Symantec Endpoint Protection for Windows XP Embedded - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
MKR

Symantec Endpoint Protection for Windows XP Embedded

Recommended Posts

MKR

Есть проблема, IPS ругается на трафик от тонких клиентов с WinXP Embedded, код вредоносного трафика как от компов с Downadup

[sID: 23179] MSRPC Server Service BO detected. Traffic has been blocked from this application: C:\WINNT\system32\ntoskrnl.exe

Есть вот такая штука, есть у кого нибудь инфа по ней? Поможет она и насколько эффективно?

http://www.symantec.com/business/products/...ndpt_prot_xpe_1

Отредактировал Кирилл Керценбаум

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

MKR Symantec Endpoint Protection for Windows XP Embedded это продукт, фактически полный аналог Symantec Endpoint Protection, только специально адаптированный для Windows XP Embedded. Фактически это продукт от Sygate (который сейчас является частью Symantec) с АВ движком от Symantec. На данный момент это самостоятельный продукт, но в Symantec Endpoint Protection 12.х, который появится весной следующего года, клиентами Symantec Endpoint Protection for Windows XP Embedded можно будет управлять из той же консоли что и обычными клиентами Symantec Endpoint Protection. Что касается эффективности - данный продукт предустанавливается на все банкоматы Diebold уже более 5 лет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MKR
MKR Symantec Endpoint Protection for Windows XP Embedded это продукт, фактически полный аналог Symantec Endpoint Protection, только специально адаптированный для Windows XP Embedded. Фактически это продукт от Sygate (который сейчас является частью Symantec) с АВ движком от Symantec. На данный момент это самостоятельный продукт, но в Symantec Endpoint Protection 12.х, который появится весной следующего года, клиентами Symantec Endpoint Protection for Windows XP Embedded можно будет управлять из той же консоли что и обычными клиентами Symantec Endpoint Protection. Что касается эффективности - данный продукт предустанавливается на все банкоматы Diebold уже более 5 лет

На триальную версию можно ссылку, а то от Symantec не дождешься, хотя написано что свяжутся в течении 3-5 дней

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
На триальную версию можно ссылку, а то от Symantec не дождешься, хотя написано что свяжутся в течении 3-5 дней

Триальной версии к сожалению нет. Вам необходимо связаться с любым партнером Symantec и через них запросить пробную версию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MKR
Триальной версии к сожалению нет. Вам необходимо связаться с любым партнером Symantec и через них запросить пробную версию

Пока жду от партнера пробную версию, пробовал установить SEP 12 SBE. Для установки на тонкие клиенты не хватает свободного места. Так что данный софт нас не устраивает. Может в корпоративной версии SEP 12 выпустят более легкого агента для XP Embedded?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Может в корпоративной версии SEP 12 выпустят более легкого агента для XP Embedded?

В SEP 12 клиент для XP Embedded должен быть также интегрирован и стать частью общего продукта

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MKR

Тестирую SEP for WinXP Embedded, триальная лицензия. Версия на клиенте 5.1.3921, к кому можно обратиться за поддержкой? Проблема в том что антивирус не находит Downadup и IPS не определяет сигнатуру его трафика. Все обновления загрузил самые свежие:

IPS 90-C194-07/06/2009 09:10:55 524

AVS 6/30/2009

Клиент точно заражен, это видно по сетевому трафику, его частично можно блокировать фаэрволом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Тестирую SEP for WinXP Embedded, триальная лицензия. Версия на клиенте 5.1.3921, к кому можно обратиться за поддержкой? Проблема в том что антивирус не находит Downadup и IPS не определяет сигнатуру его трафика. Все обновления загрузил самые свежие:

IPS 90-C194-07/06/2009 09:10:55 524

AVS 6/30/2009

Клиент точно заражен, это видно по сетевому трафику, его частично можно блокировать фаэрволом.

Пробовали Removal Tool использовать?

SEP 11.0.4 успешно обнаруживает и удаляет Downadup, поэтому лучше воспользоваться именно им

(если необходимо защитить сеть).

А вообще вот здесь описаны этапы борьбы с этим вирусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MKR

Я уже писал что SEP 11 и 12 не могу поставить на тонкие клиенты, утилиту запустить на всех клиентах проблематично и она не решит проблем в будущем, нужна постоянная защита. Пробовал запустить ее в скрытом режиме, не сработала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

MKR если не ошибаюсь АВ функционал в SEP и SEP for XPE не должны отличаться, я уточню этот вопрос, а вот IPS в SEP for XPE отличается в худшую сторону, он более слабый, поэтому может в данном случае не отрабатывать

А какие параметры ваших тонких клиентов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MKR

Wyse клиенты на VIA Eden 800MHz, 512Mb, 512Mb, XPE SP2, свободно 100Мб на диске C:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Demkd Я бы ещё добавил подсчёт идентичных файлов.  ( если это принципиально не скажется на производительности ) По крайней мере раньше бывало и такое, что в системе десятки идентичных  файлов - но  с разными именами. И Опционально Запуск uVS - в качестве ловушки. Например  программа стартует не как: gvprin , а как firefox.exe и отслеживает всех желающих... приобщиться.    
    • PR55.RP55
      Добавить возможность "автоматического" контроля со стороны оператора\админа за актуальностью\версией установленных программ. т.е. Оператор создаёт файл "Контроль Программ.txt" и следит за его актуальностью. И при открытии меню: Дополнительно > Установленные программы  в списке отображаться не только версия установленной программы - но и её актуальная версия из Контроль Программ.txt * * или же вместо числового значения\версии - отображается запись\уведомление заданное оператором: - например: ! Внимание найден антивирус ! ** Все записи подпавшие под... критерий - перемещаются в начало списка.  
    • demkd
      ---------------------------------------------------------
       4.99.6
      ---------------------------------------------------------
       o Добавлен еще один ключ автозапуска, используемый троянами и майнерами.

       o Добавлена новая опция запуска uVS: Искать в пользовательских каталогах скрытые исполняемые файлы.
         В пользовательских каталогах не должно быть подобных файлов, если же они есть то стоит внимательно изучить их содержимое.
         По умолчанию опция включена, отключить ее можно в окне запуска.
         Если опция включена то просматривается весь каталог "Documents and Settings" (Users+ProgramData для новых систем)
         со всеми подкаталогами. При обнаружении исполняемых файлов с атрибутами "скрытый" или "системный" такой файл добавляется
         в список со статусом "подозрительный", статус может быть снят автоматически если файл есть в базе проверенных файлов.
         Сканирование каталогов идет в отдельном потоке параллельно с построением списка автозапуска,
         однако включение этой опции может увеличить время обновления списка для одноядерных процессоров и систем на HDD.
         Тестировании проводилось только для системы на SSD, тестовый "Documents and Settings" содержал в себе 70979 подкаталогов с 452175 файлами,
         время обновления списка (при запуске uVS сразу после перезагрузки системы) увеличилось на 5%.

       o В лог добавлен статус Windows Defender-а.

       o В лог добавлен статус отслеживания командной строки процессов.

       o Добавлена возможность удаления исключений Windows Defender-а в активной системе без виртуализации реестра с помощью powershell.
         Функция может удалять исключения: путь, процесс, расширение.
         (!) Функция недоступна если powershell отсутствует или powershell не имеет правильной эцп.
       
    • PR55.RP55
      Похоже эти версии https://vms.drweb.ru/virus/?i=21513908 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
×