» Корпоративные продукты McAfee / Networks Associates (NAI) II

Эта тема призвана помочь разобратся с продуктами cемейства McAfee Security для корпоративного сектора.
Первая часть этой темы: http://forum.ru-board.com/topic.cgi?forum=8&topic=10298#1

Русскоязычный сайт http://www.mcafee.ru/products/mcafee/

Англоязычный сайт http://www.mcafeesecurity.com/us/products/enterprise_productlist.asp

Англоязычный неофициальный форум http://forums.mcafeehelp.com/index.php?c=9&sid=ad384bef8e84a681c141b3fa941a24b5

PrimeSupport KnowledgeCenter http://mysupport.mcafee.com/Eservice/templatepage.aspx?sURL=3

Документация по продуктам https://mysupport.mcafee.com/eservice/productdocuments.aspx?strPage=2

---

смежные темы в варезнике:

McAfee ePolicy Orchestrator
McAfee VirusScan ч.1
McAfee VirusScan ч.2
McAfee Anti-Spyware Enterprise Module
McAfee GroupShield for Microsoft Exchange
McAfee GroupShield & SpamKiller for Lotus Domino
McAfee SecurityShield for Microsoft® ISA Server
McAfee Desktop FireWall
McAfee PortalShield 1.0
Anti-spam add-on for McAfee GroupShield for Exchange 6.0
McAfee Secure Content Management Appliances (SCM)
McAfee AVERT Stinger

---

Первая часть этой темы: http://forum.ru-board.com/topic.cgi?forum=8&topic=10298#1

Kwasti
У тебя что нетбиос установлен на компах?
Сноси его к черту.

McAfee Host Intrusion Prevension, кто подскажет как правильно сделать исключение в политиках HIP 7.0.3 оркестратора 4.0.

Имею домен, в нём кластер ePO 4, на него все и настроено, т.е. кластерные службы MSCL, MSDTC, SQL2005, ePO.

На оба узла кластера с установленной Win2003 server pro поставил VSE8.5 и и HIP 7 клиентов.

Так вот при переезде кластерной службы HIP политика Network IPS определяет UDP скан портов с узла от которого службы переезжали, и соответсвенно блокирует IP узла, конечно же рушаться кластерные службы а так же Publik intarface кластера становится недоступным.

Задача: настроить Exception на сигнатуру - скан портов UDP. Однако в Guide-ах на страничке где описывается создание rule of exception ничего подробно не описывается, не понятно что вбивать во вкладках правила users, Processes и т.д. Кто имеет опыт отзовитесь плиз или поделитесь линками где можно все это посмотреть

Цитата:

Kwasti
У тебя что нетбиос установлен на компах?
Сноси его к черту.

отдельно как протокол нетбиоса нет..
есть только нетбиос ч/з тсп/ип, но в таком виде он нужен для общения в домене


Добавлено:
сделал чтобы у пользователя висел значок McAfee
это агент ..
жму на ненм about и вижу лишь 3 проодукта.. а VirusScan Enterprise отсутствует..
это значит он не установился??
не вижу я чтобы он работал и в службах..

Kwasti
нетбиос не нужен ни для чего. голого ТЦПИП хватит для всех нужд.

Занчит вирусскана нет. Смотри политики.

так блин нету нетбиоса...
я же написал протокола как такового нет..

http://tr.invest72.ru/files/McAfee/lan.JPG

http://tr.invest72.ru/files/McAfee/Soft.JPG
http://tr.invest72.ru/files/McAfee/tasks.JPG
http://tr.invest72.ru/files/McAfee/Policies.JPG

политик все по умолчанию которые создались они и есть..я там ничего не менял кроме как значок агента вывел..

а использовать нетбиос ч/з тспип надо в любом случае иначе винда не будет работать в сетевом окружении и т.д...
смотри скриншот..

emx
Добавь, плз., в шапку ссылку на предыдущий тред.

Kwasti
Агент то у тебя поставился на рабочку или нет?
Если нет, скорее всего нет доступа к админским шарам C$, ADMIN$
Так же в XP должен быть выключен "Использовать простой общий доступ..." это в проводнике в меню вид->свойства папки->вид.

Проверить доступность админских шар можно в том же проводнике в строке адреса введи \\<имя компа или ИП адрес>\C$

Цитата:

Агент то у тебя поставился на рабочку или нет?
Если нет, скорее всего нет доступа к админским шарам C$, ADMIN$
Так же в XP должен быть выключен "Использовать простой общий доступ..." это в проводнике в меню вид->свойства папки->вид.

Проверить доступность админских шар можно в том же проводнике в строке адреса введи \\<имя компа или ИП адрес>\C$

да поставился..

ошибка возникает при команде wakeup
вот лог из репорта
4/17/09 12:19:30 PM Started: Deploying agents to 1 systems
4/17/09 12:19:30 PM Completed: Push agent to INVEST-IT22
4/17/09 12:19:32 PM Completed: Deploying agents to 1 systems (Deploy Agents)

4/17/09 12:19:48 PM Started: Waking up 1 agents
4/17/09 12:19:48 PM Failed: Wakeup agent INVEST-IT22 ---- тут ссылка на ошибку..см. ниже
4/17/09 12:19:50 PM Failed: Wake Up Agents (Wake Up Agents)

------ ошибка которая видна после клика на Wakeup agent INVEST-IT22
2009-04-17 12:19:48.1 INFO Waking up agent INVEST-IT22 using NetBIOS
2009-04-17 12:19:50.18 ERROR Unknown error contacting agent
2009-04-17 12:19:50.18 ERROR Wakeup agent failed

на рабочей стануии при деплое агента появляется окно установки и упешно заканчиввается..
а по wakeup ничего не происходит..

Kwasti
А если сделать ручное обновление на агенте будет ошибка?
Если да то что в логе пишет?

Похоже что агент криво поставился.
Попробуй еще раз поставить.
Если не поможет, то поставить, предварительно удалив старый.
Кстати, при утсановке не должно никаких окон появляться - все по тихому.

чет как то странно все происходит...
ч/з \\имя компа\c$
захожу на клиента..(под учеткой доменного админа ставил агента, и по дней же и захожу на C$)

однако, при деплое агента на диске у климента агент не появляется...
скопировав его туда в ручную и затем выполнив деплой агент, на клиенте запускается установка, ноопять же в службах он так и не появляется.. и wakeup Опять же не выполняется..
может кто знает какую политику глянуть?

а для инсталяции в ручную, нужны параметры какие то?
т.к. при простом клике ничего не ставится..

Kwasti
В брендмауэре не стоит галка "не разрешать исключения" ?
Агент при деплое создает свое исключение
у меня прописано так: C:\Program Files\McAfee\Common Framework\FrameworkService.exe "McAfee Framework Service"

не стоит там галки...
на некоторых тачках пробовали вообще его отключать...
в службах McAfee Framework Service запускается....
но толку ноль...

Добавлено:
еще заметили на одной тестовой машине(на которой не работает агент)
служба фрэймворк всегда остановлена..
запускаем если в ручную она работает иможно логи посмотреть, как только даем ей команду вэйкап она останавливается..

кстати насчет McAfee_VirusScan_Enterprise_8[1].7i
как заставить его ставиться?
в софт я его добавил.. а вот у юзеров он не появляется..
хотя говоритт все проходит успешно..
кстати HIP700 ставился без прорблем.. и в комон файлес директории он виден

Kwasti
думаю что с вируссканом спешить не стоит. Причина по которой он не ставится - отсутствие агента.
Надо поставить агента, а все остальное само зальется. В политиках вроде все верно, только там можно в одной политике прописать несколько продуктов.

У тебя на всех рабочках такое происходит или только на некоторых?

Вряд ли агент молча умирает, он должен писать какие-нибудь логи.
Посмотри тут: "C:\Documents and Settings\All Users\Application Data\McAfee\"
Возможно что-нибудь есть в виндовом журнале событий.

Можно ли заставить McAfee VirusScan + AntiSpyware Enterprise 8.7.0i сканировать почту, приходящую в бат? Т.е. 110 порт тупо сканить? B 995 желательно?

kaskad
Он и так сканит все, что пишется или чтается с/на диск только ветка VSE не здесь.

ogamy
А где посмотреть сию чудную настройку про скан портов?

ЗЫ: Ветку не наш>л при беглом поиске ( Со временем туго, млин ( Тыркните носой, плиз )

kaskad
Ответил тут

Цитата:

думаю что с вируссканом спешить не стоит. Причина по которой он не ставится - отсутствие агента.
Надо поставить агента, а все остальное само зальется. В политиках вроде все верно, только там можно в одной политике прописать несколько продуктов.

У тебя на всех рабочках такое происходит или только на некоторых?

Вряд ли агент молча умирает, он должен писать какие-нибудь логи.
Посмотри тут: "C:\Documents and Settings\All Users\Application Data\McAfee\"
Возможно что-нибудь есть в виндовом журнале событий.

ВОт скриншот с рабочей тачики:
http://tr.invest72.ru/files/McAfee/mcafee.JPG
агент ведь получается работает?
установленный софт в епо:
http://tr.invest72.ru/files/McAfee/Soft.JPG
задачи в епо:
http://tr.invest72.ru/files/McAfee/tasks.JPG

а вот что тут: "C:\Documents and Settings\All Users\Application Data\McAfee\"

C:\Documents and Settings\All Users\Application Data\McAfee
20.04.2009 13:41 <DIR> .
20.04.2009 13:41 <DIR> ..
20.04.2009 13:40 <DIR> Common Framework
20.04.2009 13:41 0 files.txt

С:\Documents and Settings\All Users\Application Data\McAfee\Common Framework
20.04.2009 13:40 <DIR> .
20.04.2009 13:40 <DIR> ..
20.04.2009 13:38 891 Agent.ini
20.04.2009 09:17 <DIR> AgentEvents
20.04.2009 13:14 3я036 catalog.z
20.04.2009 13:18 9я628 Compiled.xml
16.04.2009 09:30 <DIR> Current
19.04.2009 23:51 <DIR> Db
17.04.2009 17:19 44 EvtFiltr.ini
20.04.2009 09:45 11я656 FrameworkManifest.xml
20.04.2009 13:29 532 IncrProp.xml
14.04.2009 11:01 94я940 InstallMain.McS
20.04.2009 13:29 2я892 LastProp.xml
20.04.2009 13:29 2я892 LastPropsSentToServer.xml
20.04.2009 13:28 761я602 McScript.log
20.04.2009 13:10 69 PkgProcess.ini
20.04.2009 13:18 9я908 Server.xml
14.04.2009 11:01 6я524 serverDefault.xml
20.04.2009 13:13 827 ServerSiteList.xml
20.04.2009 13:13 886 SiteList.xml
20.04.2009 13:14 937 SiteMapList.xml
14.04.2009 11:01 412 SrPubKey.bin
20.04.2009 13:38 <DIR> Task
20.04.2009 13:29 <DIR> Unpack
20.04.2009 13:38 589 UpdateHistory.ini
14.04.2009 11:01 66я644 UpdateMain.McS

м.б. по общаемся по ICQ или телефону? напиши на мыло kwasti@invest72.ru
в ICQ фильтр стоит, поэтому просто так сообщение не прийдетпока не добавлю в контакты..

никак не пойму что не так..вроде как пишет что все успешно установлено, однако в процессах кроме McTray больше ничего не вижу..где сам McAfee 8.7 не пойму.. думаю он просто не запущен..

Kwasti
Отправил на мыло мою аську, стучись.

Кто сталкивался с проблемой. Protection pilot качает какое то невообразимое количество обновлении за март 6 гигов выкачал. И еще стоит вроде обновление раз в день, а он каждые 15 минут ломиться. Можеть где то что то поднастроить надо? Помогите пожалуста.

res2001 ну так что, не пробовал эксперементировать обновляются ли клиенты просто обращаясь агент-сервер, или таски обязательно надо делать?

В политиках агента не нашел такого чтобы при обращении сразу dat скачивал новый. Или может другой политикой делается

Подскажите плиз, какие продукты разумеется mcafee надо взять что бы не доменные клиенты могли управляться (и обновлятся) из единой консоли управления?

showbegin
нет, не экспериментировал.
Поставил в таски обновление

sHsHs
Теже, что и для доменных, просто нужно создать инсталляционный пакет для этих компов, который и поставить на них, в нем будут прописаны настройки на сервер с еРо.

brassnet
Наверно глупый вопрос , но, где можно почитать как создать инсталляционный пакет?

Привет showbegin! Не узнал???

Цитата:

В политиках агента не нашел такого чтобы при обращении сразу dat скачивал новый. Или может другой политикой делается

Такого и нет вообще! Когда ты добавляешь инсталляционный пакет на сервер он идет уже с интегрированным на тот момент дат файлом, вот он и в первую очередь ставиться по умолчанию на машинку, а уж потом срабатывает таск на каррант обновление. Вот! Если желаешь чтоб наиболее последний ставился сразу, тебе стоит переделать полностью инсталляционный пакет со свежими обновлениями с помощью утилитки McAfee Installation Designer (MID). Удачи, звони...

sHsHs
new system - Create and download agent installation package - сохранить и ставить от удаленной машинки!

Rossiyanka

Цитата:

... Если желаешь чтоб наиболее последний ставился сразу, тебе стоит переделать полностью инсталляционный пакет со свежими обновлениями с помощью утилитки McAfee Installation Designer (MID). Удачи, звони...

Мне кажется, что инсталяции пересобирать не надо. Да он ставится с интегрированными базами, но согласно мануалу он сразу автоматом и апдейтится:

Цитата:

A common things to do with ePolicy Orchestrator is to update DAT files. VirusScan Enterprise by default performs an update task immediately after it is installed. If you followed the steps to configure your repositories and pulled the latest DAT files to your master repository before deploying, VirusScan Enterprise is up-to-date shortly after being deployed.

нид хелп!
что делать с старыми машинами?
из личных наблюдений:
на свежеустановленных системах комп тормозит нещадно. особо замечено на третьих пнях. если дать вирусскану отсканить систему с новыми базами, и потом перегрузить то вроде как полегче.
переходим на макафи с нода, и торомза вводят людей в бешенство. и если бы сразу не залочил паролем настройки народ нещадно отрубал бы вирусскан. уже были попытки получить пароль через руководство.

так вот как максимально облегчить вирусскан чтобы не так тормозило. чтобы по легкости приблизить к ноду?

настройки в основном стандартные. в исключения занесены типы файлов применяемые в 1с. стоит вирусскан и антиспай. оба версии 8.7i

форум почитал толком ничего не нашел по этому вопросу.

Zuh
отключи проверку сетевых дисков, отключи проверку архивов.
Если машины совсем чахлые, то есть смысл поставить на них старый вирускан 8.5 или даже 8.0


Добавлено:
Всем привет!
У меня вот какая проблемма:
Есть такая тулзовина для удаленного администрирования RAdmin. Я использую версию 2.2.
Макафи ессно ее пытается все время убить, добавил ее в список исключений и все было нормально.
Но после апгрейда на Virusscan 8.7 файл сервера радмина (r_server.exe) время от времени обрезается до длины 0 байт.
В исключения вирусскана r_server.exe прописан, более того если заставить его проверить вручную этот файл - он его проигнорирует.
В логах какие-либо сведения отсутствуют.

Кто-нибудь сталкивался с такой проблеммой?
Уже и не знаю куда копать