Перейти к содержанию
nikkon

Symantec Endpoint Protection

Recommended Posts

nikkon

доброго времени суток, я недавно установил на домашнюю машину под ОС Windows ХР SP3 - "symantec endpoint protection" (никаких проблем с установкой и обновлениями) баловался с виртуальной машиной "Sun xVM VirtualBox" пытаясь построить сеть между реальной и виртуальной машиной, теперь примерно раз в час - два выскакивает сообщение (скрин приложен)трафик с IP-адреса блокирован

сопровождающееся звуком выполненного действия (например распаковался архив такой же звук)

вопрос чтобы это значило? как сделать чтобы не было?

и еще нашелся бек дор

(я прошу прощения если отвлекаю)

траффик.JPG

бекдор.JPG

post-5433-1235871345_thumb.jpg

post-5433-1235871354_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

nikkon это значит что Система предотвращения вторжения (HIPS) обнаружила в трафике попытку эксплуатации одной из уязвимостей Microsoft (http://www.symantec.com/business/security_....jsp?asid=20386), что это за IP адрес? Есть небольшая вероятность ложного срабатывания, но так как SEP не предназначен для домашнего использования, у вас нет возможности добавить этот адрес в исключения, такая возможность есть только в консоли администратора. Есть возможность отключить HIPS, но это не рекомендуется

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nikkon
nikkon это значит что Система предотвращения вторжения (HIPS) обнаружила в трафике попытку эксплуатации одной из уязвимостей Microsoft (http://www.symantec.com/business/security_....jsp?asid=20386), что это за IP адрес? Есть небольшая вероятность ложного срабатывания, но так как SEP не предназначен для домашнего использования, у вас нет возможности добавить этот адрес в исключения, такая возможность есть только в консоли администратора. Есть возможность отключить HIPS, но это не рекомендуется

о нет что вы, я случайно наткнулся на статью, о системе HIPS, я можно сказать только из-за неё симантек и поставил , и тутже отказаться))) увольте)))))

адресов несколько и оди в основном начинаются на 94, и 84. а как заиметь консоль администратора? и нужно ил мне это?

или просто не обращать внимания на этот факт, а при каждом срабатывании, радоваться что мой друг на страже?)))))

и еще одна просьба, меня можно на "ты" называть, предлагаю впредь перейти на "ТЫ" :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone
адресов несколько и оди в основном начинаются на 94, и 84.
я думаю, что это не ложные срабатывания, т.к. адреса из интернета

рекомендую ознакомиться с тестом http://www.securitylab.ru/news/368759.php

а как заиметь консоль администратора? и нужно ил мне это?

или просто не обращать внимания на этот факт, а при каждом срабатывании, радоваться что мой друг на страже?)))))

Думаю, в данном случае стоит установить заплатки, если они не установлены и радоваться что "страж не дремлет".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
а как заиметь консоль администратора? и нужно ил мне это?

Консоль администратора можно заиметь на том же дистрибутиве,

на котором был и клиент. Называется она Symantec Endpoint Protection Manager.

В вашем случае можно установить менеджер на домашнюю станцию (XP SP3).

Тогда можно будет управлять клиентом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nikkon
я думаю, что это не ложные срабатывания, т.к. адреса из интернета

рекомендую ознакомиться с тестом http://www.securitylab.ru/news/368759.php

Думаю, в данном случае стоит установить заплатки, если они не установлены и радоваться что "страж не дремлет".

а есть еще и закладки? ух ты :unsure: )) а есть место где их взять ? или это тайна покрытая мраком? :huh:

Консоль администратора можно заиметь на том же дистрибутиве,

на котором был и клиент. Называется она Symantec Endpoint Protection Manager.

В вашем случае можно установить менеджер на домашнюю станцию (XP SP3).

Тогда можно будет управлять клиентом.

у меня из дестрибутива только один файл ехешный, и при установке он автоматом заблокировал возможность некоторых изменений (в управлении клиентами, например, он запретил мне настроить параметры, по причине, блокирования админом) вот, просто у меня была возможность слить готовый к употреблению файл, и использовать его б/п. вот теперь прибываю в неведении, так как никакого мануала, (это я к тому что я не лентяй, который "даже манула не читал")

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NIK SAM
а есть еще и закладки? ух ты :unsure: )) а есть место где их взять ? или это тайна покрытая мраком? :huh:

у меня из дестрибутива только один файл ехешный, и при установке он автоматом заблокировал возможность некоторых изменений (в управлении клиентами, например, он запретил мне настроить параметры, по причине, блокирования админом) вот, просто у меня была возможность слить готовый к употреблению файл, и использовать его б/п. вот теперь прибываю в неведении, так как никакого мануала, (это я к тому что я не лентяй, который "даже манула не читал")

Если у вас один файл из дистрибутива - то, видимо, нужно взять нормальный дистрибутив.

Более того - видимо у вас этот файлик сгенерирован на каком-то сервере - тоесть клиент(пакет, который у вас есть) был управляемым и некоторые функции были таки заблокированы администратором. :)

Заплатки на систему стоит, я так предполагаю, искать на сайте производителя системы. :)

Если внимательно (или нет :) )- но все же просмотреть, то можно заметить на приведенной выше ссылке http://www.symantec.com/business/security_....jsp?asid=20386 следующий текст, следующий за словами Solution: Microsoft has released a security bulletin MS04-012 with fixes....

То есть зайдите и посмотрите на МС текст бюлетня MS04-012 и предлагаемые заплатки для разных систем.

Как видно - это таки не тайна.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nikkon
Если у вас один файл из дистрибутива - то, видимо, нужно взять нормальный дистрибутив.

Более того - видимо у вас этот файлик сгенерирован на каком-то сервере - тоесть клиент(пакет, который у вас есть) был управляемым и некоторые функции были таки заблокированы администратором. :)

Заплатки на систему стоит, я так предполагаю, искать на сайте производителя системы. :)

Если внимательно (или нет :) )- но все же просмотреть, то можно заметить на приведенной выше ссылке http://www.symantec.com/business/security_....jsp?asid=20386 следующий текст, следующий за словами Solution: Microsoft has released a security bulletin MS04-012 with fixes....

То есть зайдите и посмотрите на МС текст бюлетня MS04-012 и предлагаемые заплатки для разных систем.

Как видно - это таки не тайна.

по ссылке

Microsoft Windows XP Professional SP1: это единственно близкое понятие , относительно заявленного, у меня же третий пак, или мне надо 1вый поставить? или разници нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pablo Z

Если 3-й пак, это обновление безопасности уже есть

В одной из верхених веток есть пример политки на эту тему, я щас тестирую у себя

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
×