Kontrolle Richtlinien eTrust Antivirus r8.1
Hallo,
bei der Kontrolle vorher eingestellter Richtlinien in der ITM-Konsole des Antivirus r8.1 ist mir einiges unklar.
Im Richtlinien-Management der Konsole, im Bereich der Alert-Weiterleitung, sind 2 Richtlinien eingestellt.
- die 1. Richtlinie betrifft die Clients im Netzwerk
- die 2. Richtlinie betrifft den ITM-Server selbst
Die 1. Richtlinie für die Clients definiert, dass Berichte an den Lokalen Manager, Ereignisprotokoll und den ITM-Server gesendet werden.
Im Bereich Alert-Filter ist eingestellt, dass Alerts in den Modulen Shell-Scanner, Echtzeitserver und Malware-Erkennungsbericht (alles nur auf der Ebene "Kritisch") gesendet und empfangen werden. Modul Jobserver ist ausgelassen.
Diese Richtlinie ist in der Organisation dem Zweig mit den Clients zugewiesen.
So weit so klar.
In der Organisation sind als Zweige definiert die Clients, der Redistributor (Client als Verteilserver) und der ITM-Server.
Die 2. Richtlinie betrifft den ITM-Server. Sie definiert, dass Alerts an den ITM-Server selbst weitergeleitet werden.
Allerdings in abgespecktem Umfang verglichen mit der Richtlinie für die Clients, nämlich nur innerhalb des Moduls
Malware-Erkennungsbericht.
Diese Richtlinie ist keinem Zweig zugewiesen.
Soll das so sein?
mfg
bei der Kontrolle vorher eingestellter Richtlinien in der ITM-Konsole des Antivirus r8.1 ist mir einiges unklar.
Im Richtlinien-Management der Konsole, im Bereich der Alert-Weiterleitung, sind 2 Richtlinien eingestellt.
- die 1. Richtlinie betrifft die Clients im Netzwerk
- die 2. Richtlinie betrifft den ITM-Server selbst
Die 1. Richtlinie für die Clients definiert, dass Berichte an den Lokalen Manager, Ereignisprotokoll und den ITM-Server gesendet werden.
Im Bereich Alert-Filter ist eingestellt, dass Alerts in den Modulen Shell-Scanner, Echtzeitserver und Malware-Erkennungsbericht (alles nur auf der Ebene "Kritisch") gesendet und empfangen werden. Modul Jobserver ist ausgelassen.
Diese Richtlinie ist in der Organisation dem Zweig mit den Clients zugewiesen.
So weit so klar.
In der Organisation sind als Zweige definiert die Clients, der Redistributor (Client als Verteilserver) und der ITM-Server.
Die 2. Richtlinie betrifft den ITM-Server. Sie definiert, dass Alerts an den ITM-Server selbst weitergeleitet werden.
Allerdings in abgespecktem Umfang verglichen mit der Richtlinie für die Clients, nämlich nur innerhalb des Moduls
Malware-Erkennungsbericht.
Diese Richtlinie ist keinem Zweig zugewiesen.
Soll das so sein?
mfg
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 119498
Url: https://administrator.de/forum/kontrolle-richtlinien-etrust-antivirus-r8-1-119498.html
Ausgedruckt am: 24.04.2025 um 22:04 Uhr
2 Kommentare
Neuester Kommentar
Ich meine darauf nun eine Antwort gefunden zu haben, in diesem Paper:
http://supportconnect.ca.com/sc/kb/techdetail.jsp?searchID=TEC432014&am ...
-->
Assign the "Server Alert" policy to the branch containing ITM Server.
Note: The reason, why we have two alert policies, one for the server and one for the client is that, the Alert Manager is installed only on the ITM server and does not get installed with all the agents. Hence it would be appropriate for the agents to forward their events to the Alert Manager on the Admin server. The Admin server forwards the events to the Alert Manager which is local to the machine.
http://supportconnect.ca.com/sc/kb/techdetail.jsp?searchID=TEC432014&am ...
-->
Assign the "Server Alert" policy to the branch containing ITM Server.
Note: The reason, why we have two alert policies, one for the server and one for the client is that, the Alert Manager is installed only on the ITM server and does not get installed with all the agents. Hence it would be appropriate for the agents to forward their events to the Alert Manager on the Admin server. The Admin server forwards the events to the Alert Manager which is local to the machine.
Das Handbuch empfiehlt zusätzlich im Bereich "Alert-Weiterleitung" des Richtlinien-Managements eine Richtlinie zu erstellen, um Echtzeitschutz-Alerts zur effizienteren Verarbeitung an den Alert-Manager zu senden.
Mit "Echtzeitschutz-Alerts" sind wohl die Alerts innerhalb des Moduls Echtzeitserver gemeint, wie z.B. Meldungen wie: "Eine nicht autorisierte Anwendung %s wurde an der Ausführung gehindert. Rechner: %s, Benutzer: %s."
Der Hintergrund für diese Richtlinie im Bereich "Alert-Weiterleitung" soll sein, dass Clients standardmäßig eine Benachrichtigung erhalten, wenn über den Echtzeitschutz eine Bedrohung erkannt wurde - auch wenn nur einer der Clients den Alert ausgelöst hat.
->
Wie soll man sich das vorstellen? Hat jemand Erfahrung damit? Wenn ein Rechner einen Alert auslöst, wird diese Meldung auf allen im Netzwerk vorhandenen Clients in Echtzeit eingeblendet?
Momentan ist im Richtlinien-Management bei Anwendung "eTrust Antivirus" und Typ "Echtzeit" in dessen untergeordneter Registerkarte "Erweitert" die Option
- Meldungen in Echtzeit einblenden
aktiviert.
Was heissen würde, alle Clients bekommen die Meldung eines einzelnen Clients eingeblendet?
Mit der oben genannten Richtlinie im Bereich "Alert-Weiterleitung" (die Echtzeit-Alerts an den Alert-Manager weiterleitet) soll man anschließend
diese Option, "Meldungen in Echtzeit einblenden", deaktivieren können.
Ist dies empfehlenswert?
Mit "Echtzeitschutz-Alerts" sind wohl die Alerts innerhalb des Moduls Echtzeitserver gemeint, wie z.B. Meldungen wie: "Eine nicht autorisierte Anwendung %s wurde an der Ausführung gehindert. Rechner: %s, Benutzer: %s."
Der Hintergrund für diese Richtlinie im Bereich "Alert-Weiterleitung" soll sein, dass Clients standardmäßig eine Benachrichtigung erhalten, wenn über den Echtzeitschutz eine Bedrohung erkannt wurde - auch wenn nur einer der Clients den Alert ausgelöst hat.
->
Wie soll man sich das vorstellen? Hat jemand Erfahrung damit? Wenn ein Rechner einen Alert auslöst, wird diese Meldung auf allen im Netzwerk vorhandenen Clients in Echtzeit eingeblendet?
Momentan ist im Richtlinien-Management bei Anwendung "eTrust Antivirus" und Typ "Echtzeit" in dessen untergeordneter Registerkarte "Erweitert" die Option
- Meldungen in Echtzeit einblenden
aktiviert.
Was heissen würde, alle Clients bekommen die Meldung eines einzelnen Clients eingeblendet?
Mit der oben genannten Richtlinie im Bereich "Alert-Weiterleitung" (die Echtzeit-Alerts an den Alert-Manager weiterleitet) soll man anschließend
diese Option, "Meldungen in Echtzeit einblenden", deaktivieren können.
Ist dies empfehlenswert?
