Dred

Symantec Endpoint Protection

В этой теме 11 сообщений

Добрый день!

Symantec Endpoint Protection 11 MR4

Проблема была замечена по устареванию баз на клиентах при этом в вписке загруженных на сервере были свежие версии. При детальном осмотре выявлено, что на клиентах не выполняются команды. В консоле половина клиентов перестала показывать Online Status. Логи клиентов чистые

02/12/2009 19:40:19 <[email protected]> Smc Started = 0

02/12/2009 19:40:19 <[email protected]> compliance status changed, update SHM

02/12/2009 19:40:19 Symantec Network Access Control client started.

02/12/2009 19:40:19 <[email protected]> EnableDebug = 0

02/12/2009 19:40:19 <[email protected]> Update Compliance status

02/12/2009 19:40:19 <[email protected]>P2pInit started

02/12/2009 19:40:19 <[email protected]>P2p has started successfully

02/12/2009 19:40:19 <[email protected]> HandleReloadComplianceStatusRequest

02/12/2009 19:40:19 <[email protected]> g_hNTDLL is 60F60000, g_lpNapData is 0

Было произведено обновление до MR4 MP1 и обновлен вручную один тестовый клиент. Ситуация не изменилась. Данный клиент статус не показывает, базы не обновляет. В консоле command status 0% Подскажите в какую сторону копать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dred,

На клиентах установлен компонент Network Threat Protection?

В данный момент разрабатывается fix для MR4 MP1, поэтому загружать или обновлять вашу текущую версию SEP Symantec не рекомендует.

Проблема с подключением клиентов пока не решена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, Павел

Версию сервера сейчас откачу. Network Threat Protection на клиентах стоит. На клиентах, которые были установлены после начала проблемы, он в состоянии OFF на остальных ON

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dred обновленная версия MR4 MP1a уже доступна на fileconnect, можете ее установить. Также рекомендую попробовать воспользоваться утилитой диагностики, также не забудьте о возможности обратиться в тех. поддержку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл, спасибо за утититу

Сервер не обновлял, оставил MR4

В результате исслодования и вспоминания порядка действий над сервером было выяснено:

Проблемма образовалась в ввязи с некорректным переносом standalone базы на внешний SQL сервер.

все клиенты, которые были до переноса и те которые установленны позже видят сервер в состоянии offline. Соответственно ни обновления ни изменение политик не накатывается, хотя способ растространения - Push

Найдено следующее решение: В консоле управления создется новая группа, переписываються по новому политики, создается новый Client install Setting с указанием Remove all previous logs and policies, and reset the client-server communication setting. Делается Export Client Install Packages c новыми Client install Setting и производится ручной Update. В результате все ратотает (на переустановленных клиентах) все счастливы.

Единственный вопрос - оставшихся(мертвых), и подлежащих обновлению клиентов 400+ , некоторые подключаються по тонким каналам. Конечно же можно всем через SCCM раздать по 80 Мб свежего(обновленного) клиента, но каналы и бизнес критичные приложения не будут этому благодарны. Есть ли какое ни будь другое решение по принудительному обновлению политик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Есть ли какое ни будь другое решение по принудительному обновлению политик?

Вы хотите обновить политики или сделать так, чтобы все клиенты

были видны в SEPM и показывали статус online?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы хотите обновить политики или сделать так, чтобы все клиенты

были видны в SEPM и показывали статус online?

Я хочу заставить клиентов понимать все те действия, которые обычно делаються из консили SEPM (обновления баз, изменения в настройках, сканирование и прочее все что делают с management cleint). Обновление самих политик не самоцель

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хорошо,

1) Что сейчас происходит с неподключенными к SEP клиентами?

2) Какая версия SEP на них установлена?

3) Пробовали настраивать соединение между клиентами и SEPM?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1) Что сейчас происходит с неподключенными к SEP клиентами?

Живут своей жизнью согласно ранее полученных настроек (базы не обновляются, в оснастке клиента статут сервера - оffline, при попытке из сделать SEPM какое либо действее "Run command..." в отчетах command status - статус Not received - 100%). Полностью работаюь только клиенты установленные согласно выше описанному решению

2) Какая версия SEP на них установлена?

Version 11.0.4000.2295

на части клиентов установлен только AV на остальных AV + Network Threat Protection

3) Пробовали настраивать соединение между клиентами и SEPM?

не понял вопроса

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
не понял вопроса

Дело в том, что есть несколько статей, описывающих процесс настройки взаимодействия между клиентом и сервером:

1) Основной документ

2) Вспомогательный здесь

3) Как тестировать соединение между клиентом и сервером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dred пробовали воспользоваться утилитой sylinkdrop для проблемных клиентов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее