Перейти к содержанию
alx19

Настройка McAfee VSE8 для работы в режиме Unmanaged

Recommended Posts

alx19

На компьютер (xp sp2 pro) подключенный к локальной сети города, поставил (с целью тестирования)

McAfee VSE8 + patch 14 + AS (вручную с помощью exe дистритутива VSE8).

Выставил обновление баз с сайта McAfee.com по шедулеру каждый день в 20:00.

Через некоторое время в трее зажглась буква M потом она изчезла.

После этого обновление баз по шедулеру работать перестало. Обновление происходит только при нажатии на кнопку - Update Now.

При попытке изменить дату обновления, в журанал событий попадает следующее сообщение:

Тип события: Ошибка

Источник события: Alert Manager Event Interface

Категория события: Отсутствует

Код события: 257

Дата: 11.12.2006

Время: 13:28:39

Пользователь: Н/Д

Компьютер: *

Описание:

VirusScan Enterprise: Failed to save schedule data into CMA.(from * IP *.*.*.* user * running VirusScan Ent. 8.0.0 UPD)

Предположение: В сети находится где то настроенный EPO, который и пристал к моему "неуправляемому" клиенту и попытался подчинить его себе. Доступа к этому EPO у меня нет.

Как мне от него избавиться чтобы у меня опять работало обновление баз по шедулеру + нужно чтобы и другой EPO к нему пристать не мог?

У меня администратор запаролен. Сам сижу под своим именем с админскими правами с паролем. Получается что это чудеса какие-то что так происходит ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

можно узнать а что в окнечном итоге вы хотите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

ANTISIMIT

В конечном итоге я хочу чтобы установленный на ноутбук

McAfee VSE8 + patch 14+AS не мог быть автоматически подчинен какиму-нибудь EPO, который наверняка будет установлен в какой-нибудь из сетей к которым он будет подключаться. То есть нужно чтобы VSE8 продолжал обновляться как и раньше с сайта McAfee.com в соответствии с настройками по шедулеру.

Можно ли считать в данном случае решением данной задачи, такой метод:

1. Установить McAfee VSE8 + patch 14+AS

2. Установить EPO

3. В политиках ePo для данного компьютера в закладке VirusScan поставить Enforce Policy в No

??

В результате когда ноутбук будет подключен к другой сети с другим EPO, он к нему не пристанет и VSE8 и также будет продолжать обновляться с сайта McAfee.com по шедулеру.

другой способ

В настройках User Interface Options VSE8 сделать 2 настройки:

1) убрать галочку Allow this system to make remote console connections to other systems

2) в настройках Password Options установить пароль на password protection for all items listed

Достаточно этого будет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest88

ePO для управления использует агента. Для начала расправяемся с ним:

"C:Program FilesNetwork AssociatesCommon Frameworkfrminst.exe" /remove=agent

или

"C:Program FilesMcafeeCommon Frameworkfrminst.exe" /remove=agent

Затем, если есть возможность меняеш настройки под себя - если нет, сносиш VirusScan, reboot, и ставиш заново.

Для того, чтоб неполучить агента заново, или отмени Admin$ share, или опусти Remote regitry service, или выбрось Domain Admins из Local Administrators group.

Good Luck и сНовым Годом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Guest88

Спасибо за конструктивный ответ.

Неужели паролирования настроек VSE8 будет не достаточно ?

С Новым Годом всех !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest88

alx19

No.

Password just lock user interface to prevent from non authoritative users make changes.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Guest88

А вот если поставить на ноутбук VSE8 + поставить EPO на соседней машине и намеренно поставить агента на машине с VSE8.

Далее в настройках EPO для данного VSE8 клиента сделать настройку:

Enforce Policy в No.

Соображение такое - агент epo привязан к конкретному серверу epo и с "левым" работать не будет.

Далее при использовании ноутбука с другими EPO в сети, таким образом настроенный агент с ними взаимодействовать не будет и обновления баз будут продолжать происходить с nai.com в соответствии с настройками.

Можно ли такое решение рассматривать в качестве альтернативного?

############

Удивляет, что даже когда EPO не знает пароля на учетную запись, все равно в случае если шары не зыкрыты - умудряется поставить агента. Как вообще такое возможно, не зная пароля совершать активность на компьютере ???

(Наверное через открытые порты, которые открывает VSE8 клиент... Да? )

############

Интересно, а достаточно ли будет использовать средства самого VSE8 для отключения шар, чтобы агент EPO не мог поставиться ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest88

Агент с другово еPO не поможет. Сервер при определении установлен ли агент опрашивает порт, а он вибирается при установке сервера. У каждово свой. Если порт не совпадёт, клиент будет опознан как "rogue" и нанего попитаются заталкать агента. Чтоб етого не допустит - смотри на 4 поста више.

Возможен другоы вариант заталкивания - через логин скрипт или стартап скрипт в GPO. Но ето, если ти member of domain.

VirusScan никаких портов или привилегий не откривает.

Шари не важно чем закриват (на мой взгляд).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Guest88

Возможен другоы вариант заталкивания - через логин скрипт или стартап скрипт в GPO. Но ето, если ти member of domain.

Если ноутбук будет member of domain,

достаточно ли будет воспользоваться любым из 3 способов:

1) отключить Admin$ share (но C$, D$,..., IPC$ - можно не отключать)

2) отключить службу Remote regitry

3) выбросить Domain Admins из Local Administrators group

для того чтобы агент ePO не мог встать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
    • Зотов Тимур
      Заинтересовало предложение.
    • Зотов Тимур
      Все спецально и делают деньги на них
×