Перейти к содержанию

Recommended Posts

Sachou

Добрый день,

SEPM вер. 11.0.5002.333

С 18 мая перестали правильно отображаться версии обновлений клиентов в отчете, хотя строчки "Последние версии Симантек и Администратора" отображаются корректно.

Версии обновлений на клиентах соответствуют версии Администратора.

0002e47f1f9e.jpg

В чем может быть проблема?

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

heartbeat какой между клиентами и серверами?

дайте на клиенте для эксперимента команду smc -updateconfig

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sachou

Вот настройки контрольного сигнала

fdf346a5e966.jpg

Команду smc -updateconfig на клиенте дал, но результата нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sachou

А вот как в консоли отображается инфа о клиенте, хотя, в действительности, на клиенте версия обновления соответствует версии Администратора

3c7aed1c2305.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Обновите версию SEP&SEPM до текущей. Версии 5000 были глюковаты.

Остановите службы SEPM и выполните команды:

1) C:\Program Files\Symantec\Symantec Endpoint Protection Manager\bin\lucatalog -cleanup

2) C:\Program Files\Symantec\Symantec Endpoint Protection Manager\bin\lucatalog -update

P.S это может быть еще связано с этим... http://www.anti-malware.ru/forum/index.php?showtopic=17142

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Strannik

Привет.

Из консоли SEPM клиента удалять не пробовали? После повторного обращения клиента к серверу он заново должен зарегистрироваться и передать данные о текущем положении дел.

Попробуйте сначала на одном :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sachou

Сделал, как Вы написали. Подожду немного, посмотрим, будут ли изменения.

Кстати, когда отключал службы, обратил внимание, что служба Symantec Network Access Control отключена. Так и должно быть?

По поводу сертификата, там написано, что ничего делать не надо, если стоит Endpoint Protection. Или я неправильно понял на английском?

Endpoint Protection 12.0 / 11.0 SymRoot2 Support None

Из консоли SEPM клиента удалять не пробовали?

Сейчас попробую, спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sachou
Из консоли SEPM клиента удалять не пробовали?

Удалил одного клиента из консоли. Клиент повторно зарегистрировался, но никакая информация о нем не отображается. Т.е., резюмируя, SEPM загружает новые обновления, обновляет клиентов, но информация о состоянии обновлений на клиентах не отражается в консоли ( в 18 мая).

332869ea9965.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Просветов
Кстати, когда отключал службы, обратил внимание, что служба Symantec Network Access Control отключена. Так и должно быть?

Да, Network Access Control - отдельный модуль и лицензируется отдельно (http://www.symantec.com/ru/ru/business/net...-access-control).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sachou
Тут и вот тут смотрели?

Очень интересно....я не исключаю, что права доступа к папкам SEP и SEPM могли измениться вследствие неких действий, произведенных на сервере. Теперь надо будет найти сервер с установленным SEPM, чтобы сравнить доступы к папкам SEP и SEPM.

Да, Network Access Control - отдельный модуль и лицензируется отдельно (http://www.symantec.com/ru/ru/business/net...-access-control).

Понял, спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sachou

Пока не получается ничего сделать...

Сейчас качаю Symantec Endpoint Protection 11.0.6 MP3 Xplat RU 11.0.6300.803 x86+x64

Если я обновлю SEPM с вер. 11.0.5002.333 на 11.0.6300.803, то клиенты подцепятся к обновленной версии?

и еще вопрос, если надо обновить только SEPM, установку запускать из папки SEPM или setup.exe из корня?

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Strannik
Пока не получается ничего сделать...

Сейчас качаю Symantec Endpoint Protection 11.0.6 MP3 Xplat RU 11.0.6300.803 x86+x64

Если я обновлю SEPM с вер. 11.0.5002.333 на 11.0.6300.803, то клиенты подцепятся к обновленной версии?

и еще вопрос, если надо обновить только SEPM, установку запускать из папки SEPM или setup.exe из корня?

Спасибо

1) Подцепятся.

2) Как хотите. Если из корня - запустится меню автозапуска, если из SEPM - запуск установки напрямую.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sachou

Всем большое спасибо за помощь!

Проблема решилась. Как я уже писал выше, на сервере были произведены некие действия, изменившие права доступа, в результате чего папке Symantec (и соответственно вложенным папкам) были присвоены права для группы "ВСЕ" с полным доступом. После восстановления корректных прав, консоль заработала!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sachou

P.S. Как репу ставить? Жму на плюсик, но ничего не происходит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

У Вас недостаточно сообщений для изменения репутации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sachou
У Вас недостаточно сообщений для изменения репутации.

Жаль, хотел ребятам за помощь плюсануть.

Тему можно закрывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Поставил плюсы за Вас. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.7
      ---------------------------------------------------------
       o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
         В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
         в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
         в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
         который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
         промежуточные адреса будут отфильтрованы.
         Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
         (!) После включения функции требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию с момента загрузки системы.
         (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
         (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
         (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
    • akoK
    • PR55.RP55
      Предлагаю создать новую базу  SHA1(+ ) <   > ЭЦП Это не база проверенных файлов... Это база проверенных файлов с ЭЦП. т.е. На системе №1 Проверяем файл ( ЭЦП - проходит проверку ) > SHA1 файла добавляется в базу  SHA1(+ ) > Оператор переходит к системе №2 и проверяет ЭЦП ... по базе SHA1(+). Почему по базе... Возможна ли проверка SHA2  на WINDOWS XP  и  т.д ;  На системах без обновлений с повреждённым каталогом ЭЦП ? А так...  Программа вычисляет SHA1 файла  > SHA1  проверяется по базе SHA1(+ ) ... > ЭЦП есть в базе = подтверждение цифровой. + Выигрыш по времени при проверке. Да,  подпись могут отозвать и т.д.  Но...  
    • santy
      это не нагромождение, это осознанный поиск. который не требует дополнительного программирования новых функций. пока что на VT видим, что функция поиска выполняется по хэшу. Если в API на VT есть возможность поиска по цифровой, почему бы и нет. + надо смотреть другие базы с сэмплами, которые предоставляют функции поиска через API public - есть там возможность поиска по цифровой или тоже только по хэшу, а пока что только поиск через Google. SHA1 как раз вещь постоянная для файла, а вот цифровые левые быстро отзываются. (и злоумышленники будут вынуждены подписывать свои файлы уже другой цифровой). если найден вредоносный файл с некоторой цифровой, и так уже понятно, что цифровую заносить в blacklist, и далее, уже все файлы с данной цифровой попадут в подозрительные и вирусы на других машинах.
×