賽門鐵克 – 第 7 頁 – 全新的正體中文 WordPress 網誌 Wellife Blog 的網誌

有關 PGP logs 的 purge

1. How long will the Symantec Encryption Management Server purge the logs?
The SEMS purge the logs in 1months time.

2. Where can I set the purge interval and find the logs percentage of hard disk usage?
You can set the purge time of the logs in the crontab.

In /etc/crontab edit the line

0 0 * * * root /usr/bin/pgpdellog.pl —days=30 /var/log/ovid >& /dev/null

and either change it to the desired value (–days=XX)

or comment the entry completely if the logs may not be deleted.
(by adding a # in front)

Depending on the requirements another solution might be to retain regular backups (which also contain the logfiles).

3. Location of the logs are available at 2 places1

(1) /var/log/ – General system logs
(2) /var/log/ovid/ – pgp process logs

4.If you want to list the size of the folder size please use
du -sh* or du -sh /var/log/ovid

You can use winscp to copy the logs from the linux machine to the windows and then delete the logs manually from the specifc location as mentioned above.
Please do not delete the parent location but only the logs inside the parent folder.

新安裝之Mac OS X 10.10.0註冊後，在Userlist莫名出現其他使用者ID的問題

這樣的問題可能是使用者ID 在還原檔已存在

請參考以下畫面在該 Mac 機器中，移除 [ 其他使用者的 ] key pair

移除金鑰檔 (若有需要請先備份金鑰檔)

點選桌面左上方【Encryption Desktop】，並按下【Quit Encryption Desktop】

(1) 開啟【PGP】資料夾

(2) 將【.skr 檔】備份至其他位置或刪除

WinPE 4.0 5.0 5.1整合 PGP 光碟製作

1.    關於新版 WinPE 整合 PGP 光碟製作請參考以下網址
How to Customize Windows PE 4.0 and above using Symantec Encryption Desktop 10.3.2 and PGPRecoveryGUI.exe
http://www.symantec.com/business/support/index?page=content&id=HOWTO95227
內容包含
(1)    Customizing Windows PE 4.0/5.0 for 32-bit Windows Environment
(2)    Customizing Windows PE 4.0/5.0 for 64-bit Windows Environment
(3)    How to make customized WinPE as a bootable .iso file or CD/UFD

2. Download 適用於 Windows 8.1 更新的 Windows 評定及部署套件 (Windows ADK) from Official Microsoft Download Center
http://www.microsoft.com/zh-tw/download/details.aspx?id=39982

3.
適用於 Windows 8 的 WinPE：Windows PE 5.0
https://technet.microsoft.com/zh-tw/library/hh825110.aspx

將 WinPE 5.0 更新為 WinPE 5.1
https://technet.microsoft.com/zh-tw/library/dn613859.aspx

Enterprise Support – Symantec Corp. – Windows PE customization for Symantec Encryption (PGP) – Index of documents

http://www.symantec.com/business/support/index?page=content&id=TECH215515

Symantec DCS 如何修改 MSSQL DB Name

1. 點選「開始」，點選「系統管理工具」，點選「服務」。

2. 選取「Symantec Data Center Security Server Manager」，點選「停止服務」。

3. 開啟 Management server 資料夾「C:\Program Files (x86)\Symantec\Data Center Security Server\Server\tomcat\conf」，備份「sever.xml」。

4. 以滑鼠右鍵點選「server.xml」，選取「編輯」。

5. 可看到「url=”jdbc:jtds:sqlserver://XXX.XXX.XXX.XXX/XXXXXX;instamce=XXXX”」然後將兩個紅色部分更換為新的DB Name，儲存檔案。

6. 啟動「Symantec Data Center Security Server Manager」，即可正常登入。

無法重新安裝 DCS Agent

透過新增移除程式移除 DCS Agent 後，重新開機後卻無法再次安裝 DCS Agent

出現以下錯誤

error！An agent uninstallation requires a reboot.
please reboot system before running installation.

請執行 regedit

找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
將裏頭的 PendingFileRenameOperations 刪除

或是寫成批次檔
REG DELETE “HKLM\SYSTEM\ControlSet001\Control\Session Manager” /v PendingFileRenameOperations /f

如果仍無法安裝，請再加以下這幾個

REG DELETE “HKLM\SYSTEM\CurrentControlSet\Services\SISIDSRegDrv” /f
REG DELETE “HKLM\SYSTEM\CurrentControlSet\Services\SISIPSDriver” /f
REG DELETE “HKLM\SYSTEM\CurrentControlSet\Services\SISIPSNetFilter”
REG DELETE “HKLM\SYSTEM\CurrentControlSet\Services\EventLog\System\SISIPSNetFilter” /f

DCS Agent 移除指令如下：

MsiExec.exe /X{3D24482F-98BD-48DD-AA62-8B24BFDE7329} /qn

【Unattended uninstallation of an agent】
You can perform an unattended (silent) uninstallation of an agent using the
agent.exe or agent-windows-nt.exe executable and InstallShield and Windows
Installer commands.
The following command structure shows the sequencing:
MsiExec.exe /X{<PRODUCT CODE>} /qn /l*v!+ <UNINSTLL LOG FILE>
The <PRODUCT CODE> is the Symantec Critical System Protection uninstall
string necessary for MsiExec.exe. It is in the following directory:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
For Windows 2008 64-bit system, the <PRODUCT CODE> is in the following
directory:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\
Uninstall
Browse the list of IDs. Locate the Symantec Critical System Protection agent
application by looking at the properties in the right pane. Note the
UinstallString string, and copy and modify it. For example:
MsiExec.exe /X{3D24482F-98BD-48DD-AA62-8B24BFDE7329} /qn /l*v!+
C:\SISAgentUninstall.log
The system reboot is suppressed after the uninstallation.

【SEP 12.1.5 複寫夥伴說明與設定】

複寫夥伴說明與設定總整理

1.       我的 LAB 是如下設定
(1)    先在【Branch 00】透過伺服器設定精靈設定【HQ 02】為複寫夥伴
(2)    再在【Branch 01】透過伺服器設定精靈設定【HQ 02】為複寫夥伴
(3)    複寫夥伴間的【群組、政策】一定會複寫
(4)    Log 設定成只由 Branch 複寫至 HQ
(5)    定義檔與安裝套件不進行複寫
(6)     Production環境下，複寫頻率建議不要低於每天，並請於離峰進行

2. 以下是架構圖

3. 在 HQ 02 看到的複寫夥伴設定

4. 如此的設定，會形成只有在 HQ 02 看到的用戶端才不會是複寫

5. 查看一下管理伺服器的清單

若您因頻寬的關係，確定不允許本地端的用戶端不得在無法連線本地端 SEPM 時轉而向其他站台 SEPM 報到、獲取更新、回報 log 等，請您刪除優先順序2的項目
因為預設的【管理伺服器清單】無法編輯，請您複製→貼上後，進行刪除，並將新的【管理伺服器清單】套給相對應的群組

6. 同時要設定好每個群組使用的是那一個【管理伺服器的清單】(群組所在的地區要優先使用自己區域內 SEPM 當管理伺服器)

7. 各個群組調整好各自的【管理伺服器清單】後，便可發現群組內的用戶端都是就近向區域內的 SEPM 報到、更新、回報 log 了
以下是在 HQ 02 看到只有 Group 002 (管理伺服器第一順位是 HQ 02 ) 內的用戶端才是線上

而在 HQ 02 看到Group 00、 Group 01 (管理伺服器第二順位是 HQ 02 ) 內的用戶端顯示為複寫圖示 (遠端站台線上)

SEP 用戶端一直產生ccSvcHst-*.dmp檔案，每一個都1點多GB，一天可能有1個以上

在C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Install\Logs下，
會有ccSvcHst-*.dmp檔案產生，每一個都1點多GB，一天可能有1個以上，這個.dmp檔到底是那個設定所產生的，即便我把logs目錄設定唯讀，還是會寫入。而且我還刪不掉。

这个问题是RU5版本的已知问题

Title
CCSvcHst.exe generates multiple process dumps in ProgramData exhausting disk space

Issue

CCSvcHst.exe appears to generating exceptions forcing a process dump in C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Install\Logs during a scan. Each dump is over 1GB and free disk space is quickly exhausted.

Environment

Windows 2012 R2

Cause

Certain archive files appear to be triggering the issue. Issue has been with some large archive files with older file dates (4+ years) in .zipx and .blb format.

Solution

Symantec is aware of the issue and is researching a solution.

Workaround:

Make an exception for the file extension or directory which has been identified through debugging.

Or…
1.Disable Tamper Protection.
2.Open a Command Prompt window.
3.del “C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.5337.5000.105\Data\Install\Logs\*.dmp”

del C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Install\Logs\*.dmp

4.Using regedit.exe, set the following values to 0 (zero):
HKLM\SOFTWARE(\Wow6432Node)\Symantec\Symantec Endpoint Protection\CurrentVersion\Common Client\Debug\CrashHandler\DumpOn*
5.Re-enable Tamper Protection.
6.Open a Command Prompt window.
7.cd “C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.5337.5000.105\Bin”
8.smc -stop
9 .smc –start

【6 7 8 9 可如下執行】

請按鍵盤上【Windows 鍵】+【R鍵】→會跳出【執行】視窗

※ XP 請按【開始】→【執行】

在出現的視窗中，輸入【smc –stop】【smc –start】，並按下【確定】

如何設定 DLP Endpoint Prevent 可以阻擋使用者將個資複製至共用資料夾並在用戶端電腦上出現警告視窗

1. 請設定【代理程式組態】

2. 雙按【Default Configuration】

3. 勾選【複製至共用】

4. 請新增【回應規則】

5. 按下【新增回應規則】

6. 選擇【自動回應】

7.
(1)    輸入【規則名稱】
(2)    新增條件：按下【新增條件】鈕 → 選擇【通訊協定或端點監控】→【是任一】→【端點複製到網路共用】
(3)    新增動作：選擇動作類型為【 (端點) Prevent 攔截】→按下【新增動作】鈕
(4)    視需要修改【端點通知內容】
(5)    記得按下【儲存】鈕