alx19

Настройка McAfee VSE8 для работы в режиме Unmanaged

В этой теме 9 сообщений

На компьютер (xp sp2 pro) подключенный к локальной сети города, поставил (с целью тестирования)

McAfee VSE8 + patch 14 + AS (вручную с помощью exe дистритутива VSE8).

Выставил обновление баз с сайта McAfee.com по шедулеру каждый день в 20:00.

Через некоторое время в трее зажглась буква M потом она изчезла.

После этого обновление баз по шедулеру работать перестало. Обновление происходит только при нажатии на кнопку - Update Now.

При попытке изменить дату обновления, в журанал событий попадает следующее сообщение:

Тип события: Ошибка

Источник события: Alert Manager Event Interface

Категория события: Отсутствует

Код события: 257

Дата: 11.12.2006

Время: 13:28:39

Пользователь: Н/Д

Компьютер: *

Описание:

VirusScan Enterprise: Failed to save schedule data into CMA.(from * IP *.*.*.* user * running VirusScan Ent. 8.0.0 UPD)

Предположение: В сети находится где то настроенный EPO, который и пристал к моему "неуправляемому" клиенту и попытался подчинить его себе. Доступа к этому EPO у меня нет.

Как мне от него избавиться чтобы у меня опять работало обновление баз по шедулеру + нужно чтобы и другой EPO к нему пристать не мог?

У меня администратор запаролен. Сам сижу под своим именем с админскими правами с паролем. Получается что это чудеса какие-то что так происходит ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

можно узнать а что в окнечном итоге вы хотите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ANTISIMIT

В конечном итоге я хочу чтобы установленный на ноутбук

McAfee VSE8 + patch 14+AS не мог быть автоматически подчинен какиму-нибудь EPO, который наверняка будет установлен в какой-нибудь из сетей к которым он будет подключаться. То есть нужно чтобы VSE8 продолжал обновляться как и раньше с сайта McAfee.com в соответствии с настройками по шедулеру.

Можно ли считать в данном случае решением данной задачи, такой метод:

1. Установить McAfee VSE8 + patch 14+AS

2. Установить EPO

3. В политиках ePo для данного компьютера в закладке VirusScan поставить Enforce Policy в No

??

В результате когда ноутбук будет подключен к другой сети с другим EPO, он к нему не пристанет и VSE8 и также будет продолжать обновляться с сайта McAfee.com по шедулеру.

другой способ

В настройках User Interface Options VSE8 сделать 2 настройки:

1) убрать галочку Allow this system to make remote console connections to other systems

2) в настройках Password Options установить пароль на password protection for all items listed

Достаточно этого будет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ePO для управления использует агента. Для начала расправяемся с ним:

"C:Program FilesNetwork AssociatesCommon Frameworkfrminst.exe" /remove=agent

или

"C:Program FilesMcafeeCommon Frameworkfrminst.exe" /remove=agent

Затем, если есть возможность меняеш настройки под себя - если нет, сносиш VirusScan, reboot, и ставиш заново.

Для того, чтоб неполучить агента заново, или отмени Admin$ share, или опусти Remote regitry service, или выбрось Domain Admins из Local Administrators group.

Good Luck и сНовым Годом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Guest88

Спасибо за конструктивный ответ.

Неужели паролирования настроек VSE8 будет не достаточно ?

С Новым Годом всех !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alx19

No.

Password just lock user interface to prevent from non authoritative users make changes.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Guest88

А вот если поставить на ноутбук VSE8 + поставить EPO на соседней машине и намеренно поставить агента на машине с VSE8.

Далее в настройках EPO для данного VSE8 клиента сделать настройку:

Enforce Policy в No.

Соображение такое - агент epo привязан к конкретному серверу epo и с "левым" работать не будет.

Далее при использовании ноутбука с другими EPO в сети, таким образом настроенный агент с ними взаимодействовать не будет и обновления баз будут продолжать происходить с nai.com в соответствии с настройками.

Можно ли такое решение рассматривать в качестве альтернативного?

############

Удивляет, что даже когда EPO не знает пароля на учетную запись, все равно в случае если шары не зыкрыты - умудряется поставить агента. Как вообще такое возможно, не зная пароля совершать активность на компьютере ???

(Наверное через открытые порты, которые открывает VSE8 клиент... Да? )

############

Интересно, а достаточно ли будет использовать средства самого VSE8 для отключения шар, чтобы агент EPO не мог поставиться ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Агент с другово еPO не поможет. Сервер при определении установлен ли агент опрашивает порт, а он вибирается при установке сервера. У каждово свой. Если порт не совпадёт, клиент будет опознан как "rogue" и нанего попитаются заталкать агента. Чтоб етого не допустит - смотри на 4 поста више.

Возможен другоы вариант заталкивания - через логин скрипт или стартап скрипт в GPO. Но ето, если ти member of domain.

VirusScan никаких портов или привилегий не откривает.

Шари не важно чем закриват (на мой взгляд).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Guest88

Возможен другоы вариант заталкивания - через логин скрипт или стартап скрипт в GPO. Но ето, если ти member of domain.

Если ноутбук будет member of domain,

достаточно ли будет воспользоваться любым из 3 способов:

1) отключить Admin$ share (но C$, D$,..., IPC$ - можно не отключать)

2) отключить службу Remote regitry

3) выбросить Domain Admins из Local Administrators group

для того чтобы агент ePO не мог встать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее