Symantec Endpoint Protection

[kat 0]

Добрый день, проблема с быстродействием. На 3-х одинаковых компьютерах-платежных терминалах (технические характеристики одинаковые: процессор-x86 Family 6 Model 9 Stepping 81002 МГц, ОЗУ - 512 Мб, Win XP SP 3, одинаковое ПО) установлены клиенты 11.0.3001.2224. На одном из них программы работают достаточно быстро, на остальных 2-х -очень медленно, иногда стали зависать! (Процесс RTvscan.exe занимает 20 мб (когда нет плановой проверки)) Подскажите, пожалуйста, с чем это связано? И можно это как-либо исправить?

[Shell 301]

Добрый день, проблема с быстродействием. На 3-х одинаковых компьютерах-платежных терминалах (технические характеристики одинаковые: процессор-x86 Family 6 Model 9 Stepping 81002 МГц, ОЗУ - 512 Мб, Win XP SP 3, одинаковое ПО) установлены клиенты 11.0.3001.2224. На одном из них программы работают достаточно быстро, на остальных 2-х -очень медленно, иногда стали зависать! (Процесс RTvscan.exe занимает 20 мб (когда нет плановой проверки)) Подскажите, пожалуйста, с чем это связано? И можно это как-либо исправить?

В среднем, без включенной евристики у меня rtvscan в спокойном режиме занимает 2-5 Mb + в свапе около 9 метров.

Повышение занимаемой памяти произошло после "чего то"? То есть, каких либо изменений?

Кардинально на производительность с SEP могут повлиять:

- включение эвристического анализа

- добавление в он-лайн проверку всех файлов (без расширений), определения по содержимому больших файлов

- слишком "частое" общение с сервером SEP клиента, либо сбор логов о приложениях на клиенте

- активации немного некорректных правил на файрволе клиента

[kat 0]

Cпасибо большое!!! Терминалы стали работать гораздо быстрее: отключила эвристический поиск-Bloodhound, в он-лайн проверку включила только проверку по выбранным расширениям.

Но проблема возникла другая-пользователи жалуются, что компьютеры на которых установлены клиенты симантика долго

грузятся при включении. У некоторых -чУть ли не по 5 минут (с их слов)!

Провела тест на нескольких компьютерах: в политиках защиты от вирусов/автоматическая защита файловой системы/ на вкладке дополнительно указала загрузку автоматической защиты- при запуске SEP, компьютеры стали грузиться быстрее. Но дело в том, что у нас сейчас идет массовый процесс установки клиентов на рабочих местах учреждения. И я опасаюсь, не возникнет ли проблем с установкой "клиентов" при изменении этой политики? Как вы считаете?

[Shell 301]

Cпасибо большое!!! Терминалы стали работать гораздо быстрее: отключила эвристический поиск-Bloodhound, в он-лайн проверку включила только проверку по выбранным расширениям.

Но проблема возникла другая-пользователи жалуются, что компьютеры на которых установлены клиенты симантика долго

грузятся при включении. У некоторых -чУть ли не по 5 минут (с их слов)!

Провела тест на нескольких компьютерах: в политиках защиты от вирусов/автоматическая защита файловой системы/ на вкладке дополнительно указала загрузку автоматической защиты- при запуске SEP, компьютеры стали грузиться быстрее. Но дело в том, что у нас сейчас идет массовый процесс установки клиентов на рабочих местах учреждения. И я опасаюсь, не возникнет ли проблем с установкой "клиентов" при изменении этой политики? Как вы считаете?

Скорее всего, дело в проверке при старте. Отключите её, это излишне. Бутовых вирусов мало, а те что активируются с автозагрузки и так выловятся после старта. Возможно, также установлена проверка при получении обновлений. Единственное, в этом случае не стоит отключать защиту самих файлов и реестра симантека.

По практике, для проведения проверок лучше выделить ночь на рабочей неделе когда пользователи оставят включенными компьютеры и по расписанию пройдет проверка.

[kat 0]

Если я выключу автозащиту при старте, не возникнет ли проблем с установкой новых клиентов? Новые клиенты ставятся вручную с помощью дистрибутива (пакета инсталляции), в него была включена автозащита при старте)

И еще вопрос: как отключить или выставить расписание на проверку получения обновлений?

[Pavel Polyanskiy 65]

Если я выключу автозащиту при старте, не возникнет ли проблем с установкой новых клиентов?

Процесс установки новых клиентов не зависит от того, включена ли автозащита при старте.

И еще вопрос: как отключить или выставить расписание на проверку получения обновлений?

Что имеется ввиду? Проверка получения сигнатурных баз клиентами?

[Shell 301]

Если я выключу автозащиту при старте, не возникнет ли проблем с установкой новых клиентов? Новые клиенты ставятся вручную с помощью дистрибутива (пакета инсталляции), в него была включена автозащита при старте)

И еще вопрос: как отключить или выставить расписание на проверку получения обновлений?

Не автозащиту, а проверку при старте операционки.

Расписание получения обновлений - в политиках.

Вы еще не разобрались с настройками SEPM Почитайте, посмотрите его. Будет не только полезно, но и предотвратит негативные возможные последствия

Вот политика проверки при старте и получении обновлений

Вот liveupdate

[kat 0]

Спасибо! Как же ж без спецлитературы? И читаю и выясняю у знающих людей каждую мелочь, дабы не допустить последствия

Кстати, клиенты у меня обновляются не через ливапдейт, а с помощью "подкладывания" файла обновления!

Но всё равно спасибо за информацию!

[Shell 301]

Кстати, клиенты у меня обновляются не через ливапдейт, а с помощью "подкладывания" файла обновления!

Это как?)) И зачем такие трудности? Если есть SEPM - устанавливайте закачку обновлений на него. А клиентам в политиках укажите обновляться с SEPM. Это самая простая схема.

[kat 0]

Дело в том, что нет возможности подключится серверу к интернету. Поэтому отдельно на сайте симантика скачиваем файл обновления сигнатур (с расширением jdb) и подкладываем его в папку С:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\content\incoming. Через 15 минут вирусные базы клиентов обновлены!

[Pavel Polyanskiy 65]

Если нет выхода в Интернет, то можете попробовать

обновляться через GUP.

Но GUP в данном случае должен получать обнолвения с SEPM,

который должен иметь доступ в Интернет.

Или настройте внутренний LiveUpdate Server и с него загружайте обновления.

[kat 0]

Спасибо за полезную информацию!

[Shaulin 0]

Если нет выхода в Интернет, то можете попробовать

обновляться через GUP.

Уважаемый Pavel Polyanskiy, подскажите пожалуйста как настроить расписание

обновления для клиентов в данном случае? И почему в данном случае нет возможности предоставить клиентам самостоятельно запускать LiveUpdate?

[Pavel Polyanskiy 65]

Обновление клиентов через GUP происходит не по расписанию,

а на основе heartbeat.

Клиенты сами запрашивают контент с GUP.

В SEPM можно настроить опцию того, сколько времени

клиенты будут ждать обновлений с GUP перед тем, как начнут

подключаться к SEPM.

Как только на GUP появляется новая версия обновления для клиента, этот клиент

запрашивает обновление с GUP. Если у GUP нет такого обновления,

то он запрашивает его с SEPM и кэширует.

Heartbeat можно настроить, например, раз в 60 минут.

[Кирилл Керценбаум 671]

И почему в данном случае нет возможности предоставить клиентам самостоятельно запускать LiveUpdate?

Почему Вы так решили? Если не ошибаюсь, это никак не связано, LiveUpdate можно активировать и при использовании GUP

[Shaulin 0]

В SEPM можно настроить опцию того, сколько времени

клиенты будут ждать обновлений с GUP перед тем, как начнут

подключаться к SEPM.

Можно ли запретить клиентам вообще не подключаться к SEPM?

Обновление клиентов через GUP происходит не по расписанию,

а на основе heartbeat.

Подскажите пожалуйста как именно это сделать?

P.S. После настройки клиента в качестве GUPа, на нем превентивная защита от угроз стала постоянно отключеной.

[Pavel Polyanskiy 65]

Подскажите пожалуйста как именно это сделать?

Clients-> "выбрать группу"->вкладка Policies->Location-Specific Settings->Edit Settings

[Pavel Polyanskiy 65]

Можно ли запретить клиентам вообще не подключаться к SEPM?

Клиенты получают с сервера обновления политик,

поэтому подключаться все равно к нему будут.

[Pavel Polyanskiy 65]

P.S. После настройки клиента в качестве GUPа, на нем превентивная защита от угроз стала постоянно отключеной.

Вы уверены в том, что это произошло именно после установки GUP?

не пробовали снова включить PTP?

[Shaulin 0]

Клиенты получают с сервера обновления политик,

поэтому подключаться все равно к нему будут.

По какому порту?

Clients-> "выбрать группу"->вкладка Policies->Location-Specific Settings->Edit Settings

Извините пожалуйста, у меня русский SEP. Никак не могу найти.

Вы уверены в том, что это произошло именно после установки GUP?

не пробовали снова включить PTP?

Пробовал, не включается.

Отредактировал Июнь 18, 2009 Shaulin

[Shaulin 0]

Почему Вы так решили? Если не ошибаюсь, это никак не связано, LiveUpdate можно активировать и при использовании GUP

При установке GUP в качестве сервера LiveUpdate в политиках перестают быть доступными параметры Планирования и Дополнительные. А у клиентов "гаснет" кнопка LiveUpdate.

[Pavel Polyanskiy 65]

Пробовал, не включается.

Какую версию SEP используете и какая версия

Windows? 32 или 64-бит?

[Shaulin 0]

Какую версию SEP используете и какая версия

Windows? 32 или 64-бит?

система Windows x86 2003 Server SP2, SEP 11.0.4000.2295.

Отредактировал Июнь 18, 2009 Shaulin

[Pavel Polyanskiy 65]

Извините пожалуйста, у меня русский SEP. Никак не могу найти.

Из administration guide:

Как настроить параметры передачи или получения политик для расположения

1 На консоли Symantec Endpoint Protection Manager выберите Клиенты.

2 Вразделе "Показать список клиентов" на странице "Клиенты" разверните

категорию Глобальные и выберите группу, для которой следует

настроить параметры передачи или получения политик. Убедитесь,

что параметры связи группы не наследуются от родительской группы.

3 На странице "Клиенты" щелкните на вкладке Политики.

4 В разделе "Политики и параметры, относящиеся к расположению"

найдите область "Параметры расположения".

5 Справа от области "Параметры связи" выберите Задачи | Изменить

параметры.

6 В разделе "Загрузка" окна "Параметры связи" укажите, следует ли

загружать политики с сервера управления (по умолчанию политики

загружаются).

7 Выберите Режим передачи данных или Режим получения данных.

Если выбран режим получения данных, укажите период контрольного

сигнала.

8 Нажмите OK, чтобы закрыть окно параметров групп

По какому порту?

По умолчанию клиенты соединяются с сервером по порту 80.

Для соединения клиентов с GUP используется TCP 2967

Пробовал, не включается.

Какие-нибудь еще признаки есть, кроме того, что отключен PTP?

Горит ли надпись Waiting for Updates в консоли?

Пишет что-нибудь по этому поводу в Windows Apllication Log?

[Shaulin 0]

Из administration guide:

Как настроить параметры передачи или получения политик для расположения

1 На консоли Symantec Endpoint Protection Manager выберите Клиенты.

2 Вразделе "Показать список клиентов" на странице "Клиенты" разверните

категорию Глобальные и выберите группу, для которой следует

настроить параметры передачи или получения политик. Убедитесь,

что параметры связи группы не наследуются от родительской группы.

3 На странице "Клиенты" щелкните на вкладке Политики.

4 В разделе "Политики и параметры, относящиеся к расположению"

найдите область "Параметры расположения".

5 Справа от области "Параметры связи" выберите Задачи | Изменить

параметры.

6 В разделе "Загрузка" окна "Параметры связи" укажите, следует ли

загружать политики с сервера управления (по умолчанию политики

загружаются).

7 Выберите Режим передачи данных или Режим получения данных.

Если выбран режим получения данных, укажите период контрольного

сигнала.

8 Нажмите OK, чтобы закрыть окно параметров групп

Спасибо большое нашел. Вопрос в догонку: чем отличаются режим передачи данных и режим получения данных и на что влияет параметр рандомизации?

Какие-нибудь еще признаки есть, кроме того, что отключен PTP?

Горит ли надпись Waiting for Updates в консоли?

В консоли клиента напротив PTP просто стоит Выкл.

В журнале Превентивной защиты появилась запись:TruScan сгенерировал ошибку код 15 (недопустимая ОС)

Пишет что-нибудь по этому поводу в Windows Apllication Log?

Что такое Windows Apllication Log? Где его прочитать?

Отредактировал Июнь 18, 2009 Shaulin