Проблема с работой SEPM и LiveUpdate - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
Rain

Проблема с работой SEPM и LiveUpdate

Recommended Posts

Rain

Всем привет! Я уже неделю бьюсь над настройками сервера SEPM. Ну, во-первых, пройдусь по инструкции к данному продукту, около 500 листов текста, в котором мне рассказывают, что для добавления компьютера надо нажать кнопку "Добавить компьютер", спасибо за то, что не поленились описать очевидные вещи, а я бы все же хотел бы прочитать об основах работы данного продукта, желательно детальнее. Ладно, и без инструкции разобрался, спасибо Яндексу и Гуглу.

Следующей моей задачей была настройка LiveUpdate Administrator, здесь тоже спасибо Яндексу, кому интересно инструкция здесь. Все ничего, да вот только наш шлюз Zyxel ZyWALL 2WG уж очень сильно ругается на процесс скачивания обновлений из инета, говорил, что SYN-flood атака идет и по своей стандартной схеме вырубает WAN-порт. Так вот вопрос к разработчикам: неужели нельзя было реализовать нормальный механизм обращения к серверу обновлений без открытия мильёна соединений, неужели нельзя было придумать дозакачку обновлений в случае сбоя? Эту проблему я решал банально просто: отключил фаервол на шлюзе и скачал первую партию (2,5ГБ :blink::blink::blink: - что там, одному Богу известно) обновлений.

Все супер, у меня есть сервак с последними обновлениями, но выполнить дистрибьюцию удается не для всех из них, сначала только для definitions, а потом, по очереди, для всех остальных с вероятностью успеха 10% :( . Здесь назревает еще один вопрос: при периодической чистке базы с обновлениями у меня, допустим, останутся последние 5 штук, действует ли в SEP накопительная система обновлений или надо на старый дистриб накатывать все вышедшие после него обновления? Но тут мои приключения не закончились: я нажал заветную кнопку LiveUpdate на клиенте, установленном на WinXP 32bit и мне он выдал, что не может соединиться с хостом (unable to connect to host), без ответа, без привета, никаких кодов и логов. Почему у данного продукта по умолчанию выключены практически все оповещения о вирусах, атаках и т.д., для некоторых даже отключено логирование, почему мне надо гадать, что происходит, почему RealVNC (в качестве примера) отказывается работать?

Господа форумчане, поможите чем сможите! Господа разработчики, призваю Вас к ответу!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Rain ну во-первых в документации все замечательно описано и она состоит из нескольких документов, и не все из них в 500 страниц (на всякий случай русская документация тут). Во-вторых, не совсем понятно для чего в вашем случае нужен LUA? Встроенного LiveUpdate в SEPM не достаточно в вашем случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
owl000

Проще и надежнее что бы клиенты добавлялись автоматически, что происходит при развертывании через мастер.

Многопоточная закачка обновлений это imho скорее плюс нежели минус.

По дефолту на клиентах LU вообще отключен политиками и не активен... а ежели не соединяется с сервером, то тут не в SEP надо копать...

До первой перезагрузки SEP может показывать всякую ерунду, на счет отключенных защит и т.д.

VNC у меня по крайней мере на клиентах работает без проблем, без изысков и танцев с бубнами...

В общем imho проще подняв SEPM снести всех существующих на тот момент клиентов и развернуть по новой, с сервера... ну или брать бубен и делать из неуправляемых клиентов управляемые...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rain
Rain ну во-первых в документации все замечательно описано и она состоит из нескольких документов, и не все из них в 500 страниц (на всякий случай русская документация тут). Во-вторых, не совсем понятно для чего в вашем случае нужен LUA? Встроенного LiveUpdate в SEPM не достаточно в вашем случае?

Кирилл Керценбаум, спасибо большое за ответ. На счет документации с Вами не соглашусь, т.к. большинство вопросов освещено поверхностно. На счет встроенного LiveUpdate я не знал, что с его помощью возможно обновление баз, но при этом он не может подключиться к серверу обновлений в Интернете. Хорошо хоть LUA смог скачать обновления.

Проще и надежнее что бы клиенты добавлялись автоматически, что происходит при развертывании через мастер.

Многопоточная закачка обновлений это imho скорее плюс нежели минус.

По дефолту на клиентах LU вообще отключен политиками и не активен... а ежели не соединяется с сервером, то тут не в SEP надо копать...

До первой перезагрузки SEP может показывать всякую ерунду, на счет отключенных защит и т.д.

VNC у меня по крайней мере на клиентах работает без проблем, без изысков и танцев с бубнами...

В общем imho проще подняв SEPM снести всех существующих на тот момент клиентов и развернуть по новой, с сервера... ну или брать бубен и делать из неуправляемых клиентов управляемые...

Собсна, сейчас я занимаюсь тестированием SEPM, переделать неуправляемых клиентов у меня так и не получилось, поэтому пришлось их удалить и развернуть через сервер, но при этом на одном из двух тестовых компах при запуску LiveUpdate коннекта к серверу нет :( , но через неопределенное время клиент-таки получает обновление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
serj

Всем привет!

У меня проблема немного дгугого плана но похожая, не обновляются клиенты! Клиенты разбыты по группам у каждой группы своя политика LiveUpdate. У групп имеющих выход в инет, в настройках LiveUpdate указаны два сервера SEPM и по умолчанию прямо с Symantec LiveUpdate, на случай если SEPM, будит не доступин по разным причинам. В этих группах обновление происходит видемо прямо с Symantec LiveUpdate. Начал разбираться с группами у которых нет доступа к инету, все настроино строго по документации. На клиенте политике обновляются, что можит подтвердить системный журнал SEP. Не происходит обновляется защита от вирусов и угроз из сети. В просмотре событий системы есть ошибка

untitled11111111111111111111.JPG

Пересмотрел настройки политики параметров LiveUpdate, настройки политики содержимого LiveUpdate. Все вроде гут! Но на практике, клиент не обновляется.

Помогите разобраться в этой проблеме.

post-7579-1267254503_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
serj

На SEPM LiveUpdate работает как часы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone
На SEPM LiveUpdate работает как часы.

что показывает утилита диагностики проблем (тема про утилитку в шапке форума продукта)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×