Перейти к содержанию
Aarony

SEP v11.0.5

Автор Aarony, в Вопросы по Symantec Endpoint Protection

Recommended Posts

Aarony    0

Aarony
Опубликовано

Всем привет и с Новым годом!

Суть: На одной машине (1) установлен SEPM (OS - W2k3), на ней же управляемый клиент. На второй (2) (WinXP SP3) еще один упр. клиент. 2 ПК в отдельной группе без наследования политик, клиент в смешаном режиме управления. Созданы правила фаера на клиенте запрета и блока тех или иных приложений. В частности, имеется скайп и куип, для которых созданы идентичные правила с записью в журнал траффика. В политиках, настроенных для группы с консоли управления, эти 2 приложения также присутствуют под синей линией и тоже с записью в журнал траффа. Конечное правило блокирует любой трафф, оно ессно в самом низу. Работа с внешкой через прокси.

Результат:

1. Скайп работает без проблем, куип не может соединиться с внешкой.

2. При отключении фаера все работает, значит проблема в некорректном описании правил(а).

3. В журнале видно, что куип блокирован правилом GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_112.

4. При отключении политик для группы из консоли запись в журнал траффа прекращается, хотя на самом клиенте чек-бокс взведен.

Вопрос: Как найти это правило и почему прекращается запись в журнал в соответствии с п.4?

Опыт настройки фаера от NIS до SCS имею, настраиваю без проблем. Так что понимание работы фаера есть. Непонятно как в SEP отрабатыается последовательность политик для группы и локальных правил на клиенте. Руководство админа под руками постоянно. Однако прошу не пинать если что-то пропустил в нем или на форуме, вроде прошерстил все (или почти все) относительно SEPа...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано

Файерволл работает в SEP без особых проблем. Использую, но на 11.0.4202. Главное понимать различие между local\remote и source\dest.

Правило с номером 112 есть?

Для решения затыков в каком бы то ни было файрволле я поступаю одним из следующих образов (если правила не прозрачны):

1) Делаю запрещающее правило (block from any to any) с логированием всего запрещенного и двигаю его по номерам от последнего к первому.

2) Делаю разрешающее правило (allow from any to any) опять же с логированием всех пакетов и опять же двигаю по номерам от последнего к первому.

Так как правила сугубо индивидуальны, попробуйте сделать тоже самое.

Можно попробовать описать трафик мессенджера и подвигать его.

Учтите, что если файерволл на проксе - тут понадобятся дополнительные правила типа петли между фейсами.

P.S. еще учтите, что после получения политики с сервера - правила обновляются не сразу.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Aarony    0

Aarony
Опубликовано
Файерволл работает в SEP без особых проблем. Использую, но на 11.0.4202. Главное понимать различие между local\remote и source\dest.

Это понимание есть. SCS конфигурю почти с закрытыми глазами, так что базовые знания есть.

Правило с номером 112 есть?

А вот это и есть мой вопрос - где увидеть правило под таким номером? Или под № 107, 105... У меня локальные правила имеют вполне осмысленные имена. Как, впрочем, и правила в консоли (их там 21 строка всех, локальных тоже не более 2-х десятков). В этом и непонятка для меня - нумерация это по канонам SEP или мож ID какие? И где енто все увидеть.

Для решения затыков в каком бы то ни было файрволле я поступаю одним из следующих образов (если правила не прозрачны):

1) Делаю запрещающее правило (block from any to any) с логированием всего запрещенного и двигаю его по номерам от последнего к первому.

2) Делаю разрешающее правило (allow from any to any) опять же с логированием всех пакетов и опять же двигаю по номерам от последнего к первому.

Так как правила сугубо индивидуальны, попробуйте сделать тоже самое.

Это понятно, No Comments... Непонятно как соотносятся правила для группы (созданные в консоли) с правилами, созданными на локальной машине. Что-то должно иметь приоритет...

Можно попробовать описать трафик мессенджера и подвигать его.

Учтите, что если файерволл на проксе - тут понадобятся дополнительные правила типа петли между фейсами.

P.S. еще учтите, что после получения политики с сервера - правила обновляются не сразу.

С мессенджером вроде решил проблему и вроде понял где ошибка. Проверяю в данный момент. Политики с сервака применяются к клиенту секунд через 40 максимум, проверял в течение дня. Мож пока пара клиентов так быстро. Но это все только примерка и изучение. Как только будет до конца ясен механизм работы, тады и встанет вопрос о покупке конкретной версии и т.д. :rolleyes:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано

1. Правила имеют нумерацию. Самая левая графа :) Может, они?

2. Насколько помню навскидку, в документации написано что правила сервера заменяют правила клиента при "server control" режиме.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Aarony    0

Aarony
Опубликовано
1. Правила имеют нумерацию. Самая левая графа :) Может, они?

2. Насколько помню навскидку, в документации написано что правила сервера заменяют правила клиента при "server control" режиме.

Не похоже, в консоли сейчас у меня 21 правило (нумерация в столбце слева), к тому же я их временно вырубил для прояснения обстановки. А на клиенте вообще нумерации правил нема... Доки покопаю в обязалово, вроде тоже читал где-то. Проблему с куипом решил, нашел ошибку в созданом ДО НЕГО правиле на клиенте. Собственная невнимательность... Ну эт бывает при изучении новых продуктов. Остается вопрос с номером правил, мож и подскажет кто. В базе знаний не нашел поиском, могет быть пока... Спасибо Shell!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Вопросы по Symantec Endpoint Protection

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.11.
    • Ego Dekker
      Новая версия бесплатного приложения ESET Online Scanner доступна пользователям

      От Ego Dekker · Опубликовано

      ESET Online Scanner был обновлён до версии 3.7.4.0.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю автоматически ( при формировании скрипта  ) удалять  идентичные расширения браузеров по ID т.е. удаляем расширение из одного браузера = автоматически  удаляем это расширение из всех браузеров. https://www.comss.ru/page.php?id=12970 --------------- Возможно в Категориях по браузерам стоит собирать\ консолидировать все доступные данные по этому браузеру. т.е. не только данные о расширениях, но и назначенные задания; все подписанные или не подписанные файлы; Все файлы _которые есть в каталогах браузеров_; скрипты; ярлыки; групповые политики; сетевая активность и т.д.    
×