Перейти к содержанию

Recommended Posts

yukho

Здравствуйте!

В ходе эксплуатации Symantec Endpoint Protection 11.0.2000 MR2 хотелось бы поинтересоваться...

Синопсис: в тестовой зоне развётнут вышеуказанный продукт, вроде бы работает более-менее удовлетворительно, НО существуют угрозы (вирусы) которые не обнаруживаются данной программой! На ряде клиентов снимали жесткий диск и проверяли сторонним антивирусом (Касперский) - находил около десятка угроз. Данные угрозы посредством данной формы: https://submit.symantec.com/websubmit/gold.cgi были отправлены в Symantec. В итоге сигнатуры были добавлены в Latest Daily Certified version и Latest Rapid Release version, но судя по дате обнаружения - эти угрозы известные, некоторые из них: (http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99 , http://www.symantec.com/security_response/...-021914-2822-99 , http://www.symantec.com/security_response/...-101518-4323-99 ) Собственно, вопрос, почему данные сигнатуры не содержались ранее? Хотелось бы поподробнее узнать о "types of virus definitions" в Symantec...

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

наверное версия старого зверя, которую симантек не знал

докрутили сигнатуру - и теперь знает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Собственно, вопрос, почему данные сигнатуры не содержались ранее?

Собственно ответ такой: за 2007 года Symantec Security Response обнарудил примерно около 600 000 новых образцов вредоносного кода. Представляете, если бы все эти образцы были бы добавлены в базу, какого размера бы она стала. Соответственно каждая уникальная сигнатура, со своим собственным именем - это увеличение размера базы обновления. Поэтому, чем более глубокий корреляционный подход к формированию описаний вирусов применяется, тем меньше база, тем меньше памяти и дискового пространства занимает антивирус в процессе своей работы. В данном случае мы говорим именно об этом; если Вы обратите внимание на список изменений к базам (Изменения), то заметите, что добавляется очень мало новых сигнатур, однако огромное количество сигнатур модифицируется, совершенствуется, делается более интеллектуальными.

Хотелось бы поподробнее узнать о "types of virus definitions" в Symantec

Обновления Антивирусных баз

Multiple Daily Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 6-10 часов 7 дней в неделю. Доступны только для продуктов Symantec Endpoint Protection 11 и Norton 2008 через LiveUpdate.

Daily Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 20-28 часов 7 дней в неделю. Доступны для всех продуктов, кроме Norton 2005 и ниже, через LiveUpdate или через Intelligent Updater.

Weekly Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 7 дней. Доступны для всех продуктов через LiveUpdate или через Intelligent Updater.

Rapid Release - ограниченно протестированные и сертифицированные обновления, выходящие каждые 30-60 минут. Доступны для всех продуктов кроме SEP/SAV CE/ SCS через LiveUpdate или для всех продуктов через ftp сервер. Для снижение вероятности ложных срабатываний рекомендуется использовать только для серверных и шлюзовых продуктов.

Обновления IPS сигнатур - выходят 1-7 раз в неделю.

Обновления баз Коммерческих приложений - выходят 2-5 раз в неделю.

Обновления баз Известных приложений - выходят 2-5 раз в неделю.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yukho

Огромное спасибо за разъяснения.

И ещё, имеются продукты Symantec Mail Security for Microsoft Exchange 6.0 и Symantec Endpoint Protection 11.0.2, имеется ли возможность сделать так, чтобы обновлялись эти продукты из одного (локального) места - не по отдельности из Интернета - по-видимому, нужно использовать LiveUpdate Administrator, но пока не было возможности разобраться, может кто опробовал данную схему, заранее благодарю?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
нужно использовать LiveUpdate Administrator

Именно так все и делается. Последняя версия LUA содержится на 2 диске SEP (если это русская версия дистрибутива, то LUA и документация к нему также на русском языке). Единственно, в вашем случае не получится экономить трафик, так как обновления для SEP и SMS доступны как уже указывалось в разные интервалы времени, SEP - каждые 8 часов, SMS - раз в день. Но если настроить клиентов также обновляться с данного сервера, если они по какой-то причине могут обновиться с SEPM, то тогда экономия может и быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yukho

...Наконец, попробовал настроить LiveUpdate Administrator. В итоге, сервис загружает и публикует все необходимые обновления, SEPM успешно загружает с него контент (сервер обновлений конфигурировал в настройках SEPM), а вот серверы с SMS ни в какую не обновляются с внешнего сервера. Действовал так - создал в LUA файл конфигурации и подсунул его в директорию LiveUpdate на серверах SMS. Файл переименовывал по-разному (и 1.Settings.Hosts.LiveUpdate, и Settings.Default.LiveUpdate...). Кто-нибудь конфигурировал подобную схему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

yukho а какой SMS? 6 для Exchange? Зачем так усложнять, ведь в продуктах Symantec в GUI можно выбрать использование альтернативного источника обновлений?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Почему бы Symantec не выкладывать обновления отдельным файликом для Proactive Threat Protection и Network Threat Protection, точно так же как для virus definitions. Что бы была комплексная защита точек, в которых, в данный момент даже интернета нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Почему бы Symantec не выкладывать обновления отдельным файликом для Proactive Threat Protection и Network Threat Protection, точно так же как для virus definitions. Что бы была комплексная защита точек, в которых, в данный момент даже интернета нет.

Для Проактивной защиты эти обновления будут доступны для скачивания в ближайшем будущем, что касается IPS сигнатур - то это вряд ли, тем более что на компьютерах без Интернета они не настолько важны, как на тех что к Интернету доступ имеют. Также не стоит забывать, что все клиенты могут обновляться через SEPM, так что достаточно чтобы у него был доступ к Интернету

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yukho
yukho а какой SMS? 6 для Exchange? Зачем так усложнять, ведь в продуктах Symantec в GUI можно выбрать использование альтернативного источника обновлений?

Кирилл, да 6-ой, но что-то не могу найти в консоли где можно изменить сервер загрузки обновлений...Вообще, вероятно, надо поменять настройки в <System folder>\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Settings.LiveUpdate - один сервер таким образом получилось настроить, пока тестирую.

И ещё, как Вы уже писали, сигнатуры для SMS выпускаются раз в день, тоесть расписание нужно настраивать на раз в 12 часов? Вообще, где-нибудь есть информация по рекомендуемым настройкам интервалов обновления продуктов Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Кирилл, да 6-ой, но что-то не могу найти в консоли где можно изменить сервер загрузки обновлений...Вообще, вероятно, надо поменять настройки в <System folder>\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Settings.LiveUpdate - один сервер таким образом получилось настроить, пока тестирую.

К сожалению в SMS 6.0 эти настройки из интерефейса недоступны, схему изменения сервера для обновлений для него я уточню.

И ещё, как Вы уже писали, сигнатуры для SMS выпускаются раз в день, тоесть расписание нужно настраивать на раз в 12 часов? Вообще, где-нибудь есть информация по рекомендуемым настройкам интервалов обновления продуктов Symantec?

Да, если Вы не активировали режим RapidRelease, то обновления выходят не реже чем один раз в 24 часа, но может быть и чаще. 12 часов это нормальный интервал. Через LUA можно настроить только стандартные обновления, RapidRelease работает только напрямую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
×