Перейти к содержанию
Болотов Константин

Вопрос по SEP

Recommended Posts

Болотов Константин

Добрый

Вопрос заключается в следующем: Как убрать/запаролить на клиентах меню по правой кнопке мыши - "Выключить Symantec Endpoint Protection"? В политиках стоят галочки защиты интерфейса и удаления паролем, а также защиты от остановки служб но от этого действия не помогает так что получается любой может отключить защиту что черевато сами знаете чем...

Сборка последняя MR 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
foxxp
Добрый

Вопрос заключается в следующем: Как убрать/запаролить на клиентах меню по правой кнопке мыши - "Выключить Symantec Endpoint Protection"? В политиках стоят галочки защиты интерфейса и удаления паролем, а также защиты от остановки служб но от этого действия не помогает так что получается любой может отключить защиту что черевато сами знаете чем...

Сборка последняя MR 5

в Настройках SEPM есть возможность если Автоматическая защита выключена то включать ее через "По умолчанию 5 минут". Можно например поставить 1 минуту. На моих клиентах и 5 минут достаточно , иногда и правда бывают ситуации нужно запустить систему без защиты и что то проверить. Ну и сама защита после рестарта компьютера включается автоматически независимо выключили ее или нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Болотов Константин

Минуту поставить не удается минимум 3 минуты и к сожалению ч-з 3 минуты включается только Защита от вирусов и программ-шпионов и по-моему Превентивная защита от угроз, точно не включается Защита от угроз из сети . Я думаю тут проблема глубже 3 минут достаточно чтобы установить любое вредоносное ПО. И не факт что после этого Симантек вообще сможет запустится и коректно работать. Так что вопрос остался прежним как запретить пользователю выключать компоненты Защиты. А не как запустить их в случае необходимости. С другой стороны если пользователь может остановить защиту то почему ПО запущенное с правами пользлвателя не может ее остановить? Тикет пока не стал открывать думаете стоит?

иногда и правда бывают ситуации нужно запустить систему без защиты и что то проверить

У пользователя таких ситуаций быть не должно как сделать это зная пароль от Симантека я думаю вы знаете

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ivan0ff

В политиках защиты от вирусов если заблокировать замочек на пункте "включить автоматическую защиту" то пункт контекстного меню клиента "выключить Symantec Endpoint Protection" становится неактивным и не позволяет выключить его. Это справедливо к любым другим пунктам и настройкам с замочками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Болотов Константин подробнее смотрите в данной статье - http://service1.symantec.com/support/ent-s...63?OpenDocument

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Болотов Константин
В политиках защиты от вирусов если заблокировать замочек на пункте "включить автоматическую защиту" то пункт контекстного меню клиента "выключить Symantec Endpoint Protection" становится неактивным и не позволяет выключить его. Это справедливо к любым другим пунктам и настройкам с замочками

Этот замочек выключает возможность выключать Защиту из основного окна Я его и так запаролил и пользователь туда не сможет попасть я же говорю о меню вызываемом по правой кнопке мыши по Значку SEP в трее... Этот замок не имеет с ним ничего общего и позволяет полностью выключать защиту компьютера... Есть еше какие-нибудь идеи? Скрывать/убирать это из трея тоже не вариант

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Болотов Константин
Болотов Константин подробнее смотрите в данной статье - http://service1.symantec.com/support/ent-s...63?OpenDocument

Вот оно решение вопроса!!! Кирилл вы как всегда на высоте

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
notsaint

Не стал создавать новую тему специально из-за пары маленьких вопросов. Поэтому здесь.

1. При запуске в работу новой машины самым первым делом я ставлю клиент SEP, который подхватывает все политики с SEPM, обновляется и т.п. Однако запуск его происходит от моего имени (от имени администратора), что потом и отражается в списке клиентов. Собственно вопрос (а скорее всего - непонятки) - еженощно (1.00) начинается автоматическое сканирование клиентской машины. В событиях компьютера (Event Viewer) я это вижу по логам. Но если я попрошу показать мне логи через клиента SEP, (View Logs), то там ничего нет - сам список пуст. Подозреваю, что т.к. я запускал первоначально клиента от своего имени, то это так как бы и осталось "в памяти" SEP. Но как-то выглядит не очень красиво: проверка вроде есть, а так ее не видно

2. Где-то промелькало решение проблемы почему на клиентах SEP не отображается пункт Network Threat Protection. Не на всех, но теряется. Почему это происходит и как бы это вернуть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
owl000
Добрый

Вопрос заключается в следующем: Как убрать/запаролить на клиентах меню по правой кнопке мыши - "Выключить Symantec Endpoint Protection"? В политиках стоят галочки защиты интерфейса и удаления паролем, а также защиты от остановки служб но от этого действия не помогает так что получается любой может отключить защиту что черевато сами знаете чем...

Сборка последняя MR 5

А что все пользователи обязательно должны быть в локальных администраторах? это ведь тоже черевато понятно чем...

Не стал создавать новую тему специально из-за пары маленьких вопросов. Поэтому здесь.

1. При запуске в работу новой машины самым первым делом я ставлю клиент SEP, который подхватывает все политики с SEPM, обновляется и т.п. Однако запуск его происходит от моего имени (от имени администратора), что потом и отражается в списке клиентов. Собственно вопрос (а скорее всего - непонятки) - еженощно (1.00) начинается автоматическое сканирование клиентской машины. В событиях компьютера (Event Viewer) я это вижу по логам. Но если я попрошу показать мне логи через клиента SEP, (View Logs), то там ничего нет - сам список пуст. Подозреваю, что т.к. я запускал первоначально клиента от своего имени, то это так как бы и осталось "в памяти" SEP. Но как-то выглядит не очень красиво: проверка вроде есть, а так ее не видно

2. Где-то промелькало решение проблемы почему на клиентах SEP не отображается пункт Network Threat Protection. Не на всех, но теряется. Почему это происходит и как бы это вернуть

1. Клиент мастером с сервера разворачивается?

2. Обычно после первой перезагрузки включаются все пункты защиты, или это волзникает уже через какое то время работы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
notsaint
1. Клиент мастером с сервера разворачивается?

Мастером был создан установочный пакет, который я по сетке перекачиваю на машину и устанавливаю уже оттуда

2. Обычно после первой перезагрузки включаются все пункты защиты, или это волзникает уже через какое то время работы?

<_< Вот затрудняюсь ответить... А есть разница?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
notsaint

Добрый день

Появляется вот такая ошибочка (и в Event Viewer, и в логах программы)

Failed to start RADIUS Server. The RADIUS port may be in use another process.

Дело в том, что машинка новая, свежеустановленный SEP 11.0.5 SP4 (пока безо всего, без клиентов даже - все еще впереди перенос политик и клиентов). И тут вот такой вот казус

Windows Server 2003 Enteprise SP2, утилиты для RAID - больше ничего не установлено.

С чего вдруг?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pim76
notsaint

Проверь за занятость порта 1812 .

У нас было такое. По умолчанию SEPM пытаеться его использовать, но он может быть занят ..

Я решал подобную проблему перенастройкой номера порта .

http://service1.symantec.com/SUPPORT/ent-s...pen&seg=ent

и еще полезно

Какие порты связи применяет Symantec Endpoint Protection Manager 11.x?

http://service1.symantec.com/SUPPORT/INTER...080815154937935

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
notsaint
Проверь за занятость порта 1812 .

У нас было такое. По умолчанию SEPM пытаеться его использовать, но он может быть занят ..

Я решал подобную проблему перенастройкой номера порта .

Процесс svchost.exe 1812 порт UDP - radius - это дала проверка по портам (уже после настройки по первой ссылке). Но все равно выплывает ошибка...

Вы хотите сказать, что можно задать любой незанятый порт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pim76
Вы хотите сказать, что можно задать любой незанятый порт?

Чисто мое мнение .

Было бы технически более трудоемким переводить Radius на использование другого порта и соотв. др. программы, кот. слушают данный порт .

Так что, выбрав незанятый порт и порывшись в инете на предмет его использования (на всякий случай) была добавлена всего одна строчка в конфиг SEP-а..

Ошибка ушла. Стоит полее полугода.. Пока именно с этим проблем не наблюдалось..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Domingo
Болотов Константин подробнее смотрите в данной статье - http://service1.symantec.com/support/ent-s...63?OpenDocument

Сделал как указано в статье.

Помогает, только если пользователи "бесправные", если у учетки есть права локального админа правило не срабатывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Помогает, только если пользователи "бесправные", если у учетки есть права локального админа правило не срабатывает.

Не правда.

Что то делали не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Domingo
Не правда.

Что то делали не так.

Все делал как указано, но не помогло.

Это не может быть связано, что SEP 11.0.6 стоит на сервере AD?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×