alx19

Настройка McAfee VSE8 для работы в режиме Unmanaged

В этой теме 9 сообщений

На компьютер (xp sp2 pro) подключенный к локальной сети города, поставил (с целью тестирования)

McAfee VSE8 + patch 14 + AS (вручную с помощью exe дистритутива VSE8).

Выставил обновление баз с сайта McAfee.com по шедулеру каждый день в 20:00.

Через некоторое время в трее зажглась буква M потом она изчезла.

После этого обновление баз по шедулеру работать перестало. Обновление происходит только при нажатии на кнопку - Update Now.

При попытке изменить дату обновления, в журанал событий попадает следующее сообщение:

Тип события: Ошибка

Источник события: Alert Manager Event Interface

Категория события: Отсутствует

Код события: 257

Дата: 11.12.2006

Время: 13:28:39

Пользователь: Н/Д

Компьютер: *

Описание:

VirusScan Enterprise: Failed to save schedule data into CMA.(from * IP *.*.*.* user * running VirusScan Ent. 8.0.0 UPD)

Предположение: В сети находится где то настроенный EPO, который и пристал к моему "неуправляемому" клиенту и попытался подчинить его себе. Доступа к этому EPO у меня нет.

Как мне от него избавиться чтобы у меня опять работало обновление баз по шедулеру + нужно чтобы и другой EPO к нему пристать не мог?

У меня администратор запаролен. Сам сижу под своим именем с админскими правами с паролем. Получается что это чудеса какие-то что так происходит ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

можно узнать а что в окнечном итоге вы хотите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ANTISIMIT

В конечном итоге я хочу чтобы установленный на ноутбук

McAfee VSE8 + patch 14+AS не мог быть автоматически подчинен какиму-нибудь EPO, который наверняка будет установлен в какой-нибудь из сетей к которым он будет подключаться. То есть нужно чтобы VSE8 продолжал обновляться как и раньше с сайта McAfee.com в соответствии с настройками по шедулеру.

Можно ли считать в данном случае решением данной задачи, такой метод:

1. Установить McAfee VSE8 + patch 14+AS

2. Установить EPO

3. В политиках ePo для данного компьютера в закладке VirusScan поставить Enforce Policy в No

??

В результате когда ноутбук будет подключен к другой сети с другим EPO, он к нему не пристанет и VSE8 и также будет продолжать обновляться с сайта McAfee.com по шедулеру.

другой способ

В настройках User Interface Options VSE8 сделать 2 настройки:

1) убрать галочку Allow this system to make remote console connections to other systems

2) в настройках Password Options установить пароль на password protection for all items listed

Достаточно этого будет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ePO для управления использует агента. Для начала расправяемся с ним:

"C:Program FilesNetwork AssociatesCommon Frameworkfrminst.exe" /remove=agent

или

"C:Program FilesMcafeeCommon Frameworkfrminst.exe" /remove=agent

Затем, если есть возможность меняеш настройки под себя - если нет, сносиш VirusScan, reboot, и ставиш заново.

Для того, чтоб неполучить агента заново, или отмени Admin$ share, или опусти Remote regitry service, или выбрось Domain Admins из Local Administrators group.

Good Luck и сНовым Годом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Guest88

Спасибо за конструктивный ответ.

Неужели паролирования настроек VSE8 будет не достаточно ?

С Новым Годом всех !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alx19

No.

Password just lock user interface to prevent from non authoritative users make changes.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Guest88

А вот если поставить на ноутбук VSE8 + поставить EPO на соседней машине и намеренно поставить агента на машине с VSE8.

Далее в настройках EPO для данного VSE8 клиента сделать настройку:

Enforce Policy в No.

Соображение такое - агент epo привязан к конкретному серверу epo и с "левым" работать не будет.

Далее при использовании ноутбука с другими EPO в сети, таким образом настроенный агент с ними взаимодействовать не будет и обновления баз будут продолжать происходить с nai.com в соответствии с настройками.

Можно ли такое решение рассматривать в качестве альтернативного?

############

Удивляет, что даже когда EPO не знает пароля на учетную запись, все равно в случае если шары не зыкрыты - умудряется поставить агента. Как вообще такое возможно, не зная пароля совершать активность на компьютере ???

(Наверное через открытые порты, которые открывает VSE8 клиент... Да? )

############

Интересно, а достаточно ли будет использовать средства самого VSE8 для отключения шар, чтобы агент EPO не мог поставиться ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Агент с другово еPO не поможет. Сервер при определении установлен ли агент опрашивает порт, а он вибирается при установке сервера. У каждово свой. Если порт не совпадёт, клиент будет опознан как "rogue" и нанего попитаются заталкать агента. Чтоб етого не допустит - смотри на 4 поста више.

Возможен другоы вариант заталкивания - через логин скрипт или стартап скрипт в GPO. Но ето, если ти member of domain.

VirusScan никаких портов или привилегий не откривает.

Шари не важно чем закриват (на мой взгляд).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Guest88

Возможен другоы вариант заталкивания - через логин скрипт или стартап скрипт в GPO. Но ето, если ти member of domain.

Если ноутбук будет member of domain,

достаточно ли будет воспользоваться любым из 3 способов:

1) отключить Admin$ share (но C$, D$,..., IPC$ - можно не отключать)

2) отключить службу Remote regitry

3) выбросить Domain Admins из Local Administrators group

для того чтобы агент ePO не мог встать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      Два спамера дают ссылку на левый сайт и пытаются выдать за оф. сайт 
       
    • ToptynOON
      Желательно оставлять ссылку на официальный сайт, у вас конечно не много рекламы но все же есть риск скачать амиго. Так что ссылка на оф.сайт http://adguard.mobi/
    • PR55.RP55
      Разобрался в чём дело. uVS  не видит настройки. А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д. т.е. не видит изменения в файле:  profiles.ini %appdata%\Mozilla\Firefox\profiles.ini uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки. Про перенос кеша браузеров: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/ Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )
    • PR55.RP55
      + По этой теме:  http://www.tehnari.ru/f35/t256998/ C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL Файл не попал в список подозрительных - хотя имя файла соответствует системному: C:\WINDOWS\SYSWOW64\WINHTTP.DLL
      C:\WINDOWS\SYSTEM32\WINHTTP.DLL + Файл явно в автозапуске  - чего опять же не видно. по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll ----------- + Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены. причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions присутствуют - но браузер их не видит.
    • santy
      и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.