Korábbi cikkemben említettem, hogy írok majd egy alaposabb élménybeszámolót a Symantec Endpoint Protection-ről. Mivel most már több hónapos tapasztalattal rendelkezem úgy döntöttem, eljött az idő, hogy másokkal is megosszam az élményeimet.
A SEP kliens
Meglepő módon azt kell mondanom, hogy elég sokat fejlődött az elődökhöz képest. Végre nem érzem úgy magam telepítés után mintha behúzott kézifékkel akarnék autózni. Sebesség terén igen sokat javított a cég. Hozzáteszem, volt hová fejlődni. 
A stabilitása is javult, eddigi tapasztalataim alapján jóval korrektebbül működik mint bármelyik Symantec termék amivel az elmúlt néhány év során dolgom volt. Legalábbis eddig egy gépről sem kellett erőszakkal leirtanom valamilyen komolyabb programhiba miatt. A kizárólag újratelepítésekkel elhárítható hibák száma jelentősen csökkent. Azért persze akad egy-két szép dolog ennél a verziónál is.
A leggyakoribb hiba amivel találkoztam, hogy a vírusirtó az "Auto protect failed to load. Corrupt installation or Virus definitions." hibaüzenettel fogad. Vagyis az automatikus védelem nem tudott elindulni mert vagy hibás a telepítés, vagy pedig korrupt a vírusdefiníciós adatbázis. Hála az égnek eddig csak az utóbbival volt problémám, ami a következő vírusminta frissítés után meg is szűnt. Meglepően gyakran fordul elő egyébként ez a hiba, pedig a SEP Manager és a kliensek helyi hálózaton keresztül kommunikálnak egymással. Szintén érdekes, hogy ugyanaz a verziójú, hibásnak érzékelt vírusminta más gépekre probléma nélkül letöltődik. Nem biztos, hogy ez a termék hibája de más termékeknél sőt, korábbi Symantec termékeknél sem találkoztam még ilyen hibaüzenettel.
A kliens új változatait akár közvetlenül a központi menedzsment szerverről is letölthetik a számítógépek. Miután a szervert frissítettük és beállítottuk, hogy a gépekre települjenek fel az új változatok, gyakorlatilag teljesen automatizált a telepítés, nagyon szépen lefrissül a háttérben. Kivéve persze akkor, amikor nem. Találkoztam olyan gépekkel amelyeken valami rejtélyes okból kifolyólag egy verzió frissítés után két példányban is fennmaradt a Symantec Endpoint Protection. A programok telepítésénél és törlésénél két példányban volt fenn a vírusirtó. Bár nem számoltam utána, hogy valóban fenn van-e mindkét példány fizikailag – ami legalább kétszer 440 Mb szabat tárterület elvesztését jelenti – vagy valami egyéb hiba miatt látom azt amit látok. Persze gőzöm nem volt, melyik verzió melyik, ezért én a sorban a másodikat távolítottam el először aminek az lett az eredménye, hogy újraindítás után az előző verziójú SEP indult el a gépen. Miután leszedtem azt is és feltelepítettem újra, természetesen már nem volt gond. Nem egyedi hiba, több gépen is belefutottam.
A program méretét a mai napig képtelen vagyok felfogni. 440 Mb!!! Ami viszont ennél is felfoghatatlanabb az az, hogy miért kell a program eltávolításához is legalább ennyi szabad tárterület? Sajnos egy régebbi gépen előállt az a vicces helyzet, hogy a C meghajtón már csak 300 Mb körüli szabad tárterület volt, így a frissítés nem sikerült. Nem baj, gondoltam akkor leszedem kézzel. Alaposan meglepődtem mikor közölte a telepítő, hogy nincs elég hely az eltávolításhoz. Vicces… Még viccesebb, hogy a sikertelen eltávolítás után közel száz megával kevesebb hely lett a c meghajtón. Kíváncsiságból megpróbáltam megint eltávolítani és megint megevett néhány értékes Mb-ot. Érdekes.
Január elején is találkoztam egy nagyon érdekes hibával. Furcsamód minden egyes SEP kliensen december 31-i voltak a vírusminták. Először azt hittem, hogy valami licenc probléma lehet, ezért nem frissül a menedzsment szerver. A licenc azonban rendben volt sőt, az új vírusminták hibátlanul le is töltődtek a log szerint. Elkezdtem kicsit kutakodni és kiderült, hogy programhibáról van szó. A 2010-es év a Symantec-et is megviccelte, ugyanis a 2009, december 31 után kiadott vírusmintákat mind lejártnak érzékelte a rendszer. Hogy mégis frissülni tudjanak a kliensek, azt a megoldást találták ki, hogy az új mintákat is december 31-i dátummal adják ki, csak más verziószámmal látják el. Ezzel a kis trükkel sikerült a leggyorsabban áthidalni a problémát. Akit érdekel, az alábbi linken részletesebben is olvashat a hibáról:
http://itcafe.hu/hir/symantec_2010_datumhiba_endpoint_protection.html
A fenti cikkhez egy kis adalék. Mikor először olvastam, egy másik cég vírusirtójának a reklámja jelent meg a cikk mellett. Persze azonnal le is screenshot-oltam. 
Ez ám az irónia (vagy inkább profi marketing?) 
. Klikk a képre a nagyobb változatért!
Egy Symantec-es termékmenedzser mondta, hogy alapjaitól újraírták az egész programot. Ezzel kapcsolatban csak azt tudom mondani, hogy ahhoz képest akkor még sajnos eléggé béta állapotú a szoftver, viszont még így is használhatóbb, mint az utóbbi évek bármelyik Symantec vírusirtója. Szóval nem rossz, de bőven van még mit dolgozni rajta…
A SEP Manager
A legtöbb probléma szerintem a központi menedzsment szoftverrel van. Ennek ugye az a lényege, hogy felrakjuk egy gépre, beállítjuk a megfelelő policy-ket, elkészítjük a megfelelő beállításokat tartalmazó telepítőkészleteket és mehet a telepítés. A telepített kliens programok ezután megjelennek egy helyen, a központi menedzsment szerveren. Itt csoportokba rendezhetjük őket, és különféle parancsokat is adhatunk a gépeknek. Például távolról elindíthatjuk a víruskeresést, kikényszeríthetjük a friss vírusminták letöltését, újraindíthatjuk a gépet vagy akár törölhetjük is a klienst a menedzsment szerverről.
A SEP Manager üzemeltetéséhez Windows szerver ajánlott de a rendszerkövetelmény szerint Windows XP-n is üzemeltethető. Bizonyos fokig igen, azt viszont nem árt tudni, hogy a Windows XP egyidejű hálózati kapcsolatainak a száma korlátozott. A telepített kliens programok alapbeállításban a szerverrel folyamatosan kapcsolatban maradnak. Ilyenkor bármilyen módosítást végzünk a policy-kben, vagy bármilyen parancsot adunk ki egy kliensnek, a változásokat vagy a parancsot azonnal megkapja a gép. Ez az úgynevezett Push mód, tehát bármit is állítunk, azt azonnal rátolja a gépekre a rendszer. Sajnos azonban Windows XP-nél ez nem működik, 10 telepített vírusirtó felett a rendszer működése már akadozik. A menedzsment szerver felülete nem töltődik be rendesen, értelmetlen hibaüzeneteket írogat ami alapján sok mindenre gondolhat az ember csak éppen a helyes megoldásra nem. Még a Symantec emberei is vakarták a fejüket egy ideig, hogy mi a fene lehet a baj, majd végül rájöttek, hogy Push helyett Pull módba kell állítani a rendszert. Ilyenkor az elvégzett változások nem töltődnek le azonnal a kliens gépekre, hanem a kliens gépek bizonyos időnként feljelentkeznek a menedzsment szerverre és letöltik a változásokat, ha vannak. Ilyenkor azt is meg lehet adni, hogy milyen időközönként jelentkezzenek fel a kliensek.
Elméletileg A SEP manager-ből is el lehet indítani a telepítést de ha több telephelyünk van és a telephelyek között kicsi a sávszélesség akkor ez nem ajánlott mert ahány gépre telepítjük a vírusirtót, annyiszor fog átmenni a hálózaton a kb 80 megás telepítőcsomag. Ez a fajta frissítési mód egyébként egész jól működik, úgyhogy ha kicsi a sávszélességünk akkor érdemes lehet telephelyenként feltelepíteni egy-egy SEP Manager-t.
Ha viszont csak egy Manager-t akarunk használni és a távtelepítésről sem akarunk lemondani jó hírem van. Szerencsére két lehetőségünk van a probléma megoldására. Ha aktiválunk egy frissítést akkor ugye alapértelmezett beállításokkal a telepítő csomagot minden kliens a Managament szerverről akar letölteni. Van azonban egy beállítási lehetőség, ahol megadhatjuk, honnan töltsék le a kliensek az új telepítőcsomagot. Az az igazság, hogy ezt nem teszteltem ki rendesen. Első próbálkozásként felmásoltam egy helyi webszerverre a telepítőcsomagot, be is állítottam, hogy innen töltődjön le a telepítőkészlet és vártam, mi fog történni. Csak egy gépnél próbáltam de az nem akart lefrissülni. Később ránéztem a gépre és azt láttam, hogy az asztal tele lett a telepítőcsomag fájlaival. Végül is letölteni sikerült, tehát működik a koncepció. Legyünk igazságosak, mikor megláttam a beállítási lehetőséget akkor rögtön kipróbáltam és úgy állítottam be ahogy számomra logikusnak tűnt, mivel épp nem volt kéznél a gyári leírás, szóval lehet, hogy be lehetne ezt állítani rendesen is… Ha lesz időm, majd kitesztelem rendesen…
Van viszont nekünk egy másik, "remek" eszközünk is távtelepítéshez. Az általunk kiválasztott beállításokkal kiexportálhatjuk a telepítőcsomagot akár 1 db önkicsomagoló exe fájlba is amit aztán csak le kell futtatni. Persze kitömörítve is kimenthetjük kinek, mi a szimpatikus. A kiexportált csomagot aztán egyszer kimásoljuk a kis sávszélességen majd helyben, a Push Deployment Wizard nevű kis alkalmazással feltelepítjük valamelyik gépről. Ez a Remote Install alkalmazás egyébként telepítéskor nem kerül fel, hanem a 2-es telepítő cd-ről kell kimásolni. Mindössze 2 db exe fájl és egy dll az egész, a komplett csomag nem tesz ki 1 megát sem. A Push Deployment Wizard viszont sajnos, szerintem nem egy eltalált program. Indításkor először is ki kell tallózni a kimentett telepítőcsomagot. Megadhatjuk, hogy egyszerre hány gépre történjen a telepítés – ez alapértelmezetten 10 – majd a Windows hálózatban kitallózzuk a gépeket amelyekre telepíteni szeretnénk. A kiválasztott gépekhez megadunk egy rendszergazda jogosultságokkal rendelkező felhasználónevet és a hozzá tartozó jelszót. Ezután már csak egy kattintás és indul a telepítés. Láthatjuk, ahogy a rendszer szépen elkezdi kimásolni a telepítőcsomagot a kiválasztott gépekre. Ez a folyamat általában szépen le is zajlik, ahogy végigér a haladásmutató, a rendszer ki is írja, hogy minden rendben. A baj az, hogy ennél több információra nem számíthatunk. A távtelepítő mindössze addig kommunikál a kiválasztott gépekkel, amíg rámásolja és elindítja a telepítőcsomagot. Ha ez megvan, ő máris sikeresnek jelzi a telepítést. Miért is rossz ez? Először is bármilyen hiba közbejöhet, akár egy egyszerű helyhiány is meghiúsíthatja a telepítést de nem kapunk róla visszajelzést. Mindössze onnan fogjuk sejteni, hogy valami probléma van, hogy a kiválasztott gépek közül nem fog mindegyik megjelenni a menedzsment szerveren. Jöhet tehát a papír ceruza – vagy Jegyzettömb, esetleg Excel tábla, kinek mi a szimpatikus – és lehet lepipálni, hogy melyik gépekre "telepítettünk" és ezek közül melyik jelent meg sikeresen a menedzsment szerveren. A legnagyobb poén viszont az, hogy nem csak hardver vagy szoftver hiba miatt lehet sikertelen a telepítés. A távtelepítés egyik nem utolsó szempontja, hogy a felhasználót lehetőleg ne nagyon zavarjuk a munkában, a lehető legkevesebbet vegye észre a telepítési folyamatból, maximum a legvégén kapjon egy üzenetet, hogy indítsa újra a gépet. Tőlem furcsán fog hangzani de az eTrust Antivirus ezen a téren szerintem kiválóan teljesít. A Symantec-nek van még mit tanulnia, a telepítő ugyanis induláskor feldob egy kis ablakot a kliens gépen amiben elindul egy haladásmutató. Ez nem feltétlenül lenne baj de ilyenkor sajnos még meg lehet szakítani a telepítést, ugyanis az ablak jobb alsó sarkában ott figyel egy nagyon jól látható "Mégse" gomb. Mit szokott csinálni az átlag felhasználó, ha valami számára zavaró, ismeretlen dologgal találkozik? Naná, hogy reflexből elkezdi keresni, hogy tudja eltüntetni, bezárni a fenyegető ablakot. Nem egyszer fordult elő, hogy néztem, miért nem jelenik meg néhány gép a menedzsment szerveren, aztán mikor odamentem a problémás gépekhez akkor nem láttam a SEP ikont a tálcán. Olyan volt, mintha fel se telepedett volna a gépre. A felhasználóknál rákérdezve kiderült, hogy ők láttak valami ablakot de nem tudták mi az, megijedtek és gyorsan a "Mégse" gomb után kaptak… Hurrá! Ez a program akár egy login script-es megoldással is kiváltható…
A SEP Manager-ben beállíthatunk mindenféle e-mail értesítőt. Kérhetünk értesítést rendszerhibáról vagy például arról, ha a hálózatunkban lévő gépek közül valamelyikre nem töltődnek le a legfrissebb vírusminták. Nagyon szépen beállítható, hogy hány ilyen gép esetén, valamint hány nap után küldjön jelzést a rendszer. Ez mind szép és jó, azonban nem működik megfelelően. Sokszor jön levél a szervertől, "Virus definitions Not Up-to-date" hibaüzenettel. Magyarul, a vírusminták nem naprakészek. A levelet megnyitva láthatjuk, hány gépről van szó és milyen régiek a vírusminták. Kapunk egy csatolt fájlt is, elméletileg abban látnunk kellene, hogy pontosan melyik kliens gépekről van szó. Ezt megnyitva azonban eleinte sajnos az esetek 90 de inkább 95%-ában a "Nothing to Report" üzenetet olvashatjuk. Magyarul, nincs semmi jelentenivaló. Normális esetben ennek úgy kellene működnie, hogy egy listában felsorolja azoknak a gépeknek a nevét amelyeken valami gond van a vírusmintákkal de ezt csak nagyon kivételes esetekben tette. Szerencsére a 11-es verzió legfrissebb kiadása ezen a téren már sokkal megbízhatóbban működik. A listát megnyitva most már szinte mindig látszanak a problémás gépek. Megtekinthetjük, hogy mikori a gépen lévő vírusminta, mikor töltött le a gép utoljára vírusmintát és azt is, hogy mikor jelentkezett be legutóbb a szerverre. Az mondjuk más kérdés, hogy a vírusminta verzióját néha nem érzékeli, így csak egy "none" feliratot láthatunk az oszlopban és a legutóbbi letöltésnél – Last Download – is csak annyit ír ki, hogy "never", azaz még soha nem töltött le a kliens vírusmintát a szerverről… Ez persze nem igaz, ugyanis ezt olyan gépeknél is eljátssza amiken semmi gond nincs a vírusmintákkal. Az ilyen riasztás az esetek igen jelentős százalékában csak vaklárma…
A vírusminták és a gépek naprakészségének állapota a szerver felületére belépve is ellenőrizhető. A jobb felső sarokban van egy kis táblázat. Bal oldalt látható a rendszerben lévő vírusminták verziója, jobb oldalt pedig, hogy a hálózatban lévő gépek közül hányra töltődött le az adott verzió. Fontos megemlíteni, hogy belépés után nem feltétlenül az aktuális állapotot látjuk. Mielőtt bármilyen következtetést vonunk le, várjunk legalább 10 másodpercet. Ha nem történik semmi akkor nyugodtan kattintsunk a "Refresh" – azaz frissítés – gombra mert a rendszer néha elfelejti megjeleníteni a legfrissebb adatokat. A táblázatra kattintva kapunk egy részletesebb jelentést. Számomra az lenne a logikus, hogy a rendszer ilyenkor név szerint is sorolja fel, hogy az adott vírusminta melyik gépekre töltődött le de sajnos szinte teljesen ugyanazt a táblázatot fogjuk megkapni, csak kicsit nagyobb változatban. Nem tudom, ki kódolta a rendszert de ennek így semmi értelme. Van egyébként egy külön "Report" menüpont ahol mindenféle jelentéseket lehet generálni. Ott is kérhetünk listát a vírusminták és a gépek állapotáról. Reménykedtem, hogy legalább itt egy értékelhető listát fog generálni a rendszer de nem, ugyanazt a semmitmondó listát kapjuk. A legviccesebb az egészben az, hogy ha a kliensek listáját nézzük és valamelyik gépnek lekérjük a tulajdonságait akkor ott pontosan kiírja a rendszer, hogy milyen verziójú vírusminta van azon a gépen. Egyszerűen nem értem, hogy miért nem lehet egy normális listát generáltatni az aktuális adatokkal.
A kliens gépek listázásáról is érdemes pár szót ejteni. Már az is nevetséges, hogy nem lehet beállítani, egy oldalon hány darab számítógépet szeretnénk látni. Az viszont egyenesen szánalmas, ahogy a listát rendezi a program. Egy szimpla táblázatot kapunk. Bármelyik oszlopra rákattintva aszerint a paraméter szerint fogja rendezni a rendszer a listát. Ez eddig ismét szép és jó, azonban ha a gépek listája legalább 2 oldalnyi terjedelmű akkor ha átlapozunk a következő oldalra, ott ismét egy rendezetlen listát kapunk. Mondjuk az első oldalon beállítom, hogy név szerint rendezze a listát, majd átlapozok a következő oldalra akkor ismét egy rendezetlen listát kapok, újra be kell állítanom a rendezési szempontot. Ó, és ha nem mondtam volna, a program nem az egész listát rendezi, hanem csak az adott oldalon lévő elemeket. Vagyis, mondjuk keresek egy olyan gépet aminek "t" betűvel kezdődik a neve, akkor egy normális rendszerben rákattintok a név szerinti rendezésre, majd ha több oldalból áll a lista akkor az utolsó lapon kezdek el először keresgélni. Itt viszont, ha van mondjuk egy 3-4 oldalnyi listám akkor egyszerre csak 1, az éppen aktuális oldalt tudom rendezni. Ha rendezés után az utolsó lapra navigálok akkor ott egy ugyanolyan rendezetlen valami fog fogadni mint az első oldalon a rendezés előtt. Tovább bonyolítja a helyzetet, hogy semmi logikát nem találtam benne, alapvetően milyen sorrendben kerülnek fel a gépek a listára. Először azt hittem, hogy a telepítések sorrendje számít de van olyan gép amikre az elsők között tettem fel a klienst, mégis a lista második oldalára került. Szóval ami itt van az teljes káosz. Csak úgy tudok megtalálni egy gépet ha oldalanként, egyenként rendezem a listát mert bizony egy "t" betűvel kezdődő számítógépnév a lista bármelyik oldalán lehet. Persze azért az elég valószínűtlen, hogy több 10 oldalas listánk lesz mert aki át akarja látni a rendszert az eleve több csoportba osztja szét a gépeket de ez így, ebben a formában akkor is használhatatlan…
A 11-es SEP Manager első verziói csak kifejezetten egy bizonyos, a telepítőlemezen mellékelt Java verzióval voltak hajlandóak működni. Nagy öröm, hogy a jelenlegi legfrissebb, változat végre megy akár a legújabb Java-val is.
A végszó
Senki se vegyen Symantec terméket. Nem, ezt azért nem gondolom komolyan de ha a saját pénzemből kellene vírusirtót vennem akkor az biztosan nem Symantec lenne. Az utóbbi évek negatív tapasztalatai után azt kell mondanom, hogy végre elindult valami változás a cég háza táján. Ahogy azonban az a cikkből is kiderül, még mindig sok hiba van benne de javul a színvonal. Azért viszont nem fogok fizetni, hogy bétateszteljek egy vírusirtót. Majd ha már a vállalkozóbb kedvű informatikus kollégák ismét elismerően nyilatkoznak róla, akkor esetleg elgondolkodom azon, hogy megvegyem-e. Addig viszont maradok az alternatív megoldásoknál…
Hasonló bejegyzések:
- A kis vírusirtó teszt
- Symantec Norton Antivirus 2003-2007
- Eset NOD32 Antivírus teszt
- Windows vs. Felhasználók
- Windows XP kék halállal indul
Címkék: eTrust Antivirus, SEP, SEP Manager, Symantec Endpoint Protection, Symantec Endpoint Protection Manager, Vírusirtó, Windows szerver, Windows XP
