Shell

Symantec Endpoint Protection

В этой теме 6 сообщений

Волнует 1 вопрос, который заметил давно.

Сносим клиент SEP на каком нибудь компе. Корректно. Через установку\удаление программ или через CleanWipe (без разницы). Затем идем на сервер. Клиент в группе остается, но,естественно, серверу уже не отвечает. Теперь запускаем поиск неуправляемых клиентов по IP в диапазоне где установлен наш заветный комп без SEP. Компьютер этот не будет найден. Ни в unmanagement, ни в unknown.

Таким образом, я не могу определить дыру без антивирусной защиты в случае переустановки операционки ИТшниками, либо несанкционированного сноса SEP клиента. Вариант разбирательства с неотвечающими клиентами, которые пишутся в логах SEPM меня не устраивает. В данное время в поиске спасают лишь ручная проверка сервисов, либо выгрузка сервисов через WMI.

Версия SEP\SEPM 11.0.4000.2295.

Тикет стоит ли регистрировать? Боюсь, опять выйдет также как с RDP over RDP...

P.S.

Сразу в этой же теме задам еще 1 вопрос. Практикую на своих Филиалах установку без управляющего сервера на Филиале (с управляющим сервером в центральном офисе) . Обновление их через GUP. На это есть масса причин. Но! ломаю голову как автоматом определять на таких Филиалах компьютеры без SEP? Появление новых компьютеров в сети или снос SEP реально трудно отслеживать. Тем более на Филиалах по медленным каналам связи в большой сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Таким образом, я не могу определить дыру без антивирусной защиты в случае переустановки операционки ИТшниками, либо несанкционированного сноса SEP клиента

...

как автоматом определять на таких Филиалах компьютеры без SEP? Появление новых компьютеров в сети или снос SEP реально трудно отслеживать.

Я написал логон скрипт, который запускается при входе и выходе из системе - проверяет установлен ли в системе SEP. Если он не установлен - запускается установка.

ВАЖНО:

Данный скрипт работает только в WinXP (универсальный пишите сами)!

Скрипт должен лежать в одной папке вместе с антивирусным дистрибутивом.

@echo offsetlocalsetlocal enabledelayedexpansionrem  Скрипт определяет, установлен ли антивирусный продукт rem  Symantec Endpoint,если нет - запускает установкуrem  Скрипт должен лежать в папке с файлами установки SEPSet Prog=Symantec Endpoint ProtectionSet PathInst=%~dp0%Call :CheckInstallREG Res "%Prog%"rem Если не установленоIF %Res%==0 (   IF exist "%PathInst%windowsinstaller-kb893803-x86.exe" (       IF exist "%PathInst%Symantec AntiVirus.msi" (           "%PathInst%windowsinstaller-kb893803-x86.exe" /quiet /warnrestart /overwriteoem           msiexec.exe /i "%PathInst%Symantec AntiVirus.msi" /QB!- RUNLIVEUPDATE=0 REBOOT=REALLYSUPPRESS       )   )):ENDendlocal enabledelayedexpansionendlocal exitrem ------------------------------------------------------------rem      Проверяем установлен ли антивирус Symantec Endpointrem ------------------------------------------------------------rem  Параметры:rem   %1 - возвращаемый результатrem   %2 - строка поискаrem ------------------------------------------------------------:CheckInstallREGset Install=-1for /f "skip=1 delims=" %%x in ('reg.exe query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /s ^| findstr /i /l /c:"DisplayName"') do (   set Install=0   echo %%x | findstr /i /l /c:%2 && (set Install=1 & set %1=1 & exit /b))rem Не установлено или неизвестный статусset %1=%Install%exit /b

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Shell unmanaged detector пробовали использовать? В документации есть подробное описание на русском

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Shell, chrono коллеги, просто для информации, если не знаете: существует Symantec Endpoint Protection Integration Component (на базе Altiris) - он абсолютно бесплатен, правда требует отдельной установки, рекомендуется для больших инфраструктур более 500 ПК, позволяет как раз решать подобные задачи, в том числе установка, удаление, обновление клиентов SEP, автоматическая установка на новые ПК и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если удалить этого клиента в SEPM, то он найдется.

А еще можно в SEPM сделать установочный пакет (не EXE) и через групповую политику назначить.

И пароль поставить на удаление клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если удалить этого клиента в SEPM, то он найдется.

А еще можно в SEPM сделать установочный пакет (не EXE) и через групповую политику назначить.

И пароль поставить на удаление клиента.

Поверьте, по опыту - пароль на удаление клиента, установка групповыми политиками - прошлый век.

У меня большинство ИТшников и рядовых пользователей снесут и Symantec Antivirus и SEP с закрытыми глазами. Как? На SAV - реестр. На SEP - загрузка с флешки (на уровне биоса, за тысячи километров от меня, к сожалению, это трудно проконтролировать. затраты на контроль превысят риски). Если ставить установочный пакет без проверки - установлен ли SEP\SAV - то время загрузки компа оставляет желать лучшего. GPO для меня тоже не выход, увы - так как сисадмины порой забывают повесить политику, или политика не применяется. Нужны надежные средства контроля.

Предложенный способ удаления клиента из SEPM после его удаления не подходит для меня напрочь))) Почему? Потому что я не узнаю когда, где и как переустановилась ось или появился новый комп. Иначе я повязну в рутине этой работы. Мне необходимо периодически понимать - где у меня нет защиты и затем разбираться по инциденту - по каким причинам.

Кирилл, пробовал в мониторах SEP ставить отчеты по неуправляемым клиентам. И они раньше работали четко. Увы, с последними 2-3 версиями работать перестали и об этом было на STN сообщения. Сначала там проблема появилась с однообразными MAC адресами, потом и вовсе работать перестало. Сейчас висит и висело создание отчетов каждые 3 часа. За последний месяц не пришло ни одного сообщения о неуправляемом клиенте. По другим критериям - сообщения есть, с мейлхабом все нормально.

Спасибо за компоненту от альтириса, гляну что это такое и сможет ли помочь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301    
    • Openair
    • kirito
      Здравствуйте, из основного что вызывает сильное пищевое отравление можно отметить  алкоголь; грибы; бытовые химикаты; пищевые токсикоинфекции. Вот статья https://otravlenie.su/klinicheskaya-simptomatika/silnoe-otravlenie-213 там подробно про каждый из видов
    • talant
      Здравствуйте, подскажите пожалуйста что может вызвать сильное пищевое отравление?
    • sa074
      И проверить клавиатуру) Ну временно заменить на другую.