Перейти к содержанию
Shaulin

Symantec Endpoint Protection

Recommended Posts

Shaulin

После очередного обновления баз данных сигнатур перестали отображаться компьютеры в рабочей группе Windows.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Головенко

Shaulin,

Вы уверены что причина именно в SEP. Если отключить его, проблема пропадает?

Никакие другие изменения в SEP не производились? Такое поведение может быть вызвано, например, фаерволлом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Shaulin,

Вы уверены что причина именно в SEP. Если отключить его, проблема пропадает?

Никакие другие изменения в SEP не производились? Такое поведение может быть вызвано, например, фаерволлом.

Проблема не пропадает даже после отключения всего SEP на клиенте. Изменений не производилось, кроме как ежедневных обновлений. Пробовал отключать фаер в в политиках. Никаких измений :( . В данной группе находятся еще пару компьютеров без SEP. Они себя хорошо видят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Они себя хорошо видят.

Видят где именно? В рабочей группе Windows?

Выдается ли какая-нибудь ошибка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shaulin деинсталлировать SEP пробовали? На скольких ПК проблема? Вы уверены что дело в SEP, а не в каком-нибудь обновлении для Windows?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Семенов

У меня была схожая ситуация с группой компьютеров. Оказалось случайно поставил галочку в Policies\Application Control\make All Removable drivers read-Only :lol:

Ступил. Policies\Firewall\Block local files sharing

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Видят где именно? В рабочей группе Windows?

Да в рабочей группе Windows.

Видят где именно? В рабочей группе Windows?

Выдается ли какая-нибудь ошибка?

Никакой ошибки не вылетает, просто при отображении компьютеров в рабочей группе отображается пустое окно.

Shaulin деинсталлировать SEP пробовали?

Да пробовал, не помогло.

На скольких ПК проблема? Вы уверены что дело в SEP, а не в каком-нибудь обновлении для Windows?

На 7 ПК. Обновленией Windows не проводил.

Заглянул в журнал Защиты от угроз из сети и обнаружил странную запись, повторяющуюся многократно:

04.05.2009 13:58:45 Заблокировано 10 Входящее ETHERNET [type=0x8137] 0.0.0.0 00-04-79-67-C8-5B 0 0.0.0.0 FF-FF-FF-FF-FF-FF 0 qqq STIP По умолчанию 1 04.05.2009 13:58:44 04.05.2009 13:58:44 Block_all . Что это за правило block_all, которого я не создавал?

У меня была схожая ситуация с группой компьютеров. Оказалось случайно поставил галочку в Policies\Application Control\make All Removable drivers read-Only :lol:

Ступил. Policies\Firewall\Block local files sharing

Нет галочка стоит где надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Да пробовал, не помогло.

Если удалили SEP и перезагрузили ПК - и не помогло - дело не в SEP

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Если удалили SEP и перезагрузили ПК - и не помогло - дело не в SEP

Я вас не понял. Я переставил SEP и это не помогло. Временное отключение защиты от угроз из сети помогает.

Кажется получилось: на одном ПК разрешил протоколы ETHERNET [type=0x8137], ETHERNET [type=0x8138].

Кирилл, подскажите пожалуйста, что за правило block_all, как его отключить?

Отредактировал Кирилл Керценбаум

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shaulin а какая версия SEP у вас? Что общего между этими 7 ПК? Block_all - встроенное правило, оно не должно блокировать данный трафик

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Shaulin а какая версия SEP у вас? Что общего между этими 7 ПК? Block_all - встроенное правило, оно не должно блокировать данный трафик

Версия SEP 11.0.4000.2295. На данных ПК установлены клиенты Novell, которые взаимодействуют с серверами Netware

6.0 SP5.

Причем добавление в SEPM данного правила с протоколами ETHERNET [type=0x8137] и ETHERNET [type=0x8138] не помогло, в журнале также отображается запись о блокировании пакета :(

Отредактировал Shaulin

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin

Кирилл, возможно ли убрать политику Брандмауэр, а Предотвращения вторжения - оставить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
возможно ли убрать политику Брандмауэр, а Предотвращения вторжения - оставить.

Возможно

Причем добавление в SEPM данного правила с протоколами ETHERNET [type=0x8137] и ETHERNET [type=0x8138] не помогло, в журнале также отображается запись о блокировании пакета

Какой режим управления у клиентов SEP? Сервер, Клиент или смешанный?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Возможно

Скажите пожалуйста как?

Какой режим управления у клиентов SEP? Сервер, Клиент или смешанный?

Только клиент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Скажите пожалуйста как?

Просто удаляете политику для группы и все

Только клиент

Если режим Клиент, то - Клиент не получает правила сервера. Пользователю разрешено создавать правила клиента. Правила клиента нельзя просматривать. - administration_guide.pdf, страница 491

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shaulin
Если режим Клиент, то - Клиент не получает правила сервера. Пользователю разрешено создавать правила клиента. Правила клиента нельзя просматривать. - administration_guide.pdf, страница 491

Переключил управление на сервер. Все заработало. Спасибо огромное!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×