Перейти к содержанию
Shell

Symantec Endpoint Protection

Recommended Posts

Shell

Волнует 1 вопрос, который заметил давно.

Сносим клиент SEP на каком нибудь компе. Корректно. Через установку\удаление программ или через CleanWipe (без разницы). Затем идем на сервер. Клиент в группе остается, но,естественно, серверу уже не отвечает. Теперь запускаем поиск неуправляемых клиентов по IP в диапазоне где установлен наш заветный комп без SEP. Компьютер этот не будет найден. Ни в unmanagement, ни в unknown.

Таким образом, я не могу определить дыру без антивирусной защиты в случае переустановки операционки ИТшниками, либо несанкционированного сноса SEP клиента. Вариант разбирательства с неотвечающими клиентами, которые пишутся в логах SEPM меня не устраивает. В данное время в поиске спасают лишь ручная проверка сервисов, либо выгрузка сервисов через WMI.

Версия SEP\SEPM 11.0.4000.2295.

Тикет стоит ли регистрировать? Боюсь, опять выйдет также как с RDP over RDP...

P.S.

Сразу в этой же теме задам еще 1 вопрос. Практикую на своих Филиалах установку без управляющего сервера на Филиале (с управляющим сервером в центральном офисе) . Обновление их через GUP. На это есть масса причин. Но! ломаю голову как автоматом определять на таких Филиалах компьютеры без SEP? Появление новых компьютеров в сети или снос SEP реально трудно отслеживать. Тем более на Филиалах по медленным каналам связи в большой сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chrono
Таким образом, я не могу определить дыру без антивирусной защиты в случае переустановки операционки ИТшниками, либо несанкционированного сноса SEP клиента

...

как автоматом определять на таких Филиалах компьютеры без SEP? Появление новых компьютеров в сети или снос SEP реально трудно отслеживать.

Я написал логон скрипт, который запускается при входе и выходе из системе - проверяет установлен ли в системе SEP. Если он не установлен - запускается установка.

ВАЖНО:

Данный скрипт работает только в WinXP (универсальный пишите сами)!

Скрипт должен лежать в одной папке вместе с антивирусным дистрибутивом.

@echo offsetlocalsetlocal enabledelayedexpansionrem  Скрипт определяет, установлен ли антивирусный продукт rem  Symantec Endpoint,если нет - запускает установкуrem  Скрипт должен лежать в папке с файлами установки SEPSet Prog=Symantec Endpoint ProtectionSet PathInst=%~dp0%Call :CheckInstallREG Res "%Prog%"rem Если не установленоIF %Res%==0 (   IF exist "%PathInst%windowsinstaller-kb893803-x86.exe" (       IF exist "%PathInst%Symantec AntiVirus.msi" (           "%PathInst%windowsinstaller-kb893803-x86.exe" /quiet /warnrestart /overwriteoem           msiexec.exe /i "%PathInst%Symantec AntiVirus.msi" /QB!- RUNLIVEUPDATE=0 REBOOT=REALLYSUPPRESS       )   )):ENDendlocal enabledelayedexpansionendlocal exitrem ------------------------------------------------------------rem      Проверяем установлен ли антивирус Symantec Endpointrem ------------------------------------------------------------rem  Параметры:rem   %1 - возвращаемый результатrem   %2 - строка поискаrem ------------------------------------------------------------:CheckInstallREGset Install=-1for /f "skip=1 delims=" %%x in ('reg.exe query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /s ^| findstr /i /l /c:"DisplayName"') do (   set Install=0   echo %%x | findstr /i /l /c:%2 && (set Install=1 & set %1=1 & exit /b))rem Не установлено или неизвестный статусset %1=%Install%exit /b

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shell unmanaged detector пробовали использовать? В документации есть подробное описание на русском

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shell, chrono коллеги, просто для информации, если не знаете: существует Symantec Endpoint Protection Integration Component (на базе Altiris) - он абсолютно бесплатен, правда требует отдельной установки, рекомендуется для больших инфраструктур более 500 ПК, позволяет как раз решать подобные задачи, в том числе установка, удаление, обновление клиентов SEP, автоматическая установка на новые ПК и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergeynn

Если удалить этого клиента в SEPM, то он найдется.

А еще можно в SEPM сделать установочный пакет (не EXE) и через групповую политику назначить.

И пароль поставить на удаление клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Если удалить этого клиента в SEPM, то он найдется.

А еще можно в SEPM сделать установочный пакет (не EXE) и через групповую политику назначить.

И пароль поставить на удаление клиента.

Поверьте, по опыту - пароль на удаление клиента, установка групповыми политиками - прошлый век.

У меня большинство ИТшников и рядовых пользователей снесут и Symantec Antivirus и SEP с закрытыми глазами. Как? На SAV - реестр. На SEP - загрузка с флешки (на уровне биоса, за тысячи километров от меня, к сожалению, это трудно проконтролировать. затраты на контроль превысят риски). Если ставить установочный пакет без проверки - установлен ли SEP\SAV - то время загрузки компа оставляет желать лучшего. GPO для меня тоже не выход, увы - так как сисадмины порой забывают повесить политику, или политика не применяется. Нужны надежные средства контроля.

Предложенный способ удаления клиента из SEPM после его удаления не подходит для меня напрочь))) Почему? Потому что я не узнаю когда, где и как переустановилась ось или появился новый комп. Иначе я повязну в рутине этой работы. Мне необходимо периодически понимать - где у меня нет защиты и затем разбираться по инциденту - по каким причинам.

Кирилл, пробовал в мониторах SEP ставить отчеты по неуправляемым клиентам. И они раньше работали четко. Увы, с последними 2-3 версиями работать перестали и об этом было на STN сообщения. Сначала там проблема появилась с однообразными MAC адресами, потом и вовсе работать перестало. Сейчас висит и висело создание отчетов каждые 3 часа. За последний месяц не пришло ни одного сообщения о неуправляемом клиенте. По другим критериям - сообщения есть, с мейлхабом все нормально.

Спасибо за компоненту от альтириса, гляну что это такое и сможет ли помочь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.0.23.
    • Thomaspaymn
      Hello there, I'm completely new here, I am not sure in the event this section is a right place to create this and also sorry with this, but I was hoping a person here on anti-malware.ru would be able to assist me.
      I am just wondering anybody knows just about any trusted company for signals for crypto. Is this website good and anyone worked with them ?
      binance futures signals
      Also please introduce any good and comprehensive blog for more inormation about this kind of services. We appreciate it.
    • Gabrielmop
      Какое абстрактное мышление
      filmkont.online
    • Richardcrere
      Реально, https://intervision.ua/videonablyudenie - видеонаблюдение поможет в данной ситуации!
      Цифровые камеры передают четкую детализированную картинку. Чем выше качество изображения, тем «тяжелее» потоковое видео. В этом случае поможет видеорегистратор с емким жестким диском. Для удаленного контроля лучше использовать цифровые IP-видеокамеры, которые шифруют и сжимают сигнал. К тому же, многие IP-модели запитываются по витой паре или оптоволокну посредством технологии PoE. Благодаря этому системами IP-видеонаблюдения оснащают строящиеся объекты.
      https://intervision.ua/videonabludenie/lte-camera - 4g видеокамера
      Как установить видеонаблюдение для дома
      Установка и настройка аппаратуры происходит в несколько этапов. Сначала нужно подобрать и установить видеокамеры, записывающее устройство, а также обеспечить передачу сигнала и постоянное питание. Обратите внимание: проводное подключение требует прокладки кабелей для соединения компонентов. Для этого стоит вызвать мастера.
    • PR55.RP55
      В uVS есть возможность добавлять в базу проверенных: IPL; MBR и т.д. т.е. программа обрабатывает данные и преобразует их в SHA1 Аналогичным образом можно обработать записи: WMI ( и все стандартные\проверенные записи добавить в базу проверенных) Возможно, что-то ещё можно обработать аналогичным образом.    
×