Symantec Endpoint Protection

[Shell 301]

Волнует 1 вопрос, который заметил давно.

Сносим клиент SEP на каком нибудь компе. Корректно. Через установку\удаление программ или через CleanWipe (без разницы). Затем идем на сервер. Клиент в группе остается, но,естественно, серверу уже не отвечает. Теперь запускаем поиск неуправляемых клиентов по IP в диапазоне где установлен наш заветный комп без SEP. Компьютер этот не будет найден. Ни в unmanagement, ни в unknown.

Таким образом, я не могу определить дыру без антивирусной защиты в случае переустановки операционки ИТшниками, либо несанкционированного сноса SEP клиента. Вариант разбирательства с неотвечающими клиентами, которые пишутся в логах SEPM меня не устраивает. В данное время в поиске спасают лишь ручная проверка сервисов, либо выгрузка сервисов через WMI.

Версия SEP\SEPM 11.0.4000.2295.

Тикет стоит ли регистрировать? Боюсь, опять выйдет также как с RDP over RDP...

P.S.

Сразу в этой же теме задам еще 1 вопрос. Практикую на своих Филиалах установку без управляющего сервера на Филиале (с управляющим сервером в центральном офисе) . Обновление их через GUP. На это есть масса причин. Но! ломаю голову как автоматом определять на таких Филиалах компьютеры без SEP? Появление новых компьютеров в сети или снос SEP реально трудно отслеживать. Тем более на Филиалах по медленным каналам связи в большой сети.

[chrono 0]

Таким образом, я не могу определить дыру без антивирусной защиты в случае переустановки операционки ИТшниками, либо несанкционированного сноса SEP клиента

...

как автоматом определять на таких Филиалах компьютеры без SEP? Появление новых компьютеров в сети или снос SEP реально трудно отслеживать.

Я написал логон скрипт, который запускается при входе и выходе из системе - проверяет установлен ли в системе SEP. Если он не установлен - запускается установка.

ВАЖНО:

Данный скрипт работает только в WinXP (универсальный пишите сами)!

Скрипт должен лежать в одной папке вместе с антивирусным дистрибутивом.

@echo offsetlocalsetlocal enabledelayedexpansionrem  Скрипт определяет, установлен ли антивирусный продукт rem  Symantec Endpoint,если нет - запускает установкуrem  Скрипт должен лежать в папке с файлами установки SEPSet Prog=Symantec Endpoint ProtectionSet PathInst=%~dp0%Call :CheckInstallREG Res "%Prog%"rem Если не установленоIF %Res%==0 (   IF exist "%PathInst%windowsinstaller-kb893803-x86.exe" (       IF exist "%PathInst%Symantec AntiVirus.msi" (           "%PathInst%windowsinstaller-kb893803-x86.exe" /quiet /warnrestart /overwriteoem           msiexec.exe /i "%PathInst%Symantec AntiVirus.msi" /QB!- RUNLIVEUPDATE=0 REBOOT=REALLYSUPPRESS       )   )):ENDendlocal enabledelayedexpansionendlocal exitrem ------------------------------------------------------------rem      Проверяем установлен ли антивирус Symantec Endpointrem ------------------------------------------------------------rem  Параметры:rem   %1 - возвращаемый результатrem   %2 - строка поискаrem ------------------------------------------------------------:CheckInstallREGset Install=-1for /f "skip=1 delims=" %%x in ('reg.exe query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /s ^| findstr /i /l /c:"DisplayName"') do (   set Install=0   echo %%x | findstr /i /l /c:%2 && (set Install=1 & set %1=1 & exit /b))rem Не установлено или неизвестный статусset %1=%Install%exit /b

[Кирилл Керценбаум 671]

Shell unmanaged detector пробовали использовать? В документации есть подробное описание на русском

[Кирилл Керценбаум 671]

Shell, chrono коллеги, просто для информации, если не знаете: существует Symantec Endpoint Protection Integration Component (на базе Altiris) - он абсолютно бесплатен, правда требует отдельной установки, рекомендуется для больших инфраструктур более 500 ПК, позволяет как раз решать подобные задачи, в том числе установка, удаление, обновление клиентов SEP, автоматическая установка на новые ПК и т.д.

[sergeynn 0]

Если удалить этого клиента в SEPM, то он найдется.

А еще можно в SEPM сделать установочный пакет (не EXE) и через групповую политику назначить.

И пароль поставить на удаление клиента.

[Shell 301]

Если удалить этого клиента в SEPM, то он найдется.

А еще можно в SEPM сделать установочный пакет (не EXE) и через групповую политику назначить.

И пароль поставить на удаление клиента.

Поверьте, по опыту - пароль на удаление клиента, установка групповыми политиками - прошлый век.

У меня большинство ИТшников и рядовых пользователей снесут и Symantec Antivirus и SEP с закрытыми глазами. Как? На SAV - реестр. На SEP - загрузка с флешки (на уровне биоса, за тысячи километров от меня, к сожалению, это трудно проконтролировать. затраты на контроль превысят риски). Если ставить установочный пакет без проверки - установлен ли SEP\SAV - то время загрузки компа оставляет желать лучшего. GPO для меня тоже не выход, увы - так как сисадмины порой забывают повесить политику, или политика не применяется. Нужны надежные средства контроля.

Предложенный способ удаления клиента из SEPM после его удаления не подходит для меня напрочь))) Почему? Потому что я не узнаю когда, где и как переустановилась ось или появился новый комп. Иначе я повязну в рутине этой работы. Мне необходимо периодически понимать - где у меня нет защиты и затем разбираться по инциденту - по каким причинам.

Кирилл, пробовал в мониторах SEP ставить отчеты по неуправляемым клиентам. И они раньше работали четко. Увы, с последними 2-3 версиями работать перестали и об этом было на STN сообщения. Сначала там проблема появилась с однообразными MAC адресами, потом и вовсе работать перестало. Сейчас висит и висело создание отчетов каждые 3 часа. За последний месяц не пришло ни одного сообщения о неуправляемом клиенте. По другим критериям - сообщения есть, с мейлхабом все нормально.

Спасибо за компоненту от альтириса, гляну что это такое и сможет ли помочь.