Перейти к содержанию
iliuwka

Громадный трафик между сервером и клиентами

Recommended Posts

iliuwka

Доброе утро всем.

Имеется купленный Symantec endpoint protection small business edition 12.0.1 развернут примерно на 60 машинах.

Две проблемы:

1. На isa фиксируется очень большой трафик по http с клиентских машин на сервер где установлен symantec protection centre. Каждый день с новых тачек на него прилетает 10-20 виртуальный ГБ (фиксируются на lan интерфейсе и на Isa) на ЖД место не уменьшается.

2. Просто замучил грузящий на 100 процентов процессор RTVSCAN.exe, грузит обычно если на ночь оставить машину включенной, а с утра при логине комп просто умерает.

Политики для машин откручены до минимума.

В общем плиз HELP!!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

1) Почитайте документацию

2) Настройте корректно обновления LU

3) Уберите стартап сканы с компов где у вас все умирает.

4) Если в простом режиме так грузит rtvscan - что то у вас не так явно настроено (эвристика, частота сканирования и т.п.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iliuwka

Стартап сканы отключены в symantec protection centre

Эвристика (Truescan) тоже отключена

На счет обновления, в консоле есть одна политика с настройкой Liveupdate, галка о разрешении запуска Liveupdate на клиентских машинах снята. Но при проверке похоже политика не работает так как кнопка liveupdate активна и на нее можно нажать.

Я так понимаю по умолчанию клиенты с локального сервера получают обновления ежесуточно, если какая-то ошибка они начинают повторять попытки каждый час?, где изменить эти параметры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      в списке сигнатур, в данном случае 2-3 десятка записей с именем Win32/Adware.ConvertAd, а файл, который попал под детект данной сигнатуры, детектируется на VT как  NSIS/CoinMiner. захотел переименовать сигнатуру, а какую именно - не определить наугад :). ------- т.е. понятно, что переименоваться должна не строка в инфо, а запись в signs, и как следствие, потом уже и отображение названия в Инфо будет новое.
    • demkd
      такого нет, можно конечно сделать, но не ясно зачем
    • santy
      demkd, есть такая возможность,  из окна инфо, в поле сигнатура вызвать форму для переименования сигнатуры? (с учетом того, что сигнатур с одинаковыми именами может быть много, поэтому для редактирования должна быть открыта нужная запись) т.е. вызвать эту форуму:
    • santy
      у меня все шесть файликов сразу попали в подозрительные и вирусы при открытии образа. (без добавления новых сигнатур). тот случай, когда образы автозапуска нужны не только для того, чтобы писать по ним скрипты, но и для пополнения баз сигнатур и правил, т.е. чтобы использовать заложенные в программе возможности к самообучению.  
    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
×