Mcafee virusscan enterprise hatástalanítása

Microsoft Windows

Üdv mindenki!

Fut egy win7 domain member gépen a Mcafee virusscan enterprise 8.8.x + host intrusion prevention + endpoint encryption nevű szarhármas. Központi IT felügyeli, a teljes GUI-ja ki van szűrkítve felém, semmit nem bírok állítani rajta. IT természetesen nem kooperatív a témában. A wincsesztert megállás nélkül tekeri napi 8-10 órában. Fájlműveletek sebessége 1/100 - 1/1000 részére lelassult ahhoz képest, mint amit a vas bírna enélkül az ipari kézifék nélkül. A "background" scan jobok abban a pillanatban elindulnak amint bejelentkeztem a gépre reggel, és néha szószerint fél órákra használhatatlanná teszik az egész gépet, az egér beszaggat rendszeresen olyan szinten gyilkolja a HDD-t. Resource manager-ban megnéztem, és nem background I/O prioritással scanneleik végig az egész lemezt, ahogy azt illene, hanem a barom Mcafee (inteles sarlatánok programozzák mint tudjuk) normal I/O prioritással adja az ívet, és teszi használhatatlanná a komplett gépet. Ilyen élményem utóljára win95/98 időkben volt, amikor 32 MB fizikai RAM mellett kellett a lelkét is kiswappelnie a windowsnak, miközben az egér nem bírt reagálni, csak ugrált 4-5 mp-ként egyet.

Lokál admin vagyok a gépen, de természetesen a service-t leállítani nincs jogom. Adni se tudok magamnak jogot hozzá, gondolom GPO-ból jön az átok. Nyilván a GPO-t se tudom megnézni mert az összes MS admin tool tiltva vagyon szintén GPO-ból.

KÉRDÉS #1: Létezik olyan nem-MS által gyártott AD admin tool, amit lehetne használni view-only módban?

A mcafee PIN kódot jobban őrzik mint a Fort Knox-i aranyat, amivel fel lehetne oldani a GUI-t, és át tudnám állítani background prioritásra ezt a kalap trágyát.
KÉRDÉS #2: Tudja egyáltalán ez a verzió már a background-ba mászást, vagy ahhoz még kell 10-15 év mire lefejlesztik ezek az állatok?

Ellenségemnek se kívánom h. Mcafee-s gépen kelljen napi 8-10 órában dolgoznia, Isten látja lelkem tényleg nem kívánom.

RAM upgrade nem segít a dolgon, lehet akár 8 GB RAM is a win7 gépben, akkor is kegyetlenül tekeri a vinyó folyamatosan. Ezek az állatok (changelog alapján) csak az utóbbi kb. 1 évben implementálták azt a kódot ami megjegyzi melyik fájlokat nyálazta már át 5 perce, és változtatás hiányában nem szkenneli újra ugyanazt a fájlt napi 10000-szer, de ahogy én látom mégis ez történik folyamatosan.

Akinek már tönkrementek az idegei, sajátpénzen vett a gépbe SSD-t, én szeretném ezt kihagyni perpill.

KÉRDÉS #3: A LEGFONTOSABB: Ötletek hogyan lehetne hatástalanítani ezt a szart?

UPDATE: kérek mindenkit, h. a vicces Johnmcafee youtube videókat mellőzze ebben a fórumban, és koncentráljunk a témára. Aki trollkodni akar IT policy, auditor és tsai-val, annak kívül tágasabb, nem vagyok kíváncsi ilyen véleményekre. Remélem érthető és világos voltam.
Összefoglalóan még1x, ezekre a kérdésekre szeretnék választ kapni:
KÉRDÉS #1: Létezik olyan nem-MS által gyártott Active Directory admin tool, ami hozzáfér a Group policy konfighoz? Le szeretném csekkolni, mi védi GPO-n keresztül a service hozzáérés jogait, de az ismert AD basztató tool-ok executable-je tiltva van, group policy-ből.
KÉRDÉS #2: Tudja egyáltalán ez a (Mcaffe) verzió a background scan low priority-ban való futtatását, vagy ahhoz még kell 10-15 év mire lefejlesztik ezek az állatok?
KÉRDÉS #3: A LEGFONTOSABB: Ötletek hogyan lehetne hatástalanítani ezt a szart? Ebből már kaptam párat, köszönöm szépen!

  • 6444 megtekintés

( gelei v | 2014. 05. 30., p – 10:02 )

Szerintem nem a McAfee-vel van a baj, mert az nálunk is az van pár száz laptopon, de inkább az adminok panaszkodnak a menedzselhetőségére, mint a userek a sebességre.

1. nap mikor megkaptam a frissen telepített gépet, azóta működik így (azaz ilyen szarul). Mcafee a hibás, ez nem kérdés. Összehasonlítanám egy ugyanilyen HW configos géppel, minden szoftverrel telepítve minusz a Mcafee: ég és föld lenne a különbség, nyilván a tiszta gép javára.

Az internet egyöntetűen minősíti a mcafe-t úgy, ahogy. Az intel cégen kívül szerintem nincs a világon aki elégedett lenne vele.

( zgabi | 2014. 05. 30., p – 10:20 )

Ha local admin vagy, akkor elvileg registryből ki tudod gyakni a HKEY_LOCAL_MACHINE\SOFTWARE\Policies ágat, persze néha visszajön:)
Nekem ez segített teljesen más group policyből jövő beállítás megkerülésében (pl nekem a ProxySettingsPerUser beállással volt gondom, letiltották, hogy át lehessen állítani a proxyt, és ez még a munkát is akadályozta, ill még az volt megszabva, hogy mi történjem a power gomb megnyomásakor bizonyos esetekben - tápról vagy akrisól megy a gép. Ez nem zavarta a munkát, csak engem:))
Persze mielőtt törölnéd, mentsd ki reg fileba.

2: Nálunk Officescan van, ami szintén elég idegsítő néha. Nem azért, mert zabálja aprocit/disket, hanem mert néhány teljesen ártalmatlan weboldalt nem enged megnyitni. (Pl a saját egyetemen hostolt weboldalamra mondja, hogy vírusos..., de csak 1 szimpla html és pár kép van ott, nyilván talált másik felhasználónál vmit, és tiltja az egeszet)
Erre írtam egy proggit, ami kilövi pár mp-enként a hozzá tartozó exe-t, így teljesen jó volt... Ill később picit kultúráltabb módot találtam. Szintén saját programmal lepauzálom a processét.

( ncc1701 | 2014. 05. 30., p – 10:26 )

-Ha nincs hozzá jogod, az nem véletlen. Email a felelős embernek, ha ez hatástalan, akkor cc a főnöködnek, valamint az admin főnökének. Ne kezdj el sk barmolni a gépet, abból nem fogsz jól kijönni.
-Egy ssd jóval gyorsabb...

Az a baj, hogy egy nagy szervezetnél, hiába panaszkodsz, hogy nem tudsz hatékonyan dolgozni, rajtad kívül ezzel senki nem törődik. Hiszen ez a te problémád, futnak egy-két kört, hivatkoznak céges policy-ra, meg hogy nem olyan rossz. Te hiába bizonyítod, monitorozással, képernyőképekkel, stb..., hogy az egész úgy szar ahogy van, megnézik állítgatnak valamit, de a végeredmény ugyanúgy szar. Természetesen nem szabad barmolni a gépet, de naivitás azt hinni, hogy miattad , vagy másik x ember miatt fogják lecserélni a vírusirtó sw-t, vagy megfizetni egy megfelelő szakembert aki jól beállítja. Bár szerintem ez a Mcafee-t nem lehet jól beállítani, sajnos többször is találkoztam vele, és mindenhol iszonyatosan lefogta a gépet, főleg ha sok kis file-al dolgozol(fejlesztés).

> Az a baj, hogy egy rossz munkahelyen, hiába panaszkodsz

Fix'd. ;) Nyilván nem arra kell gondolni, hogy egy kis panaszkodás miatt kidobják a szerződést, ami mondjuk pár száz/ezer munkaállomásra érvényes, de korrekt helyen lehet egyezkedni. Ha téged hátráltat a munkában a vírusirtó, és annyira hátráltat, hogy megéri, adjanak SSD-t, jobb gépet, stb.

Ezek nem példa nélküli dolgok, bár tény, hogy kell egy bizonyos érettség hozzá a munkáltató részéről is. Ha napi két órában használhatatlan a gép, az éves szinten kb. 500 óra fejenként - egy negyed ember munkaideje! Ahhoz, hogy ezt kompenzálják, fel kéne venni egy embert 3 hónapra, ami alsó hangon is egy milla, és akkor a pótmunkaerő anyázni fog, hogy rosszul keres. Ebből a pénzből viszont lehet 20-30 másik alkalmazott gépébe SSD-t venni, esetleg 10-15 vadonatúj gépet.

Endpoint encryption titkosítja a vinyót, semmivel nem lehet olvasni a particiót a key hiányában. Volt már pár adatvesztés kollégák gépén mikor a windows bootolhatatlan lett, és nem volt local IT aki birtokában lett volna a trükknek és a szükséges tooloknak, hogyan lehet róla lementeni az adatot. Company policyk vannak előírni a securityt és a folyamatokat, de arra már nincs resouce h. supportolják.

( john_silver v | 2014. 05. 30., p – 10:59 )

Nálunk Symantec Endpoint Protection van. A gépem Pentium Dual Core 2,6 GHz, 1 Gb RAM, Windows XP.
A teljes hivatalos utat végigjártam azért, hogy vagy lehessen általam állítani, hogy mikor szkenneljen vagy csak üresjáratban ellenőrizzen, vagy valami egyéb megoldás, de teljes elutasításban volt részem.

A jelenlegi beállítás szerint bekapcsolás után félórával kezdi az ellenőrzést és addig nem áll le míg be nem fejezi, majd 12.00 után félórával ugyanez. A teljes lemez ellenőrzése kb. 45 perc-1 óra, ezen idő alatt a gépem használhatatlanra lassul. Csak csendben jegyzem meg, hogy a rendszerünkben a gépek többsége Willamette magos 1 GHz-es Celeron 512 Mb SDRAM-mal.

Így kénytelen voltam más megoldás után nézni ez pedig a Process Hacker lett http://processhacker.sourceforge.net/ közvetlenül bekapcsolás után elindítva ki tudom lőni vele a Symantec Endpoint Protection-t csak akkor hagyom futni, ha nem dolgozom a géppel.

A helyzet az, hogy az a biztonsági szakember aki ezt megtalálná, az van olyan képzett, hogy a problémát is megoldja. Ettől függetlenül én is elítélem a szabályok megszegését, én ilyenkor ki szoktam harcolni, hogy az értelmetlen szabályok alól legyenek a kivételek. Mivel a fejlesztők úgyis külön állatfaj az IT-n belül, viszonylag nagyobb szabadságunk van, mint egységsugarú Gizikének. Ettől még van egy csomó olyan dolog, ami szerintem ugyanúgy megkeseríti Gizike életét, csak neki sokkal rosszabb a lobbitevékenysége. Csak hát egy multinál a hatékonyság, általában elveszik, a bürokrácia és politika mocsarában.

"A cég IT biztonság területe/belső ellenőre" ez az ami nincs.
Állami szektor, kötnek a törvényi határidők, mert ha nem, könnyen az ügyészségen találhatom magam.
Mint írtam minden lehetséges utat végig próbáltam, de az a hozzáállás, hogy kuss és fogadd el azt ami van.
Rengeteg példát tudnék még írni amivel megkeserítik az életünket, és akadályozzák a szakmai munkámat, sajnos ha haladni akarok nincs más lehetőségem, de természetesen minden általam okozott kárért felelősséggel tartozom és vállalom is a felelősséget.

( zotya62 v | 2014. 05. 30., p – 15:14 )

Szerintem sem a Mc Afee-val van gond. A Gold supportjukkal nekem jó tapasztalataim vannak. Persze gondolom nincs jogosultság itt https://support.mcafee.com állítgatni a policy-t. Szerintem is le kell írni az IT-nek, hogy konkrétan mi a helyzet.

( Jason v | 2014. 05. 30., p – 15:22 )

Szerintem tuti, hogy a McAfee-val van baj, de egy dolgot tehetsz: reimage.
Mi, ha valakinek nagyon öli a gépét a emszí majom, újrarakjuk, mert mire kidebugolod, hogy mi okozza, nyugdíjba mész.

Ez olyan, amikor összehekkentesz egy progit, ami jól fut 500 embernél, majd elhal az első olyannál, aki nem angol locale-t használ, hisz nem gondoltál rá. Na, a McAfee ilyen program, bizonyos kombinációkban igen gyakja a procit, tipikusan Lotus Notes, SQL Developer, MS Lync (ez speciel nemtom miért hat rá).

A McAfee meg "American Team", tehát USA-beli multitól ne várd, hogy nem amcsi céggel szerződik le.

( ricpet | 2014. 05. 30., p – 15:33 )

Attól eltekintve, hogy jó-e vagy nem szembemenni a vállalati szabályokkal: ha tényleg local admin vagy a gépen, akkor a service process .exe file-jára adj Everyone Deny Full Control jogot, és indítsd újra a gépet. Ekkor nem fog elindulni a service.

( winben | 2014. 06. 01., v – 20:55 )

A két kezem teszem össze, hogy nálunk amikor megkaptam a céges gépemet megkérdezték, hogy én szeretném-e üzembe helyezni, vagy csinálja az, aki szokta.
Igaz, hogy az itthoni i7-es ssd-s gépemhez képest lassú mint a sz*r, de legalább nem kell ilyen céges kötelező cuccokkal vesződnöm...

-------------
*Ahol vagy, lègy ott*
"Nem." - mondta a foton és interferált
Winben blogja

( GCS v | 2014. 06. 02., h – 08:53 )

Itt is lassítani szokott a McAfee, legfőképpen Java-s dolgokat mint pl Eclipse. Policy vagy szerencse, de pár szolgáltatását le tudom állítani ideiglenesen.

Jávát azért lassítja annyira, mert egyrészt a fájlocskák(pl .properties) beolvasgatásakor akasztja meg, másrészt a classok betöltésekor összevissza őrjöng a classloader, s mcafee meg szorgosan újraellenőrizgeti az egész fájlt mindig amikor a jar-ból (ami ugye egy zip archívum) kiveszel egy fájlt. Pl nálam SQL Developer 4 elindítása az emszí majom nélkül 30 sec, vele meg 4 perc. Netbána, Eclipse kurvasok kis fájlocskát, pluginocskát olvas fel...

( zeller | 2014. 06. 02., h – 11:00 )

A cégesz szabályzat megkerülésére, illetve a telepített cuccok megtörésére kérsz segítséget. Szerintem ne csodálkozz, ha olyan választ kapsz, amilyet.
Corporate környezetben megvan az ilyennek az útja-módja, ha meg nem tetszik a munkaeszközöd, ami a munkahelyhez tartozik, cseréld le.

( st3v3 v | 2014. 06. 02., h – 12:24 )

Nálunk is [mekkáfí] fut, de szerencsére ellenőrzés előtt feldob egy ablakot és el lehet halasztani egy darabig.. aztán max amíg ebédelek lefut kb. de valóban: ha fut és ellenőrzi a háttérben akkor nem lehet csinálni semmit:
egy weblogic, eclipse, levelezés és meg is fekudt az egesz... es emelle meg szokott kelleni par segedprogram: tc,npp,textpad etc...