20 ответов в этой теме

[VladimirN]

Добрый день.

 

Вопрос мой не совсем относится к технической части, но надеюсь что какие-то советы я смогу получить.

История следующая: есть достаточно большая организация в которой я работаю. Несколько лет назад был внедрен антивирусный сервер 6й версии, полгода назад 10й версии. Сотрудники нашего отдела ставят агенты на компьютеры и более-менее всё нормально работает. Иногда возникали проблемы, но они достаточно оперативно решаются. Также существует "альтернативный" IT отдел сотрудники которого отказываются ставить агентов ES и ставят обычную версию DrWeb, причины этого называются следующие:

1) Антивирус ES неправильно настроен, в следствии чего:

2) Антивирус ES не ловит вирусы

3) Даже если он ловит вирусы, то после запуска компьютера они "вылезают из карантина"

4) После запуска портативного DrWeb какой-то древней версии (не CureIT) она находит вирусы на компьютере где установлен агент ES

 

Объяснить этим сотрудникам что это бред сивой кобылы, а пункту №4 есть логическое объяснение я не могу, они или действительно некомпетентны или косят под дурачков. Методов административного воздействия на них у меня тоже на данный момент нет. Возникает мысль что таким образом они создают видимость активной и бурной работы, ибо надо бегать-настраивать каждую рабочую станцию и раз в 2 года менять ключ антивируса, других объяснений просто не нахожу.

 

"Работа" сейчас выглядит следующим образом:

1) Приходят сотрудники нашего отдела, смотрят что антивирус не ES, удаляют его, ставят агента

2) Проходят сотрудники "альтернативного" отдела, смотрят что стоит агент ES, удаляют его, ставят обычный антивирус

3) см. п 1

 

Ситуация длится уже давно, в последний раз я предложил показать как "надо" настроить антивирусный сервер, дал права на настройку и инструкцию как надо устанавливать агентов. В ответ "Будут нас ещё всякие учить работать"

 

Сейчас есть только мысль закрыть доступ к серверам обновлений drweb отовсюду кроме серверов ES, дабы пришлось ставить агента для получения обновлений. Что посоветуете?

[ViolatorDM]

Также существует "альтернативный" IT отдел

Это как? Откуда у них права администратора?

Почему руководство терпит такой бардак?

[VVS]

А отобрать админа - не вариант?

[at.]

Делайте установку агента по сети через несколько минут после удаления врагом Или напишите скрипт, который проверяет наличие агента и ставит его , если нет. Спрятать и запускать раз в час. Надо еще подумать...

[oldbuck]

Также существует "альтернативный" IT отдел

Такие проблемы я бы решал только с привлечением руководства для четкого разграничения полномочий отделов. При несоблюдении - административная ответственность.

[VladimirN]

ViolatorDM,

Сеть доменная, хотя есть часть ПК не в домене. "Альтернативный" отдел использует администраторскую доменную учетную запись для установки ПО на компьютеры. Попытки объяснить что можно зайти на доменный ПК и с локальной учетной записью администратора ни к чему не привели. Руководитель сказал "ну дай им права", а эти коллеги и рады.

Наш отдел занимается всем что связано с IT за исключением железа, "альтернативный" отдел железом и софтом. Изначально сложилось что закупками лицензий занимались они, в том числе и на антивирус. Вот и выходит что ставят и они его и мы.

Руководители отдела разные, т.е. совсем и начальник у них общий только на уровне, грубо говоря, генерального директора.

 

VVS,

К сожалению не вариант, они ставят почти весь софт в том числе и ОС.

 

at.,

А есть возможность через GPO или как-то иначе "невидимо" для пользователя заменить обычный антивирус на ES? Или подключить обычный антивирус к серверу ES?

 

oldbuck,

Наверно Вы правы, попробую ещё раз донести до руководителя эту мысль.

[ViolatorDM]

Руководители отдела разные, т.е. совсем и начальник у них общий только на уровне, грубо говоря, генерального директора.

Тогда на этом уровне мне решение только видится. Проблема не программная. 

[sergeyko]

 

Также существует "альтернативный" IT отдел

Такие проблемы я бы решал только с привлечением руководства для четкого разграничения полномочий отделов. При несоблюдении - административная ответственность.

 

Присоединюсь. Воспитывать людей задача руководства. А междоусобная война в организации, даже в большой, это всегда зло. И обязательно ударит, как по организации, так и по тому, кто ее развязал. Пускай и ради благороднейших целей ограждения юзеров от некашерного ПО. 

[IlyaS]

Можно в доменный SRP добавить фильтр имени файла установщика обычной версии.

Spoiler

 Clipboard01.png   16,33К   1 Скачано раз

На выходе даже не получат сообщение о блокировке запуска администратором.

Обойти это проблематично, и не знаю, не заблокирует ли это также установку агента ЕС 

[ViolatorDM]

Ещё, кстати, надо на предприятии какое-нибудь Положение об антивирусной защите ввести, где прописать как программные средства, так и ответственные подразделения.

[IlyaS]

Проверить, что правило SRP есть:

reg query HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers /s /v ItemData|findstr ItemData

Проверить, что сработало:

logparser -i:EVT -o:csv "select top 10 timegenerated, strings from application where eventid=866 order by timegenerated desc"

[VladimirN]

ViolatorDM, sergeyko,

Ваши мысли понял и принял к сведению, спасибо.

 

IlyaS,

Попробую ещё раз подойти к руководству, если не поможет, то воспользуюсь Вашим советом, спасибо!

[ViolatorDM]

Можно в доменный SRP добавить фильтр имени файла установщика обычной версии

Не надо.

С именем win-setup.exe может быть любой другой инсталлятор.

[IlyaS]

Можно в доменный SRP добавить фильтр имени файла установщика обычной версии

Не надо.
С именем win-setup.exe может быть любой другой инсталлятор.

Например какой, кроме локальной версии ДокторВеб?

[chs]

Ещё, кстати, надо на предприятии какое-нибудь Положение об антивирусной защите ввести, где прописать как программные средства, так и ответственные подразделения.

 

Не "какое-нибудь положение", а регламент работы на локальной сети. Где чётко прописать, кто, за что и как отвечает.

 

2VladimirN

Мне интересно - ну пользователю хорошо - к нему сразу двое бегут. А что бывает, когда вообще никто к пользователю не приходит и отделы кивают друг на друга ?

 

В общем, надо, как всегда, начинать с бумажек - организационных положений и регламентов.

 

P.S. а у вас должностные инструкции есть ?

P.S.

[Konstantin Yudin]

SRP обходится на сколько я помню. и на службы от системы не распространяется.

[basid]

Обойти это проблематично, и не знаю, не заблокирует ли это также установку агента ЕС 

Обойти это тривиально - достаточно почитать лог установщика:

{PRE_INSTALL_API}: PreInstall::ParseParams started.
{PRE_INSTALL_API}: ======= Params parsed from command line =======
{PRE_INSTALL_API}: distribpath = drweb-1000-win-space.exe
{PRE_INSTALL_API}: ===============================================

и извлечь загрузчик из основного дистрибутива.
Из дополнительных плюсов - нет лишнего копирования "большого пельменя".

[IlyaS]

Обойти это проблематично, и не знаю, не заблокирует ли это также установку агента ЕС 

Обойти это тривиально - достаточно почитать лог установщика:

{PRE_INSTALL_API}: PreInstall::ParseParams started.
{PRE_INSTALL_API}: ======= Params parsed from command line =======
{PRE_INSTALL_API}: distribpath = drweb-1000-win-space.exe
{PRE_INSTALL_API}: ===============================================

и извлечь загрузчик из основного дистрибутива.
Из дополнительных плюсов - нет лишнего копирования "большого пельменя".

Прочитать лог сетапа? Его нет.
Извлечь загрузчик? Я вас умоляю, это на форуме или в доках описано?
Да и нет в сетапе в явном виде win-setup, это же репа.
Кроме того, если человек догадается, как добиться желаемого, ему дополнительный жирный плюс.

Что там осталось, под системой установщик запустить?

[IlyaS]

SRP обходится на сколько я помню. и на службы от системы не распространяется.

Это правда. Ключи тихой установки имеются?

[VladimirN]

P.S. а у вас должностные инструкции есть ?

 

Фактически они есть, даже расписывались за прочтение. Насколько я помню, там только общие слова "обеспечить работу", "технические средства" и т.п. Надо будет более подробно изучить ещё раз, спасибо за подсказку.