Projekt bez tytułu (34)

Konfigurując ochronę antywirusową za pomocą programu Defender trzeba umieścić na jakimś serwerze rolę Endpoint Protection Point, skonfigurować i wdrożyć odpowiednie polityki konfiguracyjne klienta. Po wykonaniu tych wszystkich czynności zauważyłem, że niektóre tabele w bazie SQL o nazwach zaczynających się od EP_ są nadal puste.

BR1

Taka sytuacja nie jest normalna, obserwowałem w innych instancjach Configuration Managera, że wspomniana tabela zawiera zazwyczaj ponad 200 tysięcy rekordów.

 

Ochrona antywirusowa na maszynach klienckich tymczasem działa, jednie sam Configuration Manager okazuje się nieświadomy klasyfikacji zagrożeń oraz ich istotności, co ma swój skutek w raportach antywirusowych, gdzie spodziewane dane nie są umieszczane. Właśnie problem z pustymi raportami stał u początku dociekań. Szybko okazało się, że dane z raportów pobierane są także z tabel, które nie powinny być puste, a jednak nic nie zawierają.

 

Dość oczywiste podejrzenie musiało paść na rolę Endpoint Protection Point. Podglądając proces instalacji tej roli, okazało się, że jest tam instalowany klient System Center Endpoint Protection.

BR2

Serwer ten nie będąc klientem Configuration Managera (a dodatkowo nie znajdując się w kolekcji, przeznaczonej do zarządzania Defenderem) nie mógł w izolowanym środowisku laboratoryjnym uzyskać dostępu do aktualizacji antywirusowych. Widać to ładnie poniżej:

BR3

Próba zmuszenia systemu do pobrania aktualizacji kończyła się niepowodzeniem:

BR4

Dopiero wskazanie położenia aktualizacji w udostępnionym katalogu (ścieżka UNC) w poniższy sposób powoduje, że aktualizacje mogą być pobrane.

Br5

Tym razem nie pojawia się komunikat o błędzie:

br7

Patrząc na zawartość logu EPCntrl.log widać, że aktualizacje nie tylko zostały pobrane, lecz także przekazane na Site Server:

br8

Wystarczy teraz powtórzyć sprawdzenie bazy SQL:

br11

Należy zauważyć, że cała trudność wynikała z braku dostępu do Internetu serwera z rolą Endpoint Protection Point, w związku z czym trzeba było mu wskazać alternatywne źródło aktualizacji sygnatur antywirusowych.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *