Перейти к содержанию
alx19

Настройка McAfee VSE8 для работы в режиме Unmanaged

Recommended Posts

alx19

На компьютер (xp sp2 pro) подключенный к локальной сети города, поставил (с целью тестирования)

McAfee VSE8 + patch 14 + AS (вручную с помощью exe дистритутива VSE8).

Выставил обновление баз с сайта McAfee.com по шедулеру каждый день в 20:00.

Через некоторое время в трее зажглась буква M потом она изчезла.

После этого обновление баз по шедулеру работать перестало. Обновление происходит только при нажатии на кнопку - Update Now.

При попытке изменить дату обновления, в журанал событий попадает следующее сообщение:

Тип события: Ошибка

Источник события: Alert Manager Event Interface

Категория события: Отсутствует

Код события: 257

Дата: 11.12.2006

Время: 13:28:39

Пользователь: Н/Д

Компьютер: *

Описание:

VirusScan Enterprise: Failed to save schedule data into CMA.(from * IP *.*.*.* user * running VirusScan Ent. 8.0.0 UPD)

Предположение: В сети находится где то настроенный EPO, который и пристал к моему "неуправляемому" клиенту и попытался подчинить его себе. Доступа к этому EPO у меня нет.

Как мне от него избавиться чтобы у меня опять работало обновление баз по шедулеру + нужно чтобы и другой EPO к нему пристать не мог?

У меня администратор запаролен. Сам сижу под своим именем с админскими правами с паролем. Получается что это чудеса какие-то что так происходит ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

можно узнать а что в окнечном итоге вы хотите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

ANTISIMIT

В конечном итоге я хочу чтобы установленный на ноутбук

McAfee VSE8 + patch 14+AS не мог быть автоматически подчинен какиму-нибудь EPO, который наверняка будет установлен в какой-нибудь из сетей к которым он будет подключаться. То есть нужно чтобы VSE8 продолжал обновляться как и раньше с сайта McAfee.com в соответствии с настройками по шедулеру.

Можно ли считать в данном случае решением данной задачи, такой метод:

1. Установить McAfee VSE8 + patch 14+AS

2. Установить EPO

3. В политиках ePo для данного компьютера в закладке VirusScan поставить Enforce Policy в No

??

В результате когда ноутбук будет подключен к другой сети с другим EPO, он к нему не пристанет и VSE8 и также будет продолжать обновляться с сайта McAfee.com по шедулеру.

другой способ

В настройках User Interface Options VSE8 сделать 2 настройки:

1) убрать галочку Allow this system to make remote console connections to other systems

2) в настройках Password Options установить пароль на password protection for all items listed

Достаточно этого будет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest88

ePO для управления использует агента. Для начала расправяемся с ним:

"C:Program FilesNetwork AssociatesCommon Frameworkfrminst.exe" /remove=agent

или

"C:Program FilesMcafeeCommon Frameworkfrminst.exe" /remove=agent

Затем, если есть возможность меняеш настройки под себя - если нет, сносиш VirusScan, reboot, и ставиш заново.

Для того, чтоб неполучить агента заново, или отмени Admin$ share, или опусти Remote regitry service, или выбрось Domain Admins из Local Administrators group.

Good Luck и сНовым Годом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Guest88

Спасибо за конструктивный ответ.

Неужели паролирования настроек VSE8 будет не достаточно ?

С Новым Годом всех !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest88

alx19

No.

Password just lock user interface to prevent from non authoritative users make changes.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Guest88

А вот если поставить на ноутбук VSE8 + поставить EPO на соседней машине и намеренно поставить агента на машине с VSE8.

Далее в настройках EPO для данного VSE8 клиента сделать настройку:

Enforce Policy в No.

Соображение такое - агент epo привязан к конкретному серверу epo и с "левым" работать не будет.

Далее при использовании ноутбука с другими EPO в сети, таким образом настроенный агент с ними взаимодействовать не будет и обновления баз будут продолжать происходить с nai.com в соответствии с настройками.

Можно ли такое решение рассматривать в качестве альтернативного?

############

Удивляет, что даже когда EPO не знает пароля на учетную запись, все равно в случае если шары не зыкрыты - умудряется поставить агента. Как вообще такое возможно, не зная пароля совершать активность на компьютере ???

(Наверное через открытые порты, которые открывает VSE8 клиент... Да? )

############

Интересно, а достаточно ли будет использовать средства самого VSE8 для отключения шар, чтобы агент EPO не мог поставиться ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest88

Агент с другово еPO не поможет. Сервер при определении установлен ли агент опрашивает порт, а он вибирается при установке сервера. У каждово свой. Если порт не совпадёт, клиент будет опознан как "rogue" и нанего попитаются заталкать агента. Чтоб етого не допустит - смотри на 4 поста више.

Возможен другоы вариант заталкивания - через логин скрипт или стартап скрипт в GPO. Но ето, если ти member of domain.

VirusScan никаких портов или привилегий не откривает.

Шари не важно чем закриват (на мой взгляд).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Guest88

Возможен другоы вариант заталкивания - через логин скрипт или стартап скрипт в GPO. Но ето, если ти member of domain.

Если ноутбук будет member of domain,

достаточно ли будет воспользоваться любым из 3 способов:

1) отключить Admin$ share (но C$, D$,..., IPC$ - можно не отключать)

2) отключить службу Remote regitry

3) выбросить Domain Admins из Local Administrators group

для того чтобы агент ePO не мог встать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×