Trend Micro OfficeScan 11.0 Agent beschränkt WSUS

Mitglied: Winary

Winary (Level 2) - Jetzt verbinden

02.03.2016, aktualisiert 09:15 Uhr, 3398 Aufrufe, 5 Kommentare

Guten Morgen Kameraden,

ich habe einen Windows Server 2012 R2 mit der WSUS-Rolle. Dieser funktioniert, allerdings nur eingeschränkt wenn im Hintergrund der OfficeScan Agent von Trend Micro läuft. Er läuft sehr langsam, jede einzelne Genehmigung eines Updates dauert bis zu vier Sekunden, das ganze mmc-Snapin stürzt nach ca 30 Sekunden ab wenn ich in den Optionen auf "Produkte und Klassifizierungen" klicke ohne auch nur einen Eintrag anzuzeigen. Sonst habe ich noch nichts anderes getestet.

Beende ich Trend Micro läuft er wie eine Eins. Meine Frage ist also, da ich ihn trotzdem nutzen will für den Server, da er noch andere Sachen macht, was könnte das Programm beschränken? Der Agent hat einen Echtzeitschutz, eine Verhaltensüberwachung und die Firewall ist nicht aktiv, da sie extern bereits vorhanden ist. Die Windows Firewall ist zusätzlich aktiv, sie ist aber auch nicht das Problem, da alles funktioniert wie es soll wenn Trend Micro beendet ist. Im Agent ist auch der richtige Proxy (der vom System) eingestellt.

Folgende Ausschlüsse für den Echtzeitschutz, Verhaltensüberwachung, manuelle und zeitgesteuerte Suche (warum auch immer), die ich im Agent einstellen kann habe ich bereits getestet:
- mmc.exe
- wsus.msc
- sqlserv.exe der internen Windows-Datenbankinstanz in der die SUSDB läuft
- den kompletten Pfad C:\Windows\WID
- die Dateiendungen: .mdb, .ldf, .mdf

Im ResMon habe ich geschaut ob sonst noch irgendwas geöffnet wird, wenn ich auf "Produkte und Klassifizierungen" klicke, aber ich konnte nichts relevantes entdecken.

Ich finde das echt merkwürdig, dass so eine Endpoint Protection in so einem Fall Schwierigkeiten macht. Hat jemand eine Idee was ich vergessen haben könnte?

Grüße Winary
Mitglied: Arteas
02.03.2016 um 10:13 Uhr
[sarkasmus]
Dann ist Trend Micro ja doch zu was gut.
[/sarkasmus]

Wir haben bei uns wegen diversen Problemen den WSUS TrendMicro-frei gemacht. Besser ist, wenn man die Updates scannt bevor sie auf den WSUS gelangen und dann sauber ohne Scanner laufen können. Vielleicht wird da ein spezieller WSUS notwendig, anstatt dem Server mehrere Funktionen zu geben, auch wenn es natürlich gehen sollte.
Bitte warten ..
Mitglied: ConnecT
02.03.2016 um 11:06 Uhr
1. Verhaltensüberwachung: die ist auf Servern standardmäßig deaktiviert. Warum hast Du die aktiviert?
2. Ausschlüsse: ein Ausschluss für Echtzeitsuche und für Verhaltensüberwachung (approved Liste) sind zwei grundsätzlich verschiedene Dinge. Ausschlüsse für manuelle/zeitgesteuerte Suche sind nicht nötig.
Für die Echtzeitsuche braucht man i.d.R. keine ausführbaren Dateien (mmc.exe ...) zu excluden. Die werden normalerweise nur einmal geladen und dann gescannt. Nur Dateien die immer wieder geöffnet/geändert werden sollte man excluden.
Hier findest Du weitere Infos: http://esupport.trendmicro.com/solution/en-us/1059770.aspx
Welche Dateien gescannt werden kann man stichprobenartig mit dem Echtzeitmonitor überprüfen.
3. Für ausführbare Dateien kann sich ein Eintrag in die Trusted Program List lohnen, das geht aber nur, wenn diese digital signiert sind.
Bitte warten ..
Mitglied: Winary
02.03.2016 um 11:27 Uhr
Da hast du natürlich Recht. Denselben Rat habe ich dem Administrator des Netzes. Wenn es nach mir ginge, würde ich jede einzelne Serverrolle auf eine eigene Maschine auslagern und das redundant, aber Server-Lizenzen wachsen leider nicht auf Bäumen. Ich bin für die Umgebung in der ich mich hier befinde an den Umstand gebunden, dass der WSUS und Trend Micro nunmal zusammen auf derselben Maschine laufen muss.

Ich wollte nur wissen, was der WSUS startet, öffnet, etc, dass ich noch nicht genannt habe, damit ich das freigaben kann. Irgendwas muss ja noch blockiert werden.

Grüße
Bitte warten ..
Mitglied: Winary
02.03.2016 um 11:31 Uhr
1. Stimmt, ist nicht aktiviert. Den fehlenden Haken habe ich glatt übersehen. Dann hätte ich mir das auch sparen können. :-D face-big-smile
2. Ich habe alles bei beiden eingetragen. Dass das zwei unterschiedliche Dinge sind ist mir bewusst. Ich wollte ersteinmal alles mögliche eintragen und dann sukzessiv entfernen um zu schauen wo es hängt. Okay ausführbare Dateien werden nur einmal gescannt, hier blockiert aber trotzdem irgendwas diese WSUS-internen Funktionen. Das will ich herausfinden.
3. Ausführbare Dateien können hier nur .exe und .dll sein. Außer der mmc.exe habe ich nichts im ResMon gefunden, dass auf den WSUS-Prozess/Dienst zutrifft.
Bitte warten ..
Mitglied: Winary
28.04.2016 um 11:30 Uhr
Ich habe das jetzt die Wochen nachdem es wieder stabil lief beobachtet und es funktioniert ohne Geschwindigkeitseinbußen. Mir schleierhaft was die Ursache und die Lösung war, da ich danach auch nichts weiter verändert habe. Ich fass da jetzt erstmal nichts an. :-) face-smile
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic22 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 1 TagFrageWindows 1048 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)14 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 20 StundenFrageNetzwerkmanagement5 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Microsoft
Datenkrake - Browser
DennisWeberVor 17 StundenErfahrungsberichtMicrosoft6 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...

E-Mail
Office 365 mit Wordpress nutzen
gelöst tobitobsnVor 1 TagFrageE-Mail6 Kommentare

Wir nutzen einen Webhoster, wo wir eine Wordpress Webseite betreiben und haben vor einiger Zeit zu Office 365 gewechselt. Unser Webhoster erlaubt innerhalb von ...