Guest88
Странно. Все проверил, все соответствует, но ни черта не работает! (((((((

Добавлено:
Вот еще, что меня интересует:
Захожу в Tag Catalog
Там, где Workstation, пишет мне вот это
1 systems with tag
0 systems with tag applied by criteria
1 systems with tag applied manually
0 systems excluded from criteria-based tag application
Я выбираю свою рабочую станцию, нажимаю "Apply Tag", выбираю там Workstation, и получаю ответ: Applying tag... 3:18
Tag applied to 0 systems. No action taken on 1 systems

Это может быть связано с тем, что у меня ничего не работает?

Canonier

Начни с device blocking и наложи policy на компютеры.
Для начала попробуй зактыть что-нибудь простое: com/lpt ports, modems, floppy или флэшки.
Проверь что работает и двигайся дальше. Иногда после изменения policy необходимо выполнить WakeUp несколько раз.

Tagging немного из другой оперы - с DLP в данном случае не связан.
У тебя видимо ePO agent установлен только на один компютер с операционнной системой семейства Workstation ( Win XP, Vista, Win 2000 workstation). И он уже помечен тагом.

После перезагрузки сервера выдает такое сообщение при логоне в систему:
GROUPSHD6000 - Dependency EPOCore had initialization error
scp - Dependency EPOCore had initialization error
AvertAlerts - Dependency scheduler had initialization error
LYNXSHLDPARSER - Dependency core had initialization error
GSD7REPORTS - Dependency core had initialization error
SPAMKILR2100 - Dependency EPOCore had initialization error
VIRUSCANREPORTS - Dependency EPOCore had initialization error

Соответственно, залогиниться невозможно.



Как я понял, это связано с удалением учетной записи пользователя, под которой Mcafee логинился к базе данных. Суть вопроса - где можно поправить учетные данные, которые используются для SQL сервера?

Guest88
Можно поподробней?
Я, конечно, понимаю, что уже утомил, но я все равно ничего не понимаю! (((
Кстати, может быть есть по этой софтине какие-нибудь пошаговые инструкци? Где-нибудь на англоязычных сайтах, форумах? Я бы почитал. А то читаю Product Guide, пишут как сделать этот тэг, как тот, как сделать рул, все по отдельности, а каких-то конкретных примеров, чтобы создать что-то целостное и рабочее - нет.
Кстати, какие логи можно посмотреть из множества предложенных в McAfee? Может быть там что-то полезное?

Guest88

Цитата:

Начни с device blocking

А эта функция есть только в еРО4,5 или в еРО4,0 тоже есть? Если да - то как её включить?
Спасибо!

AlexVlg

https://127.0.0.1/core/config на сервере открывает панель редактирования коннекта к БД

коллеги вопрос.
у меня последнее время McAfee VirusScan Enterprise 8.7 перестал ловить авторановские трояны. Причем на многих машинах. Вроде глобально клиентов не конфигил давно. Самое интересное травиш антивирь на папочку говорит чистая, хотя там куча авторанов. Другие антивири видят. Самые элементарные автораны не хочет вычищать.
Базы новые. Обновляется постонянно все.
Куда копать?

TitanMK
На http://www.virustotal.com отправлял эти файлы? может это и не трояны. AntiSpyware модуль стоит, галочки в On-Access Scaner->all process везде стоят?

viktorchik
это точно вирусы. Обычные автораны, несколько модификаций. Ради тестов проверял разными тузлами, и на машинах с разными антивирями. antispyware стоит.
Да все настройке включены.
вот сижу копаю.

Вчера поставил McAfee ePolicy Archestrator 4.0.0. Пытаюсь добавить компьютеры из Active Directory, выбираю Systems>New Systems>Add systems to the current group (My Organization), but do not deploy agents. В поле Systems to add нажимаю Browse и в выпадающем списке Domain у меня не появляется мой домен. Может быть у кого-нибудь была такая проблема?

Цитата:

Domain у меня не появляется мой домен. Может быть у кого-нибудь была такая проблема?

А комп с ePo точно в домене?

Sansub

Install Patch 5 for ePO - one of resolved issues.