Symantec Endpoint Protection - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
6paT OnoccyM

Symantec Endpoint Protection

Recommended Posts

6paT OnoccyM

Добрый день!

Возник следующий вопрос, при включенной Защите от угроз из сети следующая ситуация:

Обмен пакетами с x.x.x.x по с 32 байт данных:

Ответ от x.x.x.x: число байт=32 время=35мс TTL=255

Ответ от x.x.x.x: число байт=32 время=17мс TTL=255

Ответ от x.x.x.x: число байт=32 время=16мс TTL=255

Ответ от x.x.x.x: число байт=32 время=16мс TTL=255

При выключенной Защите от угроз из сети все нормально, и задержка <1ms

Версия клиента 11.0.4014.26, компьютеры в одной сети. Если на пингуемой и пингующей машине включена Защите от угроз из сети, то задержка еще больше.

Подскажите это нормально или не очень?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Вообще это известная проблема с MR4, особенно

с машинами WinXP: ICMP-траффик идет с задержками

Во всем виноват именно файервол, а не IPS.

Какое сетевое оборудование используете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

6paT OnoccyM если не ошибаюсь - должны исправить в MR4 MP2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6paT OnoccyM

Подскажите а как можно сейчас избавиться от задержки?

В Политике брандмауэра отключено все, в правилах одна строка - разрешено все для всех.

В Политике предотвращения вторжений отключено все.

ping пакетами 1500 байт ~12ms.

если отключить эти политики - ситуация та же.

Однако, если у клиента выключить Защиту от угроз из сети, то ping сразу <1ms.

Можно ли как-то с консоли управления отключить у клиента Защиту от угроз из сети без переустановки антивируса без модуля Защита от угроз из сети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Можно ли как-то с консоли управления отключить у клиента Защиту от угроз из сети без переустановки антивируса без модуля Защита от угроз из сети?

К сожалению, никак нельзя. Только отключением NTP.

Но вы можете откатиться назад на MR3 (в нем этой проблемы не было).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Павел, не совсем так.

Откатываться на MR3 не советую, в MR4 многое исправлено. Вам необходимо просто удалить политику Файрвола для группы, после этого файрвол будет работать в прозрачном режиме, IPS рекомендую оставить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6paT OnoccyM

Кирилл, в том и дело, что если просто не включать политику для группы в настройках Политики брандмауэра, то ситуация не меняется.

А как только на клиентской машине вручную отключаешь Защиту от угроз от сети - сразу задержка исчезает. Можете у себя попробовать.

ping x.x.x.x -t -l 1500

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Можете у себя попробовать.

ping x.x.x.x -t -l 1500

Действительно, на MR4 есть такая задержка.

Еще раз повторяю, это появилось только в MR4.

Должно быть исправлено в MR4 MP2.

Так что 3 варианта - обновится до него, откатиться до MR3

или сидеть без файерволла...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

6paT OnoccyM если проблема критичная - то можно перейти на MR3, сидеть без файрвола, а точнее как минимум IPS - не рекомендую, если не так критично - открываете запрос в тех. поддержке и ждете MR4 MP2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • SQx
      Приветствую,
      Мне попалась интересная тема, в которой пользователь модифицировал %path% переменные, что привело в Bsod 0xc000021a
      https://www.sysnative.com/forums/threads/windows-11-pro-10-0-26200-8457-kb5089549-bsod-0xc000021a-dism-0x800f0915-after-update.46083/

      Хотел уточноть, если возможно для uVS добавить возможность мониторить %path% в WinRE среде и если оно превышает лимит, или содержит вторичный вызов %path% в значение, то показать как предупреждение.
      Получается так, что у пользователя  фактическое значение %PATH% содержало всего 23 333 символа, но из-за того что оно содержало вызов к %path% в значение, я предпологаю это вызвала превышение лимита (32,767 символов). т.е. виртульально содержала 46 667 символов из-за того что дублировался вызов. Поправьте если я не прав.
      https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation?tabs=registry

      Прикрепил hive реестра пользователя для примера.
        env_hiv.zip
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
×