Создание изменяющихся профилей SEP для ноутбуков

[volk1234 5]

Здравствуйте.

Установили в сети предприятия SEP 11.0.5 вместо SAV 10. Возникли некоторые проблеммы - их решила полная переустановка SEPM (к чести продукта клиентов он обновил без проблем), и перемещение WSUS на другой сервер.

Читаю руководство администратора по вечерам, талмуд еще тот. Есть вопросы -

1. По непонятной причине тормозят некоторые рабочие станции с RAM 256-512Kb. Причем на остальных все работает на ура. Мониторинг с помощью Procesxp показал почти полный расход физической памяти при загрузке и даже при простое компьютеров. Почитал предлагаемы Symantec действия - отключить сканирования, отключить определнные компоненты - непонятно, что тогда останется от Endpoint - антивирус обрезанный. Но основной вопрос у меня - состав пакета SEP.

Из предложенного мне нужны только - Антивирус, Проактивная защита, Контроль приложений. Брэндмауер и проверка почты не нужны.

Однако отдельной галочки для отключения брэндмауера нет. Например я не против оставить защиту от атак из сети - но отдельно я понимаю такой фишки нет. Ок. Если я отключаю защиту от атак из сети- автоматом из установочного пакета выпадает контроль приложений. Почему?

2. Нигде не нашел таблички с полным списком процессов запускаемых SEP клиенте и на сервере.

3. Пользователи ноутбуков просят сделать им два профиля для клиента SEP - один для работы в домене с максимальной безопастностью, и второй для работы на выездах - чтобы можно было обновлятся с лайв апдейт и отключчать защиту файловой системы, запускать файлы с флешек. В начале руководства есть упоминание про такую возможность, но описания как это сделать я не нашел.

Пожалуйста, кому не трудно подскажите. Если все ответы есть в руководстве, ткните меня пальцем в номера страниц - я прочитаю и больше так не буду

[Shell 301]

volk1234, вообще то 256 маловато для SEP =)

Касательно ваших вопросов:

1) Вы использовали утилиту от sysinternals но так и не смогли найти процессы которые грузят проц?

Для повышения производительности: поставьте проверку 1 раз в неделю\3 дня. Отключите проверку при получении новых дифинишинов. Отключите эвристику и проверку сети.

Брендмауер и проверка почты - это компоненты. Отключаются либо при создании инсталляционного пакета, либо впоследствии через пуск-установку\удаление программ - modify, либо вывешиванием на эту группу в SEPM инсталляционного корректного пакета с нужным набором компонент.

Связь компонент обсуждалась на форуме не раз, есть в руководствах к SEP. Читайте (на форуме даже в топе темка последняя http://www.anti-malware.ru/forum/index.php?showtopic=13423 )

2) Процессы:

smc.exe

ccApp.exe

ccSvchst.exe

Rtvscan.exe

SmcGui.exe

snac.exe

при обновлении баз также запускаются процессы: luall.exe, SescLU.

3) Такая возможность есть.

Задается различным набором политик в SEPM в различных группах (тоесть, вам нужно создать минимум 2 группы - для офиса и для удаленного альтернативного подключения) . На группах всех (!!!) в SEPM должны быть определены Manage Locatios.

Работает, честно сказать, немного кривовато. Не всегда клиенты перескакивают.

P.S. "толмуты" все таки придется почитать

[Strannik 30]

...На группах всех (!!!) в SEPM должны быть определены Manage Locatios.

Shell, можно подробнее об этом? Либо я не так вас понял, либо это "особенность" работы SEP.

[Shell 301]

Shell, можно подробнее об этом? Либо я не так вас понял, либо это "особенность" работы SEP.

Manage Locatios определяет автоматическое размещение в группе. К примеру, там вы можете задать ip gateway, network connection type, dhcp server и прочие параметры. Если у клиента изменится шлюз - он попадет в ту группу для которой этот шлюз определен.

[angel-keeper 60]

Shell я с вами немного не согласен.

Strannik нужно создать одну группу например "Ноуты" и у же в ней создать две локации(расположения) со своими условиями расположения.

Расположениям можно назначит разные политики.

Надеюсь после просмотра Скринов все у вас получится:

[Shell 301]

angel-keeper, вопрос не принципиальный. Дело удобства.

Можно на одну группу повесить различные политики, можно на различных группах. Клиенты будут перескакивать и между группами.

[angel-keeper 60]

хм. у меня не получилось сделать так, что бы клиенты между группами перескакивали.

Можно скрины настроек поглядеть

[volk1234 5]

Shell

Спасибо за ответ и ссылку.

Только нашел свой пароль от этого сайта.

Прочитал уже 3 раздела руководства, многое стало понятно - в частности перемещаемые профили описаны.

Значится, поспрашиваю мелочи:

1. Все же самый непонятный момент - везде описывается по сути roaming clients от SAV, т.е. перемещающиеся клиенты.

У меня клиенты никуда не перемещаются. Сервер один. Просто человек пошел домой или в отпуск или в командировку -

надо дать ему возможность ненадолго отключить защиту, добавить исключение и скачать обновления с симантека сайта.

Т.е. с корпоративным сервером связи не будет. Я создал отдельную группу Portable и в нее поместил все ноутбуки.

Указал два расположения - office и wild. В правилах определения местоположения указал проверку связи с антивирусным сервером и DNS сервером (разные).

В политиках настроил разные настройки для разных местоположений. Поставил галочкук - выводить сообщение при переключении местоположения.

Пока никто из пользователей не прибегал с вопросом - что от меня хочет антивирус.

Правильно ли я все сделал ?

2. Связь компонент

Все понял, только почему такая привязка Управление приложениями и NTP, странно это. Грузит он или нет - все равно когда есть корпоративный брэндмауер, на клиентах он не нужен и попусту расходует ресурсы. Странно это.

3. По поводу нехватки памяти - основной потребитель памяти Опера. После запуска с парой страничек - сразу 256 из 512 отжирает

Если учесть что основная работа протекает у всех пользователей с многостраничными PDF-файлами и прибавить установку SEP вместо DrWeb все и так ясно.

DrWeb кстати вообще незаметен был для клиентов.

Облегчил участь клиентов - добавил памяти где мог, снес везде фаервол(несмотря на то, что утверждается, что он не грузит систему), и заменил способ работы с политиками с Push на Pull, или наоборот - короче без постоянной связи с сервером. Вроде жалобы прекратились.

[volk1234 5]

Что реально еще раздражает - это охота симантека на кейгены и безобидные програмки вроде FitW из комплекта тотал командера.

Чето я наверное пропустил в руководстве - в журнале событий куча сообщений- не могу распаковать архив (например с паролем) -

хде это отключить ?

[volk1234 5]

А, и еще - по поводу совета выключить эвристику - это в компоненте антивируса или имеется в виду PTP ? Там в его настройках есть шкала бдительности так сказать - насколько ее лучше выставить и не повлияет ли откл эвристики на безопасность ?

[Shell 301]

хм. у меня не получилось сделать так, что бы клиенты между группами перескакивали.

Можно скрины настроек поглядеть

Есть нюанс. Если в группах вы определяете по IP локацию, то на других группах тоже делайте по IP. И соответственно, не должно быть пересечений. Ну и т.д.... У меня все в одном сайте по IP range, IP single. Единственная группа куда будут скидываться без расположения клиенты - "Default group"

Сервер один. Просто человек пошел домой или в отпуск или в командировку -

надо дать ему возможность ненадолго отключить защиту, добавить исключение и скачать обновления с симантека сайта.

Т.е. с корпоративным сервером связи не будет.

Cамая важная здесь фраза - "с корпоративным сервером связи не будет". Смысл поняли? Чтобы клиент схватил вторую политику - он должен подключиться к sepm с новыми параметрами и получить новую политику. Можно попробовать дать такому клиенту вторым сервером внешний LU сервер у симантека, а для пользователей изнутри на всякий случай доступ к нему ограничить

и попусту расходует ресурсы

Ничего он не расходует. Работает в режиме открытой трубы. Можете сами проэксперементировать. Убрать если тифер с интерфейса - тоже до 10gb\s - результат не будет виден. Другое дело если интерфейс сидит в промиск-моде (здесь свои нюансы).

По поводу нехватки памяти - основной потребитель памяти Опера

Есть такое. Где то было даже на STN решение. Кажется, исключение сканирования временных директорий (точно не помню, покопайте). А вообще, опера любит скушать побольше памяти и свапа.

по поводу совета выключить эвристику - это в компоненте антивируса или имеется в виду PTP ? Там в его настройках есть шкала бдительности так сказать - насколько ее лучше выставить и не повлияет ли откл эвристики на безопасность ?

В антивирусной политике вашей:

file system autoprotect - advanced scanning (снять bloodhound)

true scan proactive - снять или установить use defaults

Быстродействие также существенно повысит установка file system autoprotect файлов по расширению (а не всех).

[Strannik 30]

Cамая важная здесь фраза - "с корпоративным сервером связи не будет". Смысл поняли? Чтобы клиент схватил вторую политику - он должен подключиться к sepm с новыми параметрами и получить новую политику. Можно попробовать дать такому клиенту вторым сервером внешний LU сервер у симантека, а для пользователей изнутри на всякий случай доступ к нему ограничить

Т.е. тут как с касперским не прокатит видимо? В касперском имеется возможность задать мобильную политику, т.е. она начинает действовать когда пропадает связь с сервером управления.

[volk1234 5]

Вот и мне именно та и надо!

[Strannik 30]

Т.е. тут как с касперским не прокатит видимо? В касперском имеется возможность задать мобильную политику, т.е. она начинает действовать когда пропадает связь с сервером управления.

Прокатило. Т.е. после того как пропала связь с сервером управления, начали действовать альтернативные политики.