分類: Uncategorized

在C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Install\Logs下，
會有ccSvcHst-*.dmp檔案產生，每一個都1點多GB，一天可能有1個以上，這個.dmp檔到底是那個設定所產生的，即便我把logs目錄設定唯讀，還是會寫入。而且我還刪不掉。

这个问题是RU5版本的已知问题

Title
CCSvcHst.exe generates multiple process dumps in ProgramData exhausting disk space 
 
Issue

CCSvcHst.exe appears to generating exceptions forcing a process dump in C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Install\Logs during a scan. Each dump is over 1GB and free disk space is quickly exhausted.
 
Environment

Windows 2012 R2
 
 
Cause

Certain archive files appear to be triggering the issue. Issue has been with some large archive files with older file dates (4+ years) in .zipx and .blb format.
 
Solution

Symantec is aware of the issue and is researching a solution.

Workaround:

Make an exception for the file extension or directory which has been identified through debugging.

Or…
1.Disable Tamper Protection.
2.Open a Command Prompt window.
3.del “C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.5337.5000.105\Data\Install\Logs\*.dmp”

or

del C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Install\Logs\*.dmp

4.Using regedit.exe, set the following values to 0 (zero):
HKLM\SOFTWARE(\Wow6432Node)\Symantec\Symantec Endpoint Protection\CurrentVersion\Common Client\Debug\CrashHandler\DumpOn*
5.Re-enable Tamper Protection.
6.Open a Command Prompt window.
7.cd “C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.5337.5000.105\Bin”
8.smc -stop
9 .smc –start

【6 7 8 9 可如下執行】

請按鍵盤上【Windows 鍵】+【R鍵】→會跳出【執行】視窗

※ XP 請按【開始】→【執行】

在出現的視窗中，輸入【smc –stop】【smc –start】，並按下【確定】

 

1.    請設定【代理程式組態】

2.    雙按【Default Configuration】

3.    勾選【複製至共用】

4.    請新增【回應規則】

5.    按下【新增回應規則】

6.    選擇【自動回應】

7.      
(1)    輸入【規則名稱】
(2)    新增條件 ：按下【新增條件】鈕 → 選擇【通訊協定或端點監控】→【是任一】→【端點複製到網路共用】
(3)    新增動作 ：選擇動作類型為【 (端點) Prevent 攔截 】→按下【新增動作】鈕
(4)    視需要修改【端點通知內容】
(5)    記得按下【儲存】鈕

8.    建立好的【新增回應規則】

9.    找到既有的個資政策

10.    雙按該既有的個資政策

 

11.    點按【回應】頁籤 → 在下拉選單選擇【先前建立的回應規則 (阻擋個資複製網芳並示警) 】→ 按下【新增回應規則】鈕

 

12.    記得按下【儲存】鈕

13.    在用戶端拖曳個資檔案至分享資料夾

14.    您可以發現該動作遭封鎖並示警

15.    資安事件中也能找到相對應的紀錄

SCSPDBA

（此帳號為安裝系統時需輸入之 SDCS Database Owner，可修改為其他名稱）

這是用於管理實際 SDCS 資料庫所有者帳戶。此帳戶具有「Owner」權限，並可以操縱在 SDCSDB 所有的結構和數據，只能夠控制 SDCS 資料庫。只有初始安裝和升級需要使用。

伺服器角色：

使用者對應：

 

SCSP_OPS

（此帳號為安裝系統時自動建立）

這是 SDCS 安裝 Tomcat 所使用的 MS SQL Server 資料庫的帳戶（自動產生密碼）。此帳戶可以讀取和寫入 SDCSDB 資料，但不能執行任何架構更改。SDCS 所有操作使用此帳戶。

伺服器角色：

使用者對應：

 SCSP_PLUGIN

（此帳號為安裝系統時自動建立）

這是 SDCS 所建立的提供第三方外掛工具（如 SSIM、ArcSight 等）的賬戶（自動建立密碼）。此帳戶具有只讀取 SDCS 資料庫。

伺服器角色：

使用者對應：

SCSPGuest

（此帳號為安裝系統時可選擇是否要建立）

在安裝過程中這是可選擇是否需要建立的帳戶，如果想建立一個可用於外部 ODBC／JDBC 連線至 SDCS 資料庫，僅有讀取功能。

伺服器角色：

使用者對應：

“How can we change the DCS SQL DB dcs_ops and dcs_plugin account password? “

 

Change password for dcs_ops & dcs_plugin on SQL server side

dcs_plugin change in password has no effect on product., as we don’t use this account on the Manager side

※(dcs_plugin 用來提供 3-party 產品 (如 SSIM、ArcSight) 讀取資料庫使用，SDCS 沒有使用到該帳號，可任意修改)

Change dcs_ops in passwrod will require the following changes to be done on Manager side

1. Stop DCS manager service

2. Browse to “C:\Program Files (x86)\Symantec\Data Center Security Server\Server\tomcat\conf”

3. Backup server.xml
4. Edit server.xml

You can see the JDBC settings in the following:

<Resource name=”Database-Console”
auth=”Container”
type=”javax.sql.DataSource”
url=”jdbc:jtds:sqlserver://127.0.0.1/SCSPDB;instance=SCSP”
password=”xxxxxxxxxxxxxxxxxxx”
username=”scsp_ops”
driverClassName=”net.sourceforge.jtds.jdbcx.JtdsDataSource”
initialSize=”10″
maxActive=”25″
maxIdle=”15″
maxWait=”-1″
minIdle=”10″
removeAbandoned=”true”
removeAbandonedTimeout=”300″
logAbandoned=”false”
/>
<Resource name=”Database-Agent”
auth=”Container”
type=”javax.sql.DataSource”
url=”jdbc:jtds:sqlserver://127.0.0.1/SCSPDB;instance=SCSP”
password=”xxxxxxxxxxxxxxxxxxxx”
username=”scsp_ops”
driverClassName=”net.sourceforge.jtds.jdbcx.JtdsDataSource”
initialSize=”15″
maxActive=”45″
maxIdle=”20″
maxWait=”-1″
minIdle=”15″
removeAbandoned=”true”
removeAbandonedTimeout=”300″
logAbandoned=”false”
/>

5. Replace the text xxxxxxxxxxxx with the new DCS-ops password, at both the locations
6. Then start the DCS manager service

Also refer below article links for more clarity:
http://www.symantec.com/connect/forums/csp-database
http://www.symantec.com/connect/articles/what-are-default-scsp-sql-database-accounts-and-what-are-they-used
“

• 請先將該 policy 套用至一個已連線至主控台的用戶端
• 至上一步驟的用戶端的 C:\Program Files\Symantec\Data Center Security Server\Agent\IPS\driver 目錄下，複製 IPS 與 IDS policy

policy 的格式為 policy1234567.sbp.zip (1234567 為數字)

sbp.zip   .trans   .conf   擁有相同檔名者，請複製其中 sbp.zip (此即為 IPS policy)

其餘 sbp.zip 即為 IDS policy

 

 

• 停止無法連線至主控台的用戶端的 IPS 服務
• 將先前步驟複製出的 sbp.zip 檔複製到無法連線至主控台的用戶端的相同目錄 (C:\Program Files\Symantec\Data Center Security Server\Agent\IPS\driver )
• 並請將 IPS policy 更名 (名稱請至註冊機碼查詢)
• 之後請確認 IPS policy 的 .trans 與 .conf 是否更新
• 亦請確認 IDS policy 新的 .pol 是否在 C:\Program Files\Symantec\Data Center Security Server\Agent\IDS\system 被建立

 

查詢 IPS policy 的名稱

• 進行 Common parameters、Prevention parameters 與 Detection parameters Configuration 的設定並套用到已連線的 SDCS 用戶端

 

 

• 停止無法連線至主控台的用戶端的 IPS 服務
• 將 C:\Program Files\Symantec\Data Center Security Server\Agent\IPS 目錄下的 agent.ini 與 fallback.ini 複製至無法連線至主控台的用戶端的相同目錄
• 將 C:\Program Files\Symantec\Data Center Security Server\Agent\IDS\system 目錄下的 agent.ini 複製至無法連線至主控台的用戶端的相同目錄
• 修改 C:\Program Files\Symantec\Data Center Security Server\Agent\IPS 目錄下的 agent.ini 中的以下三區塊

plus.policy.file

ids.plus.policy.file

agentlog.logfile

• 重啟 IPS 與 IDS 服務

 

1. 選取「Admin」頁籤，選取「Users」，點選「Add」。

2. 建立 User

2.1.  建立一般 User

2.1.1. 輸入「User name」，輸入「Description」，輸入「Password」，再次輸入「Confirm Password」。

2.1.2. 選取「Member Of」頁籤，點選「Add」。

2.1.3. 選取增加的 Role，點選「Add」。

2.1.4. 點選「OK」。

2.2.  建立 AD User

2.2.1. 輸入「User name」〈必須使用網域名稱\帳號的格式，例：local\user〉，輸入「Description」，勾選「Active Directory User」，接著選取「Active Directory User」。

2.2.2. 選取「Member Of」頁籤，點選「Add」。

2.2.3. 選取增加的 Role，點選「Add」。

2.2.4. 點選「OK」。

3. 新增完成。

Parallels官方線上問題連結網址

http://www.parallels.com/tw/support/request/

新增白名單允許應用清單 Apply Policy 有兩種方式：

一、從「Monitors」→「Events」頁面直接透過 Wizard 新增。

1. 選取「Monitors」頁籤，選取「Events」，接著於「Monitor Type」的部份選取「Prevention」，針對欲開啟的 Event 以滑鼠左鍵點擊兩下，開啟詳細資料視窗。

2. 從詳細資料頁面，可看到相關資訊，若由下列資訊，判斷此為可信任程式，則可新增至白名單內，點選右方 Wizard 圖示。

3. 選擇欲加入之 Policy，接著點選「Next」。

4. 點選欲使用的「modification strategy」，接著點選「Next」。此時我加入預設的 Sandbox。

5. 可選取欲加入之「Sandbox」，並且可看到程式執行路徑，接著點選「Next」。

6. 點選「Update」。

7. 輸入此次新增的內容，接著點選「Submit」。

8. Update 完成，點選「Finish」。

9. 點選「Policies」頁籤，接著點選「Prevention」，可看到剛剛所修改的 Policy 版號增加為 101。

10. 點選「Assets」頁籤，接著點選「Prevention」，選擇使用剛剛修改 Policy 的 Group 可看到 Policy 版號仍為 100。

11. 點選「Policies」頁籤，接著點選「Prevention」，以滑鼠右鍵點選於剛剛所修改的 Policy，接著點選「Reapply」。

12. 可看到目前已套用此 Policy 的 Group 或是 Agent，接著點選「Next」。

13. 接著選取「Take the new option settings」，接著點選「Finish」。

14. 選取「Assets」頁籤，點選「Prevention」，選取剛剛 Apply Policy 的 Group 或是 Agent，可看到剛剛 Apply Policy 仍待生效，稍待片刻後即生效。

二、從「Policies」→「Prevention」頁面開啟 Policy 新增。

1. 選取「Monitors」頁籤，選取「Events」，接著於「Monitor Type」的部份選取「Prevention」，針對欲開啟的 Event 以滑鼠左鍵點擊兩下，開啟詳細資料視窗。

2. 從詳細資料頁面，可看到相關資訊，若由下列資訊，判斷此為可信任程式，則可新增至白名單內，複製此應用程式路徑。

3. 點選「Policies」頁籤，接著點選「Prevention」，點選欲修改的 Policy，接著點選「Edit」。

4. 點選「Application Rules」。

5. 選取欲加入的Rules，點選「Edit」。

6. 點選「Add」。

7. 貼上剛剛所複製之應用程式路徑，接著點選「OK」。

8. 可看到剛剛所新增的應用程式路徑，最後點選「OK」。

9. 接著點選「OK」。

10. 輸入此次新增的內容，接著點選「Submit」。

11. 點選「Policies」頁籤，接著點選「Prevention」，可看到剛剛所修改的 Policy 版號增加為 102。

12. 點選「Assets」頁籤，接著點選「Prevention」，選擇使用剛剛修改 Policy 的 Group 可看到 Policy 版號仍為 101。

13. 點選「Policies」頁籤，接著點選「Prevention」，以滑鼠右鍵點選於剛剛所修改的 Policy，接著點選「Reapply」。

14. 可看到目前已套用此 Policy 的 Group 或是 Agent，接著點選「Next」。

15. 接著選取「Take the new option settings」，接著點選「Finish」。

16. 選取「Assets」頁籤，點選「Prevention」，選取剛剛 Apply Policy 的 Group 或是 Agent，可看到剛剛 Apply Policy 仍待生效，稍待片刻後即生效。