Перейти к содержанию
Darkmage

Symantec Endpoint Protection

Recommended Posts

Darkmage

Есть некий сервер на базе ОС 2003 Wind, на котором был установлен клиент SAV 11, сервер фактически являеться сервером 1-й программы, к которой необходим терминальный доступ нескольких пользователей. На сервере крутилась утилитка UPHClean которая выполняла действие - пользователь нажимает выход из программы - происходт Log off. После установки SAV, при попытке данного ПО сделать Logoff, посыпались в логах ошибки ID 45, это решилось донастройкой политики - Защита от изменений - галочка - защита программ обеспечения безопастности от изменения или выключения.

Теперь после принудительного производства Log off'a пользователя через деспетчера задачь, в логи падает ID 1401 ссылающаяся на RTVSCAN.exe и некий ключ реестра. При такой ситуации, когда пользователь снова подключаеться к серверу через RDP он попадает на свой прошлый сеанс, где программа уже выключена, (она запускаеться скриптом при log on), и запустить он её не может (ограничение прав).

Подскажите - как можно добавить права данной утилите на выполнение завершения работы антивируса. или что-то в этом роде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Darkmage

Решил я свою проблемму.

Вот решение:

As requested via PM, although the whitepaper is still in work, the critical points you need to know are below:

1. Each user session will by default load SmcGui and ccApp (and ProtectionUtilSurrogate if the server is 64bit)

2. These processes take memory and CPU (multiple SmcGui's can result in 100% CPU usage)

3. Neither are required for SEP to function

In order to prevent SmcGui and ProtectionUtilSurrogate from loading, perform the following steps:

1. Logon to the server you wish to configure with an administrator account

2. Click Start, Run and type smc -stop then click OK. Enter a password if prompted. Wait for the shield to disappear from the system tray

3. Browse to the SEP Client installation location (normally C:\Program Files\Symantec\Symantec Endpoint Protection)

4. Find the file SmcGui.exe and right click it

5. Click Rename

6. Rename the file SmcGui.exe press Enter

7. Click File, New and select Text Document

8. Call the document SmcGui.exe press Enter

9. At the prompt to change the file extension, click Yes

10. Click Start, Run and type smc -start then click OK.

11. You will notice from Task Manager that SMC starts as SYSTEM, but SmcGui does not load.

In order to prevent ccApp from loading (if you really must, we are talking 1MB 99% of the time per user):

1. Logon to the server you wish to configure with an administrator account

2. Click Start, Run and type regedit then click OK

3. Browse to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (for 64bit servers this is HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run)

4. Find the entry ccApp and delete it

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Darkmage спасибо за то что указали решение проблемы, возможно это понадобится кому-то еще, более подробно:

http://service1.symantec.com/support/ent-s...6f?OpenDocument

http://service1.symantec.com/support/ent-s...78?OpenDocument

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
    • PR55.RP55
      1) При срабатывании критерия выделять не всю строку, а только вхождение\результат. Пример: C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL 2) Команду: Архивировать Zoo  добавить и  в меню файла. Если оператор работает с одним файлом - ему не нужно будет метаться по всей программе. Когда группа файлов - тогда, да удобно применить одну команду. Но когда файл один... 3) В Инфо. файла прописывать единственный это файл каталога, или нет. Примерно так: FC:  1 > ADNEKMOD8B4.DLL FC:  5 > Uninstall.exe;  Menu.exe;  MenuDLL.dll;  9z.dll;  Com.bat ; 4) При совпадении пути до файла: PROGRAM FILES ; PROGRAM FILES (X86) с одной из установленных программ. Писать в Инфо.:  C:\PROGRAM FILES (X86)\AIMP3\AIMP3.EXE Программа найдена: C:\Program Files (x86)\AIMP3\Uninstall.exe
    • PR55.RP55
      В связи с переходом угроз для: BIOS\UEFI из теории в реальность... Предлагаю создать отдельную программу для: Копирования\Восстановления; Просмотра; Просмотра info; Передачи на V.T; Расчёта SHA1 Замены прошивки на: https://www.anti-malware.ru/analytics/Market_Analysis/SDZ-MDZ-russia-market-overview и интеграцию с uVS    
×