winary
Goto Top

Trend Micro OfficeScan 11.0 Agent beschränkt WSUS

Guten Morgen Kameraden,

ich habe einen Windows Server 2012 R2 mit der WSUS-Rolle. Dieser funktioniert, allerdings nur eingeschränkt wenn im Hintergrund der OfficeScan Agent von Trend Micro läuft. Er läuft sehr langsam, jede einzelne Genehmigung eines Updates dauert bis zu vier Sekunden, das ganze mmc-Snapin stürzt nach ca 30 Sekunden ab wenn ich in den Optionen auf "Produkte und Klassifizierungen" klicke ohne auch nur einen Eintrag anzuzeigen. Sonst habe ich noch nichts anderes getestet.

Beende ich Trend Micro läuft er wie eine Eins. Meine Frage ist also, da ich ihn trotzdem nutzen will für den Server, da er noch andere Sachen macht, was könnte das Programm beschränken? Der Agent hat einen Echtzeitschutz, eine Verhaltensüberwachung und die Firewall ist nicht aktiv, da sie extern bereits vorhanden ist. Die Windows Firewall ist zusätzlich aktiv, sie ist aber auch nicht das Problem, da alles funktioniert wie es soll wenn Trend Micro beendet ist. Im Agent ist auch der richtige Proxy (der vom System) eingestellt.

Folgende Ausschlüsse für den Echtzeitschutz, Verhaltensüberwachung, manuelle und zeitgesteuerte Suche (warum auch immer), die ich im Agent einstellen kann habe ich bereits getestet:
- mmc.exe
- wsus.msc
- sqlserv.exe der internen Windows-Datenbankinstanz in der die SUSDB läuft
- den kompletten Pfad C:\Windows\WID
- die Dateiendungen: .mdb, .ldf, .mdf

Im ResMon habe ich geschaut ob sonst noch irgendwas geöffnet wird, wenn ich auf "Produkte und Klassifizierungen" klicke, aber ich konnte nichts relevantes entdecken.

Ich finde das echt merkwürdig, dass so eine Endpoint Protection in so einem Fall Schwierigkeiten macht. Hat jemand eine Idee was ich vergessen haben könnte?

Grüße Winary

Content-Key: 297903

Url: https://administrator.de/contentid/297903

Printed on: June 22, 2024 at 20:06 o'clock

Member: Arteas
Arteas Mar 02, 2016 at 09:13:37 (UTC)
Goto Top
[sarkasmus]
Dann ist Trend Micro ja doch zu was gut.
[/sarkasmus]

Wir haben bei uns wegen diversen Problemen den WSUS TrendMicro-frei gemacht. Besser ist, wenn man die Updates scannt bevor sie auf den WSUS gelangen und dann sauber ohne Scanner laufen können. Vielleicht wird da ein spezieller WSUS notwendig, anstatt dem Server mehrere Funktionen zu geben, auch wenn es natürlich gehen sollte.
Member: ConnecT
ConnecT Mar 02, 2016 at 10:06:53 (UTC)
Goto Top
1. Verhaltensüberwachung: die ist auf Servern standardmäßig deaktiviert. Warum hast Du die aktiviert?
2. Ausschlüsse: ein Ausschluss für Echtzeitsuche und für Verhaltensüberwachung (approved Liste) sind zwei grundsätzlich verschiedene Dinge. Ausschlüsse für manuelle/zeitgesteuerte Suche sind nicht nötig.
Für die Echtzeitsuche braucht man i.d.R. keine ausführbaren Dateien (mmc.exe ...) zu excluden. Die werden normalerweise nur einmal geladen und dann gescannt. Nur Dateien die immer wieder geöffnet/geändert werden sollte man excluden.
Hier findest Du weitere Infos: http://esupport.trendmicro.com/solution/en-us/1059770.aspx
Welche Dateien gescannt werden kann man stichprobenartig mit dem Echtzeitmonitor überprüfen.
3. Für ausführbare Dateien kann sich ein Eintrag in die Trusted Program List lohnen, das geht aber nur, wenn diese digital signiert sind.
Member: Winary
Winary Mar 02, 2016 at 10:27:30 (UTC)
Goto Top
Da hast du natürlich Recht. Denselben Rat habe ich dem Administrator des Netzes. Wenn es nach mir ginge, würde ich jede einzelne Serverrolle auf eine eigene Maschine auslagern und das redundant, aber Server-Lizenzen wachsen leider nicht auf Bäumen. Ich bin für die Umgebung in der ich mich hier befinde an den Umstand gebunden, dass der WSUS und Trend Micro nunmal zusammen auf derselben Maschine laufen muss.

Ich wollte nur wissen, was der WSUS startet, öffnet, etc, dass ich noch nicht genannt habe, damit ich das freigaben kann. Irgendwas muss ja noch blockiert werden.

Grüße
Member: Winary
Winary Mar 02, 2016 at 10:31:32 (UTC)
Goto Top
1. Stimmt, ist nicht aktiviert. Den fehlenden Haken habe ich glatt übersehen. Dann hätte ich mir das auch sparen können. face-big-smile
2. Ich habe alles bei beiden eingetragen. Dass das zwei unterschiedliche Dinge sind ist mir bewusst. Ich wollte ersteinmal alles mögliche eintragen und dann sukzessiv entfernen um zu schauen wo es hängt. Okay ausführbare Dateien werden nur einmal gescannt, hier blockiert aber trotzdem irgendwas diese WSUS-internen Funktionen. Das will ich herausfinden.
3. Ausführbare Dateien können hier nur .exe und .dll sein. Außer der mmc.exe habe ich nichts im ResMon gefunden, dass auf den WSUS-Prozess/Dienst zutrifft.
Member: Winary
Winary Apr 28, 2016 at 09:30:23 (UTC)
Goto Top
Ich habe das jetzt die Wochen nachdem es wieder stabil lief beobachtet und es funktioniert ohne Geschwindigkeitseinbußen. Mir schleierhaft was die Ursache und die Lösung war, da ich danach auch nichts weiter verändert habe. Ich fass da jetzt erstmal nichts an. face-smile