Перейти к содержанию
in4stor

Symantec Endpoint Protection

Recommended Posts

in4stor

Ситуация следующая: на ноутбуке установлен SEP 11.0.4202_MR4_MP2 (англ.) и применена измененная политика Приложений и девайсов. Понятно, что на ноуте не должно запускаться ничего лишнего, кроме рабочего софта. В общем, "гайки" я закрутил, но в один прекрасный день СЕП начал обращаться к какому-то файлу на диске С. Естественно, доступ к файлу он не получил, т.к. это запрещено политикой (разрешен запуск только из папки Вин и Програм файлз, а также запуск специализированного софта). Смотрим логи и видим, что СЕП обращается к C:/蓋 (именно в таком виде). Что это такое я не знаю. Идинственно, в логах указано, что СЕП обращается к файлу. Я подумал, может он обращается к чему-то из папки C:\Documents and Settings\All Users\Application Data\Symantec, и разрешил запуск всего из этой папки, но ситуация не изменилась: СЕП лезет за этим файлом, сам же себя блокирует и в связи с этим отваливается Proactive Threat Protection...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone

а эвент-лог на машине смотрел на предмет логов по Симантеку? Это я ктому, что в нем обычно пишется к какому файлу не удалось получить доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
in4stor

виндовый ивент-лог? не, не смотрел. сейчас гляну, спасибо)

Спасибо за совет - нашел причину! В исключениях политики немного исправил пути к разрешенным папкам - и все заработало! :lol:

Отредактировал in4stor

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Спасибо за совет - нашел причину! В исключениях политики немного исправил пути к разрешенным папкам - и все заработало!

Ну отлично, то есть перемудрили немного? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
in4stor

скорее, недомудрили :rolleyes: просто не совсем корректно задал маску разрешающего правила на C:\Program Files.

был разрешен запуск с C:\Program Files\*\*.exe, а необходимая папка с Симантеком лежала еще на один уровень ниже.

Отредактировал in4stor

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      а толку то это ничего не даст, задачи то уже нет
    • santy
      хорошо, бы, да, и эти события включить в образ автозапуска. 4698(S): A scheduled task was created. 4699(S): A scheduled task was deleted. похоже в самой задаче может быть установлено свойство удалить задачу, если не запланировано новых запусков. "Галка Удалить задание, если нет его повторения по расписанию, предназначена для того, чтобы удалить «одноразовые» задания из папки Назначенные задания в Панели управления. Установка этой галки приведет к удалению задания, если расписание его запуска не предусматривает последующих его запусков."  
    • demkd
    • santy
      да, неплохо. а отключенные задачи попадают в образ? или только активные? 4698(S): A scheduled task was created. 4699(S): A scheduled task was deleted. 4700(S): A scheduled task was enabled. 4701(S): A scheduled task was disabled.
    • demkd
      это излишние навороты и так уже навернуто столько, что все это хозяйство замечательно тормозит
×