Symantec Endpoint Protection не обновляет антивирусные базы данных

Обновлено: 21.11.2024

Эти действия относятся к текущей версии продукта Norton. Если у вас более старая версия или вы не знаете версию своего продукта, перейдите в Центр обновлений Norton.

Проверьте дату и время на вашем компьютере

Нажмите клавиши Windows + R, чтобы открыть диалоговое окно "Выполнить".

Введите следующий текст и нажмите Enter.

Убедитесь, что день, месяц и год указаны правильно.

Если дата неверна, измените календарь на правильный день, месяц и год.

Нажмите «Применить», а затем нажмите «ОК».

Запустите LiveUpdate еще раз.

Если проблема не устранена, перейдите к шагу 2.

Обновите определения вирусов с помощью Intelligent Updater

Перейдите на страницу загрузок Intelligent Updater.

Страница загрузки Intelligent Updater в настоящее время размещена Symantec Enterprise Security, которая теперь является подразделением Broadcom Inc.

Чтобы выбрать правильный набор определений, необходимо знать название и версию вашего продукта Norton и версию Windows.

В зависимости от вашей версии Windows и продукта Norton загрузите соответствующий набор определений.

Версия продукта Norton

32-разрядная платформа Windows

64-разрядная платформа Windows

например. 20170126-020-core3sdsg2v5i32.exe

например. 20170126-020-core3sdsg2v5i64.exe

например. 20170126-020-core3sdsv5i32.exe

например. 20170126-020-core3sdsv5i64.exe

22.6 и более ранние версии

например. 20170126-020-v5i32.exe

например. 20170126-020-v5i64.exe

Сохраните файл на рабочем столе Windows.

На рабочем столе дважды щелкните загруженный файл.

В окне Intelligent Updater нажмите Да, чтобы продолжить.

Когда Intelligent Updater завершит обновление определений, нажмите OK.

Загрузите Norton Power Eraser и запустите сканирование (в Windows 11/10/8/7)

В зависимости от версии Windows загрузите одну из следующих программ:
• В 64-разрядной версии Windows: Norton Power Eraser.
• В 32-разрядной версии Windows: Norton Power Eraser.

Нажмите клавиши Ctrl + J, чтобы открыть окно "Загрузки" в браузере, и дважды щелкните файл NPE.exe.

Если появится окно контроля учетных записей, нажмите «Да» или «Продолжить».

Прочитайте лицензионное соглашение и нажмите «Принимаю».

Если вы уже приняли лицензионное соглашение, повторного запроса не будет.

Norton Power Eraser проверяет и автоматически загружает новую версию, если она доступна.

В окне Norton Power Eraser выберите «Полное сканирование системы» и нажмите «Выполнить сейчас».

Если вы хотите включить сканирование руткитов, нажмите «Настройки» и в разделе «Параметры сканирования и журнала» включите параметр «Включить сканирование руткитов» (требуется перезагрузка компьютера) и нажмите «Применить».

Когда появится запрос на перезагрузку компьютера, нажмите «Перезагрузить».

Дождитесь завершения сканирования. Следуйте инструкциям на экране.

Загрузите Norton Power Eraser и запустите сканирование (в Windows XP/Vista)

Нажмите клавиши Ctrl + J, чтобы открыть окно "Загрузки" в браузере, и дважды щелкните файл NPE.exe.

Если появится окно контроля учетных записей, нажмите «Да» или «Продолжить».

Прочитайте лицензионное соглашение и нажмите "Принять".

Norton Power Eraser проверяет наличие новой версии и предлагает загрузить ее, если она доступна.

В окне Norton Power Eraser щелкните значок Сканировать на наличие рисков.

По умолчанию Norton Power Eraser выполняет поиск руткитов и требует перезагрузки системы. Когда появится запрос на перезагрузку компьютера, нажмите «Перезагрузить».

Если вы не хотите включать сканирование руткитов, перейдите в «Настройки» и снимите флажок «Включить сканирование руткитов» (требуется перезагрузка компьютера).

В столбце Проблема отображается номер версии при появлении проблемы. Например, [14.3 RU1] означает, что проблема относится к версии 14.3 RU1 и более поздним. Когда эти проблемы устранены, они появляются в примечаниях к исправлению. См.:

Появляется следующее сообщение об ошибке: «Symantec Endpoint Protection версии 14.3 RU2 для Win64bit является последним пакетом. Его нельзя удалить». [14,3 руб2]

Вы не можете удалить пакет установки клиента, если в Symantec Endpoint Protection Manager отображаются пакеты из нескольких сборок. Начиная с версии 14.3 RU2, LiveUpdate может загружать несколько установочных пакетов клиента с другим номером сборки, которые отображаются в

Эта проблема возникает для клиентов, которые вручную обновили поддерживаемый язык до неподдерживаемого в 14.3 RU1 MP1 и более ранних версиях, например, при обновлении чешского клиента до японского клиента в японской операционной системе. А потом привык

Эта проблема вызвана тем, что язык клиента использует язык поддерживаемой операционной системы (в данном случае японский). AutoUpgrade рассчитывает использовать поддерживаемый язык, а не английский.

При экспорте установочного пакета клиента из 14.3 RU2 Symantec Endpoint Protection Manager (SEPM) появляется следующее предупреждающее сообщение: «Пакет установки клиента не содержит содержимого». [14,3 руб2]

Эта проблема возникает при нарушении связи между Symantec Endpoint Protection Manager и консолью, используемой для экспорта пакета. См.:

При импорте самых последних пакетов установки клиента в более раннюю версию Symantec Endpoint Protection Manager появляется ошибка. [14,3 руб2]

Клиентами Symantec Endpoint Protection 14.3 RU2 нельзя управлять с помощью Symantec Endpoint Protection Manager 14.3 RU1 MP1 или более ранней версии. [СЕНТЯБРЬ-72292]

После обновления Symantec Endpoint Protection Manager до версии 14.3 RU2 происходит сбой php-cgi.exe с ошибкой в ​​средстве просмотра событий. [14,3 руб2]

Чтобы обойти эту проблему, загрузите и установите версию 17.7.2 драйвера Microsoft ODBC для SQL Server в Windows:

После обновления до Symantec Endpoint Protection Manager 14.3 RU2 могут появиться уведомления «Клиентский компьютер был переименован». [14,3 руб2]

После обновления старой версии Symantec Endpoint Protection Manager до версии 14.3 RU2 администраторы могут начать получать уведомления «Клиентский компьютер был переименован». Эта проблема применима только к клиентам Mac. См.:

При обновлении встроенной базы данных SEPM по умолчанию до базы данных Microsoft SQL Server Express может появиться следующая ошибка:

Эта ошибка возникает из-за того, что требования к паролю SQL Server Express используют требования к паролю Windows. Эта ошибка возникает, если требования к паролю базы данных по умолчанию более строгие, чем те, которые использует сценарий установки SEPM по умолчанию. [SEP-75205]

в темной сети загружает старое содержимое системы обнаружения вторжений (CIDS) на новые клиенты, поскольку LiveUpdate не запускается во время обновления. [14,3 RU1]

Когда Symantec Endpoint Protection Manager версии 14.3 RU1 не может получить доступ ни к Интернету, ни к серверу администратора LiveUpdate (LUA), он сохраняет старое несовместимое содержимое в своем кэше. Этот старый контент обычно доставляется новым клиентам. Чтобы обновить содержимое кэша сервера управления, вы вручную загружаете сертифицированные определения вирусов и файлы CIDS .jdb. [SEP-69125]

Чтобы гарантировать, что новые клиенты не получат старое содержимое, вручную установите файл CIDS .jdb в SEPM перед установкой новых клиентов или обновлением старых клиентов. См.:

Невозможно войти в Symantec Endpoint Protection Manager (SEPM), если карта сетевого интерфейса отключена. [14,3 RU1]

Если после установки Symantec Endpoint Protection Manager вы не можете войти в консоль и появляется следующее сообщение об ошибке:

Эта проблема может возникнуть, если сетевая карта компьютера отключена при установке SEPM, что препятствует созданию сертификата сервера. [SEP-67040]

Чтобы узнать, был ли SEPM установлен с отключенной сетевой картой, просмотрите сертификат сервера. См.:

Когда вы удаляете SEPM и используете параметр для удаления базы данных по умолчанию и оставляете экземпляр SQL Server Express, появляется следующая ошибка: "

". Эта проблема возникает после добавления учетных данных администратора баз данных пользователя по умолчанию и может быть связана с привилегиями пользователя. [SEP-68670]

Чтобы обойти эту проблему, выполните удаление, запустив файл SEPM setup.exe и щелкнув значок

Вы можете увидеть сообщение об ошибке: «Произошла следующая ошибка. Произошла ошибка при установке функции расширения с сообщением об ошибке: Ошибка создания контейнера приложения с сообщением об ошибке НЕТ, состояние. Эта реализация не является частью криптографических алгоритмов платформы Windows, проверенных FIPS. ." Это происходит, если вы используете Symantec Endpoint Protection Manager 14.3 с поддержкой FIPS и выполняете обновление с Microsoft SQL Server 2017 до 2019. [SEP-61473]

При обновлении до Symantec Endpoint Protection 14.2 или более поздней версии политики брандмауэра не могут включать изменения для IPv6, если вы изменили некоторые имена по умолчанию. Имена по умолчанию включают имена политик по умолчанию и имена правил по умолчанию. Если правила не могут быть обновлены во время обновления, параметры IPv6 не отображаются. Любые новые политики или правила, которые вы создаете после обновления, не затрагиваются.

Если возможно, верните все измененные имена к значениям по умолчанию. В противном случае убедитесь, что любые настраиваемые правила, добавленные вами в политику по умолчанию, никоим образом не блокируют обмен данными по протоколу IPv6. Обеспечьте то же самое для любых новых политик или правил, которые вы добавляете.

В агенте Symantec Endpoint Protection (SEP) версии 14.3 RU4 максимальный размер журнала сокращения направлений атак составляет 5 МБ (5 120 КБ), несмотря на то, что максимальный размер журналов безопасности и рисков в параметрах журнала клиента настроен на менее 5 120 КБ. Если значение превышает 5120 КБ, оно будет соответствовать этому значению.

Это происходит из-за того, что журнал сокращения направлений атак (ASRman.log) содержит больше событий, чем другие журналы безопасности и рисков (avman.log, tdadman.log и т. д.).Поэтому для сохранения достаточного количества событий требуется больший размер по умолчанию.

Минимум 5 МБ — это временная мера, пока в параметры журнала клиента не будет добавлено настраиваемое значение для сокращения направлений атак. До этого журнал будет либо иметь размер 5 МБ, либо соответствовать значению, указанному в журнале безопасности и рисков (в зависимости от того, что больше).

Если Symantec Endpoint Protection Manager и клиент Data Center Security установлены на одном и том же компьютере, LiveUpdate не сможет отобразить

В консоли Symantec Data Center Security (DCS) Server Manager откройте политику предотвращения, которая применяется к клиенту DCS.

Путь к программе: %%- HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM\JavaLaunchTool\JavaEXE%%

Путь к программе: %%-HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM\JavaLaunchTool\JavaW%%

Клиент Symantec Endpoint Protection должен работать под управлением Windows 10 сборки 14393 или более поздней версии, чтобы собирать события Symantec EDR Event Tracing for Windows (ETW). [СЕНТЯБРЬ-67175]

Функция перенаправления сетевого трафика (защита доступа к Интернету и облаку) имеет некоторые ограничения. [14,3 RU1]

Работает только в Windows 10 x64 версии 1703 и более поздних (Semi-Annual Servicing Channel). Этот метод не поддерживает никакие другие операционные системы Windows или клиент Mac. [СЕНТЯБРЬ-67927]

Портал WSS Captive Portal недоступен для туннельного метода, и клиент игнорирует учетные данные запроса. В будущем выпуске аутентификация SAML в агенте WSS заменит Captive Portal и будет доступна в

Если клиентский компьютер подключается к WSS с помощью туннельного метода и содержит виртуальные машины, каждому гостевому пользователю необходимо установить SSL-сертификат, предоставленный на портале WSS.

Трафик для локальной сети, такой как ваш домашний каталог или проверка подлинности Active Directory, не перенаправляется.

При обновлении клиентов Symantec Endpoint Protection с 14.2.x до 14.3 MP1 и более поздних версий для этих клиентов создаются дублирующиеся записи о регистрации агента

Это не повлияет на функциональность, и вы можете продолжить работу с новыми записями для клиентов 14.3 RU1. Symantec Endpoint Protection Manager удалит старые записи агентов.

Разрешить URL-адреса в Symantec Endpoint Security, если вы используете гибридный вариант управления, прокси-серверы или брандмауэр периметра. [14.3]

После приобретения компанией Broadcom Symantec Enterprise Security URL-адреса для связи между клиентом и облаком изменились в версии 14.2.2.1. [CDM-42467]

Вы используете Symantec Endpoint Security для управления клиентами и политиками, когда ваши локальные домены Symantec Endpoint Protection Manager зарегистрированы в облачной консоли

Вы разрешаете URL-адреса либо в агентах, полностью управляемых облаком, либо в гибридных агентах, на прокси-сервере и/или в брандмауэре периметра. См.:

Удаленная консоль Symantec Endpoint Protection Manager больше не поддерживает 32-разрядную платформу Windows. [14.3]

В версии 14.3 и более поздних нельзя войти в удаленную консоль Symantec Endpoint Protection Manager, если вы используете 32-разрядную версию Windows. Среда выполнения Oracle Java SE больше не поддерживает 32-разрядные версии Microsoft Windows. [СЕНТЯБРЬ-61106]

"Эта версия C:\Users\Administrator\Downloads\Symantec Endpoint Protection Manager Console\bin\javaw.exe несовместима с используемой вами версией Windows. Проверьте информацию о системе вашего компьютера и обратитесь к программному обеспечению. издатель."

При установке Symantec Endpoint Protection Manager появляется ошибка «Не удалось установить среду выполнения Microsoft Visual C++». [14.3]

При установке Symantec Endpoint Protection Manager в Windows 2012 R2 может появиться следующая ошибка: «Не удалось установить среду выполнения Microsoft Visual C++» [SEP-60396]

Чтобы обойти эту проблему, активируйте Windows и установите обновления Windows. Обновление Windows устанавливает распространяемый компонент Visual C++ 2017, который необходим для установки Symantec Endpoint Protection Manager 14.3 в Windows 2012 R2.

После обновления или установки Symantec Endpoint Protection Manager версии 14.3, зарегистрированного в облачной консоли, сервер управления больше не может успешно загружать журналы в облако. В файле uploader.log вы можете увидеть следующую ошибку:

Сообщение «Выполняется развертывание» по-прежнему отображается в Symantec Endpoint Protection Manager после того, как клиент получит обновленную политику Endpoint Threat Defense для AD. [14.2 RU1 MP1 и выше]

Это ожидаемое поведение. Политики Endpoint Threat Defense для AD 3.3 поддерживаются на клиенте только начиная с версии 14.2 RU1 MP1.

Вы применяете политику Symantec Endpoint Threat Defense для Active Directory 3.3 к группе. В эту группу входят некоторые клиенты, работающие под управлением Symantec Endpoint Protection 14.2 RU1 или более ранней версии. Эти клиенты получают и применяют политику, как и ожидалось, но статус в Symantec Endpoint Protection Manager по-прежнему показывает сообщение Выполняется развертывание.

Если вы используете RHEL/OEL/CentOS 8.x с включенным режимом FIPS в режиме двойного управления с агентом DCS, агент не может обмениваться данными с сервером DCS. Связь восстанавливается при отключении FIPS и перезапуске системы.

В клиенте Mac подключение к VNC/демонстрации экрана теряется, если защита от уязвимостей отключена или включена. [14,3 руб3]

Непредвиденная ошибка сервера при входе в Endpoint Protection Manager, и клиенты больше не обмениваются данными после изменения системного времени. [14,3 руб3]

Подождите, пока дата/время в системе не превысят исходное время в системе, прежде чем устанавливать его обратно.

Журнал Endpoint Protection 14.3 RU3 Web and Cloud Access Protection сообщает об операционной системе Windows 10 в Windows 11. [14.3 RU3]

Когда пользователь клиента просматривает журнал защиты доступа к сети и облаку клиента SEP, в журнале отображается операционная система Windows 10, когда клиент установлен на устройстве с Windows 11. В клиентской консоли нажмите

Одним из методов смягчения последствий, который Microsoft Edge использует для защиты операционной системы Windows, является

Техника. Для компьютеров с Windows 10 или 11, на которых работают клиенты Symantec Endpoint Protection версии 14.2 RU2 MP1 или более поздней, если этот параметр включен, веб-браузеры Microsoft Edge и Google Chrome не запускаются. [СЕНТЯБРЬ-75086]

Техника. Дополнительные сведения о методах устранения последствий для Microsoft Edge см. в статье: Настройка защиты от эксплойтов

Чтобы сделать дополнительные события ETW доступными в 14,3 RU3, необходимо перезапустить клиент Symantec Endpoint Protection. Вы должны перезапустить клиент в следующих случаях: [SEP-73327]

14.3 RU3 уже установлен, и вы включаете или отключаете EDR. Вы должны перезапустить клиент, чтобы включить или отключить новые добавленные события.

Scan Engine не инициализируется после обновления клиента Symantec Endpoint Protection для Linux до версии 14.3 RU3.

пакет отсутствует в клиенте Linux, криминалистическая информация собирается для всех других типов событий, кроме событий сети.

После обновления агента Mac с помощью AutoUpgrade и перезапуска устройства агент может не подключиться к сети.

Находясь в режиме ожидания, устройство Mac может потерять сетевое соединение со следующей ошибкой: "Ваше соединение было прервано. Обнаружено изменение сети".

Rosetta может заблокировать установку агента Mac на устройствах Apple Silicon (M1) со следующей ошибкой: «Эта версия Symantec Agent for Mac не поддерживается на чипе Apple M1». [14,3 руб2]

Загрузка и установка агента Mac с использованием веб-ссылки, созданной в Symantec Endpoint Protection Manager, может завершиться ошибкой. [14,3 руб2]

в Symantec Endpoint Protection Manager и пользователи загружают пакет по этой ссылке в браузере Safari, установка агента Mac может завершиться сбоем со следующей ошибкой:

chmod +x ./Symantec\ Endpoint\ Protection/Symantec\ Endpoint\ Protection\ Installer.app/Contents/MacOS/Symantec\ Endpoint\ Protection\ Installer

Если вы автоматически обновите клиент с неподдерживаемым языком до английского, клиент продолжит отображать настройки даты для определений на английском языке. [14.3 RU1 и выше]

Чтобы обойти эту проблему, удалите устаревший клиент и вручную установите новый пакет установки английского клиента. Кроме того, ожидается исправление для клиентов, которые обновляются автоматически. [СЕНТЯБРЬ-72481]

Автономный агент Symantec WSS Agent блокирует установку клиента Symantec Endpoint Protection, если вы устанавливаете SEP на том же компьютере, что и агент WSS.

Компонент перенаправления сетевого трафика (NTR) использует те же файлы, что и автономный агент Symantec WSS Agent (WSSA). NTR устанавливается по умолчанию как в Symantec Endpoint Protection, так и в облачной консоли Symantec Endpoint Security. Если функция NTR установлена ​​на конечной точке, WSSA установить нельзя. Точно так же, если установлен WSSA, функция NTR не устанавливается.

Вы можете удалить функцию перенаправления сетевого трафика с существующих конечных точек, не удаляя весь клиент, одним из следующих способов:

В Symantec Endpoint Protection Manager создайте набор компонентов установки клиента, не включающий NTR, и примените его к конечным точкам. См.:

Пакет установки обновления, который используется для чистой установки, устанавливает набор функций по умолчанию. [14.3 RU1 MP1 и более ранние версии]

Если установлен флажок

, и используйте этот пакет для чистой установки, набор функций по умолчанию будет установлен на вашем клиентском устройстве.

Если вы хотите установить пользовательский набор функций, необходимо создать отдельный установочный пакет для чистой установки.

При обновлении macOS с 10.15 до 11.0 перед обновлением агента Symantec Agent for Mac с 14.2/14.3 до 14.3 RU1 в облачной консоли создаются дубликаты устройств.

Во избежание дублирования необходимо обновить клиент перед обновлением операционной системы (т. е.обновите Symantec Agent for Mac с 14.2/14.3 до 14.3 RU1, а затем обновите macOS с 10.15 до 11.0.).

В некоторых случаях программа установки агента записывает в журнал некорректные сообщения, связанные с несоответствующей версией драйвера или требуемой перезагрузкой.

На устройстве SuSe Linux zypper удаляет клиентские пакеты SEP Linux при удалении пакета at. [14,3 RU1]

На устройстве SuSe Linux команда 'zypper remove at' удаляет клиентские пакеты SEP Linux, поскольку пакет 'at' добавляется в качестве обязательного зависимого пакета, а команды zypper автоматически пытаются удалить клиентские пакеты SEP 'sdcss- kmod" и "sdcss-sepagent" как пакеты с неиспользуемыми зависимостями.

Функция мастера развертывания клиента не позволяет обновить клиент Symantec Endpoint Protection с более старых версий до версии 14.3 MP1.

Установка клиента Symantec Endpoint Protection 14.3 для Windows может завершиться ошибкой, если предварительно не установить поддержку SHA-2. [14.3]

Если вы работаете с устаревшими версиями операционной системы (Windows 7 RTM или SP1, Windows Server 2008 R2 или R2 с пакетом обновления 1 или R2 с пакетом обновления 2), на ваших устройствах должна быть установлена ​​поддержка подписи кода SHA-2 для установки обновлений Windows, выпущенных на или после июля 2019 г. Без поддержки SHA-2 установка клиента Windows иногда завершается сбоем. Установка может завершиться ошибкой, независимо от того, устанавливаете ли вы клиенты в первый раз или автоматически обновляете предыдущую версию. [SEP-61175/61403]

Клиент Symantec Endpoint Protection для Windows не запускается при установке в Windows 10 1803 с включенным UWF. [14.3]

Если клиент Symantec Endpoint Protection работает в 32-разрядной операционной системе Windows 10 RS4 1803, когда включен единый фильтр записи (UWF) и защищает диск, на котором установлен клиент Windows, клиент не работает должным образом. Эта операционная система Windows содержит дефект UWF, который препятствует запуску клиента Windows.

Клиенты Mac, в которых включено перенаправление трафика WSS, не учитывают пользовательские настройки прокси-сервера для LiveUpdate. [14.2 RU1 MP1 и выше]

Вы настроили свои управляемые клиенты Mac для Symantec Endpoint Protection 14.2 RU1 MP1 или более поздней версии, чтобы использовать настраиваемые параметры прокси-сервера для LiveUpdate через параметры внешней связи. Однако после включения перенаправления трафика WSS (WTR) для клиентов Mac с помощью политики Symantec Endpoint Protection Manager вы обнаружите, что трафик LiveUpdate больше не учитывает ваши пользовательские настройки прокси-сервера. Вместо этого LiveUpdate пытается установить прямое соединение.

Чтобы обойти эту проблему, используйте пользовательские настройки прокси-сервера для LiveUpdate, только если перенаправление трафика WSS отключено.

Если в клиенте Symantec Endpoint Protection включена защита приложений, вы неожиданно можете загружать PDF-файлы, если используете браузер Microsoft Edge. Предотвращение загрузки PDF-файлов в других браузерах работает должным образом.

Безопасность конечных точек — это практика защиты конечных точек или точек входа устройств конечных пользователей, таких как настольные компьютеры, ноутбуки и мобильные устройства, от использования злоумышленниками и кампаниями. Системы безопасности конечных точек защищают эти конечные точки в сети или в облаке от угроз кибербезопасности. Безопасность конечных точек превратилась из традиционного антивирусного программного обеспечения в комплексную защиту от сложных вредоносных программ и новых угроз нулевого дня.

Организации любого размера подвергаются риску со стороны национальных государств, хактивистов, организованной преступности, а также злонамеренных и случайных внутренних угроз. Безопасность конечных точек часто рассматривается как передний край кибербезопасности и представляет собой одно из первых мест, где организации стремятся защитить свои корпоративные сети.

По мере того, как количество и сложность угроз кибербезопасности неуклонно растут, возрастает потребность в более совершенных решениях для защиты конечных точек. Современные системы защиты конечных точек предназначены для быстрого обнаружения, анализа, блокировки и сдерживания текущих атак. Для этого им необходимо сотрудничать друг с другом и с другими технологиями безопасности, чтобы дать администраторам информацию о сложных угрозах, чтобы ускорить обнаружение и время реакции на устранение.

Почему важна безопасность конечных точек

Платформа для защиты конечных точек является важной частью корпоративной кибербезопасности по ряду причин. Прежде всего, в современном деловом мире данные часто являются самым ценным активом компании, и потеря этих данных или доступа к этим данным может подвергнуть весь бизнес риску неплатежеспособности. Предприятиям также приходилось бороться не только с растущим числом конечных точек, но и с увеличением количества типов конечных точек. Эти факторы сами по себе усложняют защиту конечных точек предприятия, но они усугубляются удаленной работой и политиками BYOD, которые делают защиту периметра все более недостаточной и создают уязвимости.Ландшафт угроз также становится все более сложным: хакеры всегда придумывают новые способы получить доступ, украсть информацию или манипулировать сотрудниками, чтобы они выдавали конфиденциальную информацию. Добавьте альтернативные издержки перераспределения ресурсов с бизнес-целей на устранение угроз, репутационные издержки крупномасштабных нарушений и фактические финансовые затраты на нарушения нормативных требований, и вы легко поймете, почему платформы для защиты конечных точек стали считаться обязательными. с точки зрения защиты современных предприятий.

Компания Gartner назвала McAfee лидером магического квадранта Gartner Magic Quadrant 2021 для платформ защиты конечных точек

Компания Gartner полностью признала стратегию MVISION с ее обширным портфолио в отношении нашего решения XDR.

Как работает защита конечных точек

Безопасность конечных точек — это практика защиты данных и рабочих процессов, связанных с отдельными устройствами, подключенными к вашей сети. Платформы защиты конечных точек (EPP) работают, проверяя файлы при их поступлении в сеть. Современные EPP используют возможности облака для хранения постоянно растущей базы данных с информацией об угрозах, избавляя конечные точки от раздувания, связанного с локальным хранением всей этой информации и обслуживанием, необходимым для поддержания этих баз данных в актуальном состоянии. Доступ к этим данным в облаке также обеспечивает большую скорость и масштабируемость.

EPP предоставляет системным администраторам централизованную консоль, которая устанавливается на сетевой шлюз или сервер и позволяет специалистам по кибербезопасности удаленно контролировать безопасность каждого устройства. Затем клиентское программное обеспечение назначается каждой конечной точке — оно может быть доставлено как SaaS и управляться удаленно или может быть установлено непосредственно на устройстве. После настройки конечной точки клиентское программное обеспечение может при необходимости отправлять обновления на конечные точки, аутентифицировать попытки входа в систему с каждого устройства и администрировать корпоративные политики из одного места. EPP защищают конечные точки с помощью контроля приложений, который блокирует использование небезопасных или неавторизованных приложений, и с помощью шифрования, которое помогает предотвратить потерю данных.

Когда программа EPP настроена, она может быстро обнаруживать вредоносное ПО и другие угрозы. Некоторые решения также включают компонент Endpoint Detection and Response (EDR). Возможности EDR позволяют обнаруживать более сложные угрозы, такие как полиморфные атаки, бесфайловые вредоносные программы и атаки нулевого дня. Благодаря непрерывному мониторингу решение EDR обеспечивает лучшую видимость и разнообразие вариантов реагирования.

Решения EPP доступны в локальных или облачных моделях. Хотя облачные продукты являются более масштабируемыми и их легче интегрировать в вашу текущую архитектуру, для некоторых нормативных требований может потребоваться локальная безопасность.

Компоненты безопасности конечных точек

Как правило, программное обеспечение для защиты конечных точек включает следующие ключевые компоненты:

  • Классификация машинного обучения для обнаружения угроз нулевого дня почти в реальном времени.
  • Расширенная защита от вредоносных программ и вирусов для защиты, обнаружения и исправления вредоносных программ на нескольких конечных устройствах и операционных системах.
  • Упреждающая веб-безопасность для обеспечения безопасного просмотра веб-страниц
  • Классификация данных и предотвращение потери данных для предотвращения потери и кражи данных.
  • Встроенный брандмауэр для блокировки враждебных сетевых атак
  • Шлюз электронной почты для блокировки попыток фишинга и социальной инженерии, нацеленных на ваших сотрудников.
  • Действенная экспертиза угроз, позволяющая администраторам быстро изолировать заражение
  • Защита от внутренних угроз для защиты от непреднамеренных и злонамеренных действий
  • Платформа централизованного управления конечными точками для улучшения видимости и упрощения операций.
  • Шифрование конечной точки, электронной почты и диска для предотвращения утечки данных

Что считается конечной точкой?

Конечные точки могут варьироваться от более распространенных устройств, таких как:

  • Ноутбуки
  • Планшеты
  • Мобильные устройства
  • Умные часы
  • Принтеры
  • Серверы
  • банкоматы
  • Медицинские устройства

Если устройство подключено к сети, оно считается конечной точкой. С ростом популярности BYOD (принеси свое устройство) и IoT (Интернет вещей) количество отдельных устройств, подключенных к сети организации, может быстро достигать десятков (и сотен) тысяч.

Поскольку они являются точками входа для угроз и вредоносных программ, конечные точки (особенно мобильные и удаленные устройства) являются излюбленной мишенью злоумышленников.Мобильные конечные устройства стали намного больше, чем просто устройства Android и iPhone — подумайте о новейших носимых часах, интеллектуальных устройствах, цифровых помощниках с голосовым управлением и других интеллектуальных устройствах с поддержкой IoT. Теперь у нас есть подключенные к сети датчики в наших автомобилях, самолетах, больницах и даже на буровых установках нефтяных вышек. Поскольку различные типы конечных точек развивались и расширялись, решения по обеспечению безопасности, которые их защищают, также должны были адаптироваться.

Последнее исследование безопасности конечных точек SANS подчеркивает важность внедрения комплексного решения для защиты конечных точек. Вот некоторые из основных результатов этого опроса:

  • 28 % респондентов сообщили, что их конечные точки были взломаны.
  • Было использовано множество векторов угроз, включая проникновение через Интернет (52%), социальную инженерию/фишинг (58%) и/или кражу/компрометацию учетных данных (49%).
  • Только 39 % атак были обнаружены традиционным антивирусом.
  • Еще 39 % компрометаций были обнаружены оповещениями SIEM.

Компания Gartner назвала McAfee лидером магического квадранта Gartner Magic Quadrant 2021 для платформ защиты конечных точек

Компания Gartner полностью признала стратегию MVISION с ее обширным портфолио в отношении нашего решения XDR.

Платформы для защиты конечных точек и традиционный антивирус

Платформы Endpoint Protection (EPP) и традиционные антивирусные решения имеют некоторые ключевые отличия.

  • Защита конечных точек и сетевая безопасность.
    Антивирусные программы предназначены для защиты одной конечной точки, обеспечивая видимость только этой конечной точки, во многих случаях только с этой конечной точки. Однако программное обеспечение для защиты конечных точек рассматривает корпоративную сеть в целом и может обеспечивать видимость всех подключенных конечных точек из одного места.
  • Администрирование.
    Устаревшие антивирусные решения полагались на то, что пользователь вручную обновлял базы данных или разрешал обновления в заранее установленное время. EPP обеспечивают взаимосвязанную безопасность, которая передает обязанности по администрированию корпоративным ИТ-специалистам или специалистам по кибербезопасности.
  • Защита.
    Традиционные антивирусные решения используют обнаружение на основе сигнатур для поиска вирусов. Это означало, что если ваш бизнес был нулевым пациентом или если ваши пользователи недавно не обновляли свои антивирусные программы, вы все равно могли подвергаться риску. Используя облако, современные решения EPP автоматически обновляются. А с помощью таких технологий, как поведенческий анализ, можно обнаружить ранее неизвестные угрозы на основе подозрительного поведения.

Подробнее о различиях между устаревшими антивирусными решениями и современными платформами Endpoint Protection.

Эволюция защиты от вирусов — от сигнатур к компьютерам

Бизнес по обеспечению безопасности конечных точек начался в конце 1980-х годов с антивирусного программного обеспечения, которое могло распознавать вредоносные программы (вредоносные программы) по их сигнатурам. Первые антивирусные инструменты для конечных точек искали изменения в файловых системах или приложениях, которые соответствовали известным шаблонам, и помечали или блокировали запуск этих программ. По мере роста популярности Интернета и электронной коммерции вредоносные программы становились все более частыми, сложными и трудными для обнаружения. Он также больше не полагается на сигнатуры, и в отрасли наблюдается рост числа безфайловых вредоносных программ. Сегодня борьба с вредоносными программами – это скорее командный вид спорта, а антивирусное ПО – лишь одно из многих видов оружия.

Это увеличение количества оружия делает игру более сложной. Быстрый рост продуктов для обеспечения безопасности с перекрывающимися функциями и отдельными консолями управления может затруднить для многих организаций получение четкой картины потенциальных атак. Команды безопасности, после многих лет совместной работы продуктов для обеспечения безопасности конечных точек, часто вынуждены управлять несколькими агентами и консолями практически без интеграции или автоматизации.

Недавние исследования показывают, что изолированные решения для конечных точек не справляются со сложными новыми угрозами. Тактическое пожаротушение безопасности можно заменить интегрированной многоступенчатой ​​защитой, которая адаптируется к перехитринию злоумышленников. Новейшая защита конечных точек требует обнаружения и устранения скрытых атак за секунды, а не месяцы. Для этого требуется система с обратной связью, которая автоматически обменивается информацией об угрозах между подключенными компонентами для обнаружения, устранения и адаптации к новым стратегиям атак. Встроенная многоэтапная защита позволяет организациям сотрудничать, обмениваться информацией об угрозах и эффективно бороться с будущими угрозами.

Сейчас мы находимся на этапе, когда люди не могут делать это в одиночку и объединяются с машинами. Машинное обучение и искусственный интеллект позволяют защите конечных точек развиваться почти с той же скоростью, что и атаки.Традиционные возможности, такие как брандмауэр, репутация и эвристика, в сочетании с машинным обучением и сдерживанием позволяют остановить самые сложные атаки.

В моей инфраструктуре установлено Symantec Endpoint Protection 11 MR5, и у меня небольшая проблема с SEP. Каждый понедельник пользователям требовалось много времени для обновления с моего сервера управления SEP. Я не знаю, потому что компьютер пользователя должен загрузить определение вируса большого размера с сервера управления или что-то в этом роде.

Кто-нибудь знает, что случилось с моим SEP-сервером и как узнать размер определения вируса, которое мой SEP-сервер загружает из Интернета (сервер обновлений Symantec)?

Участвуйте, чтобы выиграть еженедельные подарочные карты (от 100 евро), Oculus и наушники/колонки

Конкурс завершается 27 марта 2022 г. Конкурсы Каждую неделю узнайте больше о том, как Red Hat может помочь вам добиться простоты и цифровых инноваций, и ответьте на вопрос. Детали конкурса Просмотреть все конкурсы

13 ответов

Доступна версия 12. Это может решить проблему с обновлением, поскольку у него есть некоторые дополнительные параметры.

по какой причине вы не обновились до версии 12?

и вы также обновили клиентское программное обеспечение, так как это может занять некоторую полосу пропускания и замедлить вашу сеть до сканирования, если вы используете много клиентов.

Просто скажи

Насколько быстро/мощно ваше устройство SEP? Может быть, он перегружен запросами на обновление от ваших клиентов?

Можно ли обновить до 12? Мы только что сделали, и это работает намного лучше.

Дерек_А

Версия 12 намного лучше, чем 11. Они исправили многие вещи и уменьшили клиент, он не такой раздутый, как клиент версии 11. Я настоятельно рекомендую обновиться до версии 12.

да, я собираюсь перейти на SEP 12. Сложно ли перейти с SEP 11 на SEP 12?

любые рекомендуемые ссылки или руководства по пошаговому обновлению SEP 11 до SEP 12?

Обновление до SEP 12.1 очень простое и гладкое. Вот как вам следует обновить SEPM до 12.1

Шаг 1) Сделайте резервную копию сертификатов базы данных и сервера.

Резервное копирование базы данных:-
*Запустите утилиту резервного копирования и восстановления базы данных из "Все программы">"Symantec endpoint Protection Manager">"Резервное копирование и восстановление"
*Подтвердите пароль базы данных, запустив odbcad, как показано ниже: (ОЧЕНЬ ВАЖНО, ТАК КАК ДЛЯ ВОССТАНОВЛЕНИЯ БАЗЫ ДАННЫХ ТРЕБУЕТСЯ ПАРОЛЬ БД.) и убедитесь, что пароль не сложный
================== ================================================== ================================================== ==
-Для 64-битной версии

-Нажмите Пуск->Выполнить->C:\WINDOWS\SysWOW64\odbcad32.exe
-Проверьте связь со встроенной (Sybase) базой данных.
-Убедитесь, что служба "Symantec Embedded Database" запущена и что процесс "dbsrv9.exe" прослушивает TCP-порт 2638.
-Проверьте соединение ODBC.
-Нажмите «Пуск»> «Панель управления»
-Откройте «Инструменты администратора»
- Дважды щелкните «Источники данных (ODBC)»
- Выберите вкладку «Системный DSN»
- Дважды щелкните значок SymantecEndpointSecurityDSN и воспользуйтесь мастером, чтобы установить следующие параметры:

Примечание. Если флажок «Зашифровать пароль» на вкладке «Вход» не установлен, ваш пароль будет сохранен в виде обычного текста в реестре Windows.
Оставьте настройки по умолчанию для остальных элементов и нажмите "Готово".

-Нажмите Пуск->Выполнить->odbcad32.exe
-Проверьте связь со встроенной (Sybase) базой данных.
-Убедитесь, что служба "Symantec Embedded Database" запущена и что процесс "dbsrv9.exe" прослушивает TCP-порт 2638.
-Проверьте соединение ODBC.
-Нажмите «Пуск»> «Панель управления»
-Откройте «Инструменты администратора»
- Дважды щелкните «Источники данных (ODBC)»
- Выберите вкладку «Системный DSN»
- Дважды щелкните значок SymantecEndpointSecurityDSN и воспользуйтесь мастером, чтобы установить следующие параметры:

Примечание. Если флажок «Зашифровать пароль» на вкладке «Вход» не установлен, ваш пароль будет сохранен в виде обычного текста в реестре Windows.
Оставьте настройки по умолчанию для остальных элементов и нажмите "Готово".

Читайте также: