Перейти к содержанию
Shell

Symantec Endpoint Protection

Recommended Posts

Shell

Волнует 1 вопрос, который заметил давно.

Сносим клиент SEP на каком нибудь компе. Корректно. Через установку\удаление программ или через CleanWipe (без разницы). Затем идем на сервер. Клиент в группе остается, но,естественно, серверу уже не отвечает. Теперь запускаем поиск неуправляемых клиентов по IP в диапазоне где установлен наш заветный комп без SEP. Компьютер этот не будет найден. Ни в unmanagement, ни в unknown.

Таким образом, я не могу определить дыру без антивирусной защиты в случае переустановки операционки ИТшниками, либо несанкционированного сноса SEP клиента. Вариант разбирательства с неотвечающими клиентами, которые пишутся в логах SEPM меня не устраивает. В данное время в поиске спасают лишь ручная проверка сервисов, либо выгрузка сервисов через WMI.

Версия SEP\SEPM 11.0.4000.2295.

Тикет стоит ли регистрировать? Боюсь, опять выйдет также как с RDP over RDP...

P.S.

Сразу в этой же теме задам еще 1 вопрос. Практикую на своих Филиалах установку без управляющего сервера на Филиале (с управляющим сервером в центральном офисе) . Обновление их через GUP. На это есть масса причин. Но! ломаю голову как автоматом определять на таких Филиалах компьютеры без SEP? Появление новых компьютеров в сети или снос SEP реально трудно отслеживать. Тем более на Филиалах по медленным каналам связи в большой сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chrono
Таким образом, я не могу определить дыру без антивирусной защиты в случае переустановки операционки ИТшниками, либо несанкционированного сноса SEP клиента

...

как автоматом определять на таких Филиалах компьютеры без SEP? Появление новых компьютеров в сети или снос SEP реально трудно отслеживать.

Я написал логон скрипт, который запускается при входе и выходе из системе - проверяет установлен ли в системе SEP. Если он не установлен - запускается установка.

ВАЖНО:

Данный скрипт работает только в WinXP (универсальный пишите сами)!

Скрипт должен лежать в одной папке вместе с антивирусным дистрибутивом.

@echo offsetlocalsetlocal enabledelayedexpansionrem  Скрипт определяет, установлен ли антивирусный продукт rem  Symantec Endpoint,если нет - запускает установкуrem  Скрипт должен лежать в папке с файлами установки SEPSet Prog=Symantec Endpoint ProtectionSet PathInst=%~dp0%Call :CheckInstallREG Res "%Prog%"rem Если не установленоIF %Res%==0 (   IF exist "%PathInst%windowsinstaller-kb893803-x86.exe" (       IF exist "%PathInst%Symantec AntiVirus.msi" (           "%PathInst%windowsinstaller-kb893803-x86.exe" /quiet /warnrestart /overwriteoem           msiexec.exe /i "%PathInst%Symantec AntiVirus.msi" /QB!- RUNLIVEUPDATE=0 REBOOT=REALLYSUPPRESS       )   )):ENDendlocal enabledelayedexpansionendlocal exitrem ------------------------------------------------------------rem      Проверяем установлен ли антивирус Symantec Endpointrem ------------------------------------------------------------rem  Параметры:rem   %1 - возвращаемый результатrem   %2 - строка поискаrem ------------------------------------------------------------:CheckInstallREGset Install=-1for /f "skip=1 delims=" %%x in ('reg.exe query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /s ^| findstr /i /l /c:"DisplayName"') do (   set Install=0   echo %%x | findstr /i /l /c:%2 && (set Install=1 & set %1=1 & exit /b))rem Не установлено или неизвестный статусset %1=%Install%exit /b

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shell unmanaged detector пробовали использовать? В документации есть подробное описание на русском

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shell, chrono коллеги, просто для информации, если не знаете: существует Symantec Endpoint Protection Integration Component (на базе Altiris) - он абсолютно бесплатен, правда требует отдельной установки, рекомендуется для больших инфраструктур более 500 ПК, позволяет как раз решать подобные задачи, в том числе установка, удаление, обновление клиентов SEP, автоматическая установка на новые ПК и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergeynn

Если удалить этого клиента в SEPM, то он найдется.

А еще можно в SEPM сделать установочный пакет (не EXE) и через групповую политику назначить.

И пароль поставить на удаление клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Если удалить этого клиента в SEPM, то он найдется.

А еще можно в SEPM сделать установочный пакет (не EXE) и через групповую политику назначить.

И пароль поставить на удаление клиента.

Поверьте, по опыту - пароль на удаление клиента, установка групповыми политиками - прошлый век.

У меня большинство ИТшников и рядовых пользователей снесут и Symantec Antivirus и SEP с закрытыми глазами. Как? На SAV - реестр. На SEP - загрузка с флешки (на уровне биоса, за тысячи километров от меня, к сожалению, это трудно проконтролировать. затраты на контроль превысят риски). Если ставить установочный пакет без проверки - установлен ли SEP\SAV - то время загрузки компа оставляет желать лучшего. GPO для меня тоже не выход, увы - так как сисадмины порой забывают повесить политику, или политика не применяется. Нужны надежные средства контроля.

Предложенный способ удаления клиента из SEPM после его удаления не подходит для меня напрочь))) Почему? Потому что я не узнаю когда, где и как переустановилась ось или появился новый комп. Иначе я повязну в рутине этой работы. Мне необходимо периодически понимать - где у меня нет защиты и затем разбираться по инциденту - по каким причинам.

Кирилл, пробовал в мониторах SEP ставить отчеты по неуправляемым клиентам. И они раньше работали четко. Увы, с последними 2-3 версиями работать перестали и об этом было на STN сообщения. Сначала там проблема появилась с однообразными MAC адресами, потом и вовсе работать перестало. Сейчас висит и висело создание отчетов каждые 3 часа. За последний месяц не пришло ни одного сообщения о неуправляемом клиенте. По другим критериям - сообщения есть, с мейлхабом все нормально.

Спасибо за компоненту от альтириса, гляну что это такое и сможет ли помочь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Dragokas Да, сегодня искал по данному вопросу информацию. https://ru.bmstu.wiki/Кража_веб-страниц,_запускаемых_в_браузере_пользователя,_с_использованием_уязвимостей_графического_процессора + Ещё будет полезна информация полученная по:  tasklist  [ Память ] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/tasklist  
    • Dragokas
      Раз уж в них такие нестыковки по показаниям GPU, проще наверное взять исходники какого-нибудь консольного майнера. Там обычно отображаются и учитываются все такие нагрузки, уже заточена поддержка под несколько видеокарт и даже можно задать ограничения. Можно начать с NiceHashMiner - там внутри папки есть все наиболее популярные майнеры и дальше уже смотреть, у какого из них есть исходник, в крайнем случае списаться с автором.
    • Dragokas
    • demkd
      Сейчас посмотрел в Windows 10 1803, PH показал загрузку, но вот только отличие от реальной более чем в 2 раза xD
      PE показал на процент больше, но считай тоже самое, виндовый диспетчер задач показал менее процента при реальной загрузке близкой к 100%
      Вывод очевиден: надо делать самому с нуля, почитаю что там умеет dx оценю объем работ, если он небольшой то сделаю, если нет то когда-нибудь...

      Посмотрел что показывает PE на Windows 7 с 4-мя картами загруженными майнингом на 100%:
      Как бы он вообще не видит что zecminer64 насилует все 4 карты одновременно


      ProcessHacker повел себя идентично, копипаст рулит, одинаковые ошибки в одинаковых случаях.
    • PR55.RP55
      Знак GPU  на груди у него больше не знали о нём ничего. ProcessHacker Source code: https://processhacker.sourceforge.io/downloads.php + https://github.com/processhacker/processhacker/blob/569da8a8d9c581c5c744cf2146f9b746766395ed/plugins/ExtendedTools/gpumon.c И в Process Explorer   Который уже раз пишу...
×