Перейти к содержанию
filin33

Symantec Endpoint Protection

Recommended Posts

filin33

Доброе время суток! Вылезла пробема, приобрели Symantec Endpoint Protection 11, начал устанавливать STOP ошибка 0x0000000a (0x00000028, 0x0000001b, 0x0628156).

Проблема проявилась на 4 32-х разрядных серверах, на 64-х битном все встало сразу и без проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

filin33 какую версию клиента устанавливали? Какая языковая версия? BSOD на клиенте SEP это очень редкое явление, особенно на всех клиентах сразу. Скорее всего конфликт с каким-то установленным ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
filin33

версия клиента: Symantec_Endpoint_Protection_11.0.2020_MR2_MP2_AllWin_RU

с чем конфликт я уже выловил, это теминальный сервер от компании nComputing (корея) до сего момента никогда с продуктами от Symantec никаких конфликтов не наблюдалось.... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
с чем конфликт я уже выловил, это теминальный сервер от компании nComputing (корея) до сего момента никогда с продуктами от Symantec никаких конфликтов не наблюдалось....

Ну все бывает, конфликтует скорее всего модуль Контроля Приложений. Его можно не ставить на эти ПК, а через тех. поддержку нужно открыть запрос по этой проблеме. В MR3 модуль контроля Приложений выключен до тех пор, пока политика не активирована, это должно снизить вероятность подобных проблем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
filin33

Спасибо! Буду пробовать, по результату напишу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
filin33

На одном получилось... не стал ставить управление приложениями и устройствами, а так-же защиту от сетевых угроз...

Встало как родное и даже в отличии от предыдущих случаев не потребовало перезагрузки. Вечером попробую на остальных, если сработает - то тема закрыта. Еще раз благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
не стал ставить управление приложениями и устройствами

В данном случае у вас нет выбора, но советовал бы через тех. поддержку исправить эту проблему, так как модуль это полезный, особенно в части Контроля Устройств

а так-же защиту от сетевых угроз...

Вот это советовал бы оставить, если проблема не из-за него. Файрвол использовать необязательно, а вот Систему Предотвращения вторжений - настоятельно рекомендую

Встало как родное и даже в отличии от предыдущих случаев не потребовало перезагрузки

Перезагрузку требует Файрвол, если его не ставить - перезагрузка не нужна

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
filin33

Все точно работает! Добавил защиту от сетевых угроз на 2 серверах, не ставил только компонент управления устройств - все нормально. С тех поддержкой свяжусь обязательно, сейчас главное было прикрыть сервера, а то сидел на левом антивирусе. Теперь легальный и довольный!:)

PS перезагрузка не потребовалась....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Все точно работает! Добавил защиту от сетевых угроз на 2 серверах, не ставил только компонент управления устройств - все нормально. С тех поддержкой свяжусь обязательно, сейчас главное было прикрыть сервера, а то сидел на левом антивирусе. Теперь легальный и довольный!:)

PS перезагрузка не потребовалась....

Отлично

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester4

SEP MR3 Eng Client Unmanaged под XP SP3 Pro RUS:

Почему если включить контроль приложений часто появляется сообщение: "Traffic has been blocked from this application: (ntoskrnl.exe)"?

Как этого избежать?

Application and Device Contol в данном случае не работает (в Unmanaged)? Данная опция и есть Система Предотвращения вторжений? Может Система Предотвращения вторжений это Intrusion Prevention? Если последнее, то как лучше отключить фаервол (чтобы использовать windows фаервол вместо него), если он не нужен, а Intrusion Prevention нужна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Почему если включить контроль приложений часто появляется сообщение: "Traffic has been blocked from this application: (ntoskrnl.exe)"?

А можно поконкретнее, какую опцию именно Вы включаете?

Как этого избежать?

Скорее всего отключить информационный popup в настройках Файрвола

Application and Device Contol в данном случае не работает (в Unmanaged)?

Работает, но настроек в GUI клиента нет. Вы знаете хоть одного человека, который будет сам себе что-то запрещать на рабочем месте? Не забывайте, SEP это корпоративный, а не домашний продукт. В Norton часть этой функциональности реализована

Данная опция и есть Система Предотвращения вторжений?

Нет, Система предотвращения вторжения (IPS) - это составная часть файрвола

Если последнее, то как лучше отключить фаервол (чтобы использовать windows фаервол вместо него), если он не нужен, а Intrusion Prevention нужна?

Удалите все правила или создайте одно, все разрешающее. А Систему предотвращения вторжений оставьте включенной

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester4
А можно поконкретнее, какую опцию именно Вы включаете?

В SEP MR3 Client Unmanaged под xp sp3 pro oem достаточно поставить network threat protection и ничего не менять в настройках (дефолт.), чтобы временами начало появляться такое сообщение. Включение Allow only application traffic не влияет на частоту появления такого сообщения.

Если в фаерволе sep удалить все правила или создать одно, все разрешающее, а Систему предотвращения вторжений оставьте включенной, то будет ли в результате компьютер хуже защищен от вирусов чем если вместо установки network threat protection.. использовать в качестве фаервола windows firewall xp sp3?

Можно ли управлять всем функционалом фаервола sep client unmanaged без использования sep manager?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
В SEP MR3 Client Unmanaged под xp sp3 pro oem достаточно поставить network threat protection и ничего не менять в настройках (дефолт.), чтобы временами начало появляться такое сообщение. Включение Allow only application traffic не влияет на частоту появления такого сообщения.

У меня точно такая же конфигурация на 2 ПК, ничего подобного не видел

Если в фаерволе sep удалить все правила или создать одно, все разрешающее, а Систему предотвращения вторжений оставьте включенной, то будет ли в результате компьютер хуже защищен от вирусов чем если вместо установки network threat protection.. использовать в качестве фаервола windows firewall xp sp3?

Файрвол в ОС Windows - это одно название, так что думаю ответ очевиден

Можно ли управлять всем функционалом фаервола sep client unmanaged без использования sep manager?

Да

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester4

Вопрос о SEP MR3 Unmanaged под xp sp3 pro oem:

На Celeron 1700/1024/... при копировании больших файлов с раздела на раздел иногда выключается proactive threat protection. помогает рестарт ос или стоп, старт сервисов sep. надо считать, что у любых продуктов бывают ошибки и главное, что антивирусная защита при этом не отключается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
На Celeron 1700/1024/... при копировании больших файлов с раздела на раздел иногда выключается proactive threat protection. помогает рестарт ос или стоп, старт сервисов sep. надо считать, что у любых продуктов бывают ошибки и главное, что антивирусная защита при этом не отключается?

Можете поточнее указать какого размера файлы, как определяете что проактивная защиты выключается, есть ли какие-то записи в логах по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester4
Можете поточнее указать какого размера файлы, как определяете что проактивная защиты выключается, есть ли какие-то записи в логах по этому поводу?

В настройках SEP включено сканирование файлов на сетевых дисках.

Под XP SP3 pro oem rus c раздела ПК Cel1700/1024/… где стоит SEP MR3 Client Unmanaged на сетевой раздел ПК без антивируса копировались файлы с расширением .nd0, .nd1, .str, .ndt, 6t0, 6t1, 6tr, 7tr, 8tr, 9tr… объемом до 2G каждый.

В процессе копирования в sep proactive treat scan перешел в состояние off и стал писать

Waiting for updates.

В логах появилось следующее сообщение:

TruScan has generated an error: code 14: description: CAL Failure

После завершения копирования TruScan не включился и запрос обновлений через кнопку liveupdate не помог.

После перезапуска OS TruScan включился.

Чтобы установить SEP MR3, сначала удалял MR2 MP2 через установку и удаление программ. Может SEP пока не умеет корректно удаляться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

tester4 к сожалению нет информации по такой проблеме. Если есть возможность, откройте запрос в тех. поддержке по данной проблеме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
tester4

Можно, пожалуйста, ответить еще на вопросы о SEP MR3 Unmanaged под xp sp3 pro oem:

Для того чтобы исключить влияние на систему фаервола в дефолтной настройке необходимо убрать 3 галочки в основных настройках напротив:

Enable Smart DHCP

Enable Smart DNS

Enable Smart WINS

А в firewall rules убрать галочки напротив:

Block IPv6 (Ethernet type 0x86dd)

Block IPv6 over IPv4 (Teredo) Remote UDP port 3544. (Напротив Allow галочки оставить) Так?

В разделе Traffic Settings есть возможность поставить галочку Allow token ring traffic, что наводит на мысль о том, что по умолчанию фаервол его запрещает... Может нужно только деактивировать все галочки в Firewall Rules, а в разделе Firewall (Network Treat Protection Settings) ничего трогать не надо?

В настройках нет опции ограничения времени сканирования файлов в режиме on-access scan. SEP определяет для каждого файла индивидуально через какое время прекращать сканирование, данное время одинаково для всех файлов или может сканирование идет каждый раз до тех пор пока файл не будет просканирован полностью?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
    • santy
      можно, но только через контекстное меню.  а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click, так что не факт что это будет проще и быстрее. вообщем рационализация спорная, имхо. можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.  
    • PR55.RP55
      Дело то не в этом. Дело в наличие команды:  " Удалить только сам файл" в меню Инфо. значит отдавать команды через меню Инфо. можно. ( Для системных файлов так ,или иначе уже реализована защита ссылок от удаления. ) Вернёмся к теме: " alamor пишет: неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. "  
×