Перейти к содержанию
6paT OnoccyM

Symantec Endpoint Protection

Recommended Posts

6paT OnoccyM

Добрый день!

Возник следующий вопрос, при включенной Защите от угроз из сети следующая ситуация:

Обмен пакетами с x.x.x.x по с 32 байт данных:

Ответ от x.x.x.x: число байт=32 время=35мс TTL=255

Ответ от x.x.x.x: число байт=32 время=17мс TTL=255

Ответ от x.x.x.x: число байт=32 время=16мс TTL=255

Ответ от x.x.x.x: число байт=32 время=16мс TTL=255

При выключенной Защите от угроз из сети все нормально, и задержка <1ms

Версия клиента 11.0.4014.26, компьютеры в одной сети. Если на пингуемой и пингующей машине включена Защите от угроз из сети, то задержка еще больше.

Подскажите это нормально или не очень?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Вообще это известная проблема с MR4, особенно

с машинами WinXP: ICMP-траффик идет с задержками

Во всем виноват именно файервол, а не IPS.

Какое сетевое оборудование используете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

6paT OnoccyM если не ошибаюсь - должны исправить в MR4 MP2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6paT OnoccyM

Подскажите а как можно сейчас избавиться от задержки?

В Политике брандмауэра отключено все, в правилах одна строка - разрешено все для всех.

В Политике предотвращения вторжений отключено все.

ping пакетами 1500 байт ~12ms.

если отключить эти политики - ситуация та же.

Однако, если у клиента выключить Защиту от угроз из сети, то ping сразу <1ms.

Можно ли как-то с консоли управления отключить у клиента Защиту от угроз из сети без переустановки антивируса без модуля Защита от угроз из сети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Можно ли как-то с консоли управления отключить у клиента Защиту от угроз из сети без переустановки антивируса без модуля Защита от угроз из сети?

К сожалению, никак нельзя. Только отключением NTP.

Но вы можете откатиться назад на MR3 (в нем этой проблемы не было).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Павел, не совсем так.

Откатываться на MR3 не советую, в MR4 многое исправлено. Вам необходимо просто удалить политику Файрвола для группы, после этого файрвол будет работать в прозрачном режиме, IPS рекомендую оставить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6paT OnoccyM

Кирилл, в том и дело, что если просто не включать политику для группы в настройках Политики брандмауэра, то ситуация не меняется.

А как только на клиентской машине вручную отключаешь Защиту от угроз от сети - сразу задержка исчезает. Можете у себя попробовать.

ping x.x.x.x -t -l 1500

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Можете у себя попробовать.

ping x.x.x.x -t -l 1500

Действительно, на MR4 есть такая задержка.

Еще раз повторяю, это появилось только в MR4.

Должно быть исправлено в MR4 MP2.

Так что 3 варианта - обновится до него, откатиться до MR3

или сидеть без файерволла...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

6paT OnoccyM если проблема критичная - то можно перейти на MR3, сидеть без файрвола, а точнее как минимум IPS - не рекомендую, если не так критично - открываете запрос в тех. поддержке и ждете MR4 MP2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В Win7 dns лог работать таки не будет, увы там он дырявый и почти все проходит мимо него, в win 8.0 в ограниченном виде будет работать.
      В Win11 лог отключается сразу, глюка как с 10-кой нет, что радует все-таки что-то исправляют.
    • Ego Dekker
      Домашние антивирусы были обновлены до версии 14.2.23.
    • demkd
      повторюсь, отключение сбора информации не происходит до перезагрузки из-за криворукости microsoft, врочем нагрузка низкая и можно и не отключать вообще, запущенный браузер иногда пишет на диск раз в 20 больше за тоже время и это если ему оперативки вполне хватает.
    • santy
      ясно, будет рекомендовать выполнить regt 40 сразу после создания образа автозапуска.
    • PR55.RP55
      Так не пойдёт. Люди бывает начинают лечение - выполняют первый скрипт куда включена команда regt 39 ( скрипт помогает ...)  и на этом всё. Если тем много - оператор может забыть о regt 40 Бывает  народ неделями не перезагружает PC ( не говоря о серверах ) Бывает народ занимается самолечением, или выполняет чужие скрипты, или "свои" скрипты из своей предыдущей\старой темы. т.е. параллельно с применением  regt 39 - должна создаваться задача которая по прошествии 2-3-х суток это дело прекратит.    
×