Перейти к содержанию
Shell

Zserver @ SEP 11.0.5 RU5 !

Recommended Posts

Shell

Всем добрый день.

При обновлении на RU5 возникла большая проблема. Сервер 2003 Enterprise SP1 + Zserver 4.0.0.480. Диски расшифровываются через консоль Zserver и видны как расшифрованные. Но, на самом сервере эти логические диски по прежнему зашифрованы. Обращение к ним невозможно.

В диспетчере устройств не блокируются. Снос компонентов SEP к положительному результату не привел до его полного удаления.

Проблем подобных в 4202 версии и предыдущих не было.

Диски динамические в софтовом зеркале в зашифрованы целиком разделами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shell никаких глобальных изменений такого уровня в новой версии вроде бы не было. Звоните в тех. поддержку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Shell никаких глобальных изменений такого уровня в новой версии вроде бы не было. Звоните в тех. поддержку

Зарегистрировал тикет несколько минут назад. Попытаюсь поднять стендовую конфигурацию и более детально посмотреть проблему. Заодно пытаюсь для симантека пробить версию Zserver для анализа проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Зарегистрировал тикет несколько минут назад.

Если что - присылайте мне его номер в ЛС

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Методом научного тыка выявлено:

1) С клиентом в unmanagement режиме проблем у Zserver нет.

2) После открытия зашифрованного диска (при клиенте в managed) нет доступа, пока не завершить процесс Smc.exe из диспетчера задач (прибить процесс). Диск после этого моментально открывается и доступен в системе.

Есть у кого мысли?

Повторюсь, что в 4202 версии проблем не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×