ConnecT

Wenn unter "Berechtigungen und andere Einstellungen" die Option "Clients können Komponenten aktualisieren, aber kein Upgrade des Clients durchführen oder Hotfixes verteilen" nicht aktiviert ist, dann sollten die Clients automatisch auf 10.6 upgegraded werden.

Daß die autopcc-Methode versucht neu zu installieren und dabei abbricht, spricht allerdings für eine korrupte Client-Installation.

Gruß Christian

Die Überprüfung der Datei bei Trend Micro hat ergeben, daß es sich um einen Fehlalarm handelte. Das wurde im nächsten Pattern korrigiert.

Seltsam, daß die UPS-Hotline den Virus bestätigt hat...

Gruß Christian

Hallo edocom,

ich würde mal versuchen den "Behaviour Monitor" zu beenden.

-> Client-Sicherheitseinstellungen muss auf "normal" stehen

-> Dienst "Trend Micro Unauthorized Change Prevention Service" beenden

Funktioniert das Excel-Tool dann?

Gruß Christian

Hallo Hanghuhn,

mit heuristisch meine ich die Bewertung gewisser Eigenschaften (Aufbau, Formatierungen...) aber auch Signaturen. Wie das genau funktioniert, lässt Trend Micro natürlich nicht raus.

Bei mittlerer bzw. hoher Erkennungsrate sind mir persönlich die False Positives einfach zu hoch.

Absender Adressen oder IPs sind jedenfalls nicht im Pattern enthalten.

Absender Adressen sind i.d.R. gefaked.

IP-Adressen erschlägt Trend Micro mit dem Email Reputation Service (ERS, RBL Blacklist). Mails von gelisteten IPs werden gar nicht erst angenommen, würden also nicht in der Quarantäne landen.

ERS kann man nur nutzen, wenn es keinen vorgelagerten MTA o.ä. gibt, d.h. Mails direkt per SMTP auf das System zugestellt werden. Nur dann ist die absendende IP direkt "sichtbar" und die Annahme kann noch verweigert werden.

Dies ist übrigens auch im IMHS (InterScan Messaging Hosted Security) enthalten, der jetzt mit dem Nachfolger Deiner Suite ausgeliefert wird.

Gruß Christian

Im Pattern sind keine Domains / IP Adressen enthalten.

Die Spam Erkennung erfolgt heuristisch.

Spam Level auf "niedrig" stellen, sollte helfen...

Hier mal ein paar zusammenfassende Worte zu Trend Micro.

1. Es gibt Lösungen für Linux, nur nicht mit OfficeScan sondern mit ServerProtect (läuft auch auf einem "Client").

2. Eine Lösung für Mac soll 2009 kommen.

3. OfficeScan 9 wird übersprungen um den "grossen Schritt" zu verdeutlichen und nicht, weil die 9 eine Unglückszahl wäre (so wie die 4 in Asien).

4. "Versionsstillstände" würde ich eher als Vorteil sehen. Es gibt genügend Kunden, die nicht alle 2 Jahre eine komplett neue Version ausrollen wollen.

5. Die wesentliche Neuerung in OfficeScan 10 wird sein, daß nicht mehr alle Erkennungsmuster (Pattern) lokal gehalten werden, sondern dynamisch bei Trend Micro angefragt werden können -> "in the cloud". Beta läuft schon. Für weitere Details aber am besten die endgültige Version abwarten...

Gruß Christian

Hallo Marcel,

das BM im Trend Micro Pfad steht für "behaviour monitoring" in der Worry-Free Business Security. Hast Du dieses Feature mal testhalber deaktiviert?

Gruß CHristian

seit heute wird die Scan-Engine 8.910.1002 nun auch automatisch verteilt...

Grüsse Christian

Scan-Engines werden bei Trend Micro immer einige Tage vor der automatischen Verteilung zum manuellen Download bereitgestellt. So können Großkunden diese erstmal auf einzelnen Rechnern testen, bevor sie auf alle verteilt werden.

Zum manuellen Download gibt seit dem 19.08. die Engine 8.910

Über ActiveUpdate wird diese ab Mitte nächster Woche verteilt.

Gruß Christian

Hallo,

wieso suchst Du nach einem neuen Produkt?

Trend Micro OfficeScan hat doch eine sehr gute Anti-Spyware Engine dabei.

Gruß Christian

- ist bei den Clients unter Berechtigungen eingestellt, daß nur Pattern/Engines aktualisiert werden, keine Hotfixes/Programmupdates?

- wurde auf dem 8er Server der gleiche "Client_LocalServer_Port" verwendet, wie auf dem alten?

Hi,

die Option "Exchange Ordner ausschließen" bezieht sich auf Verzeichnisse auf dem Exchange-Server. Das hat nichts mit "Ordnern" im Outlook zu tun.

Wenn Outlook-Dateien (PST o.ä.) gescannt werden, besteht zudem grundsätzlich die Gefahr, daß diese bei einem Virenfund gelöscht werden. Wohlgemerkt: nicht ein Mail wird gelöscht, sondern die gesamte Datei (Postfach)! Um einzelne (Viren-) Mails aus solchen Dateien entfernen zu können, muss der Virenscanner das Dateiformat nativ schreiben können (beherrschen). Dazu gibt es beim OfficeScan-Client extra den "Outlook Mail Scan"...

Gruß Christian

Hallo edocom,

ob ein Client sich direkt bei Trend Micro updaten darf, legt man in der Client-Verwaltung fest.

Einstellungen -> Berechtigungen -> weitere Einstellungen

"Clients laden Updates vom Trend Micro ActiveUpdate Server herunter."

I.d.R. aktiviert man dies nur für die Clients, die auch mobil genutzt werden.

Bei festen Arbeitsplatzrechnern will man dieses Verhalten nicht, da sonst alle Clients extern ihre Updates ziehen, nur weil der OfficeScan Server mal kurz für Wartungsarbeiten runtergefahren ist. Viel Traffic für nichts...

Deine letzte Frage verstehe ich nicht. Exchange Ordner ausschließen heisst, daß z.B. das Verzeichnis "Mdbdata" auf dem Exchange-Server nicht gescannt wird...

P.S. warum hilft Dir eigentlich Dein Reseller nicht weiter? Der Support für Enterprise Produkte wird vom Reseller kostenlos erbracht, zumindest von den meisten...

Gruß Christian

Hallo edocom,

das mit der letzten IP-Range kannst Du Dir sparen. Ein Client kontaktiert die Updatequellen i.d.R. in folgender Reihenfolge. Wenn einer nicht erreichbar ist, versucht er den nächsten.

1. Update Agent(s) - können mehrere sein

2. OfficeScan Server

3. ActiveUpdate Server bei TM (wenn er das darf).

Noch ein Tipp:

Um den Traffic zu den Update-Agents klein zu halten (inkrementelle Updates), solltest Du folgenden Eintrag in die ofcscan.ini vornehmen:

[Global Setting]

UADuplicationOptValue = 128

Gruß Christian

Hallo edocom,

auf die umständliche Methode gehts (wohl) auch.

Normalerweise brauchst Du in der Konsole unter Berechtigungen nur den Schalter "Client darf direkt bei Trend Micro updaten" zu setzen. Ausserdem muss für die Clients das zeitgesteuerte Update aktiviert sein.

Die Einstellungen für den Update-Agent sind eigentlich nur dazu da, interne Clients als solche zu benennen, z.B. als Update-Quelle in Niederlassungen...

Gruß Christian

Hi,

irgendwas wird hier durcheinandergeworfen!

Die SMB Suite (Version 3.6) enthält kein OfficeScan 8.0!

Ein Upgrade von OfficeScan auf SMB ist nicht vorgesehen.

Wer dies tun will muss laut Trend Micro OfficeScan zuerst deinstallieren und kann dann auf den Clients die SMB-Agents wieder installieren lassen.

Gruß Christian

@Pulli

> Hat jemand einen Lösungsansatz?

Ja: bei solch schwachen Clients besser auf OfficeScan 7.3 bleiben!

Eine andere Lösung wird es (wenn überhaupt) längerfristig erst geben...

Gruß Christian

Hi,

ein Wechsel der Sprachversion kann Probleme machen. Siehe:

Solution Details

Gruß Christian

der Vulnerability-Scanner überprüft eine vorzugebende IP-Range, ob auf den Maschinen ein lokaler Virenschutz (OfficeScan, ServerProtect, PC-cillin...) installiert ist. Falls nicht, bekommst Du eine Meldung oder kannst auch automatisch OfficeScan installieren lassen.

Gruß Christian

Hallo tgyssling,

mal noch eine grundsätzliche Sache zur Installation per Anmeldescript.

Der am Client angemeldete User muss für die Installation mit Autopcc lokale Administrator-Rechte haben. Ist Dir das bekannt?

Viel komfortabler für die Installation ist die Remote Installation, der Vulnerability-Scanner oder als MSI-Paket...

Gruß Christian

@Squire

Trend Micro unterstützt seit vielen Jahren für die Client-Aktualisierung "Delta-Pattern". Die übertragenen Datenmengen sind dabei recht überschaubar (s.u.).

Wenn das bei Euch nicht funktioniert hat, dürfte vermutlich eine Fehlkonfiguration vorgelegen haben, oder die Aktualisierung erfolgte zu selten, dann wird (wie Tobi72 schon geschrieben hat) irgendwann das komplette Pattern übertragen.

Ausserdem: Außendienstmitarbeiter können sich unterwegs direkt bei Trend Micro updaten, oder was hättest Du gerne gehabt?

Von einer blockierten VPN-Verbindung kann man bei einem Datenvolumen von unter 300 kB (zzgl. Overhead) eigentlich auch nicht reden.

@edocom

Die genaue Größe der "Delta-Pattern" schwankt, abhängig davon, wieviele neue Viren / Spyware / Grayware etc. zwischen den Pattern so rausgekommen sind.

Hier mal ein paar konkrete Zahlen, Stand heute:

- Anti-Virus Pattern (4.725): 37 kB

- Virus Cleanup Pattern: 35 kB

- Spyware Such Pattern: 135 kB

- Spyware Cleanup Pattern: 60 kB

Summe: 267 kB

Anmerkung: diese Zahlen basieren noch auf OfficeScan 7.x, mit der älteren Spyware-Engine. OfficeScan 8.0 habe ich gerade nicht im Zugriff, liegt aber ähnlich...

Gruß Christian

Hi,

zu 1. Antivirus:

ServerProtect ist für Citrix freigegeben, OfficeScan nicht.

Mit OfficeScan gibt es noch einige Probleme, die erst mit einer der nächsten Versionen behoben sein sollen.

Gruß Christian

Hi,

schau Dir doch mal die Datei tmudump.txt am Client an. Darin sollte aufgeführt sein, welche Dateien der Client zu laden versucht und wo evtl. der Fehler zu suchen ist.

Gruß

Christian

Hi,

das sieht sehr nach einem Problem mit der Namensauflösung aus. Entweder die Namensauflösung in Ordnung bringen oder bei der Installation von OfficeScan die IP-Adresse zur Adressierung des Servers verwenden.

Das Problem besteht sowohl beim Zugriff auf die Management-Konsole, als auch bei den Clients. Die finden den Server nicht, können sich nicht anmelden/updaten und tauchen deshalb auch in der Konsole nicht auf...

MfG

Christian

Ich kann nicht ganz aus eigener Erfahrung berichten, aber bei Kunden von uns, hat WSUS wohl automatisch das URLScan-Tool von Microsoft auf der gleichen Maschine installiert.

Und dieses beisst sich mit OfficeScan (verhindert per default, daß .ini , .exe , .dat -Dateien, die OfficeScan braucht, über den IIS downgeloadet werden können).

Das kann man aber über die urlscan.ini wieder geradebiegen...

Gruß Christian