{"id":1300,"date":"2018-05-05T17:48:05","date_gmt":"2018-05-05T15:48:05","guid":{"rendered":"http:\/\/blog.m-ri.de\/?p=1300"},"modified":"2018-05-03T11:11:28","modified_gmt":"2018-05-03T09:11:28","slug":"benachrichtigungen-erhalten-wenn-der-symantec-endpoint-protection-manager-sepm-keine-virendefinitionen-aktualisiert","status":"publish","type":"post","link":"http:\/\/blog.m-ri.de\/index.php\/2018\/05\/05\/benachrichtigungen-erhalten-wenn-der-symantec-endpoint-protection-manager-sepm-keine-virendefinitionen-aktualisiert\/","title":{"rendered":"Benachrichtigungen erhalten wenn der Symantec Endpoint Protection Manager (SEPM) keine Virendefinitionen aktualisiert"},"content":{"rendered":"

Seit Jahren benutzen wir die Symantec Endpoint Protection in meiner Firma. Aktuell die Version 14.0.1.
\nEigentlich macht das Ding was es soll. Aber…\u00a0<\/em>Es gibt einen Fall in dem im Werkzeug Koffer von Symantec<\/em> kein Tool vorhanden ist das Problem zu l\u00f6sen.
\n<\/em><\/p>\n

Was passiert?<\/p>\n

Eigentlich m\u00f6chte man ja von einem Antivirensystem nichts h\u00f6ren und sehen. Es soll funktionieren und das war es.
\nGanz besonders in einer Firma in der 5, 10, 20 und mehr Clients vorhanden sind.
\nDer SEPM<\/em> (Symantec Endpoint Protection Manager<\/em>), benachrichtigt much brav wenn auf Stations nach mehreren Tagen noch alte Virendefinition sind, oder auch eine bestimme Anzahl von PCs erreicht wurden, die alte Virendefinitionen haben. Oft sind das bei uns Maschinen, die unterwegs sind, oder lange nicht eingeschaltet wurden.<\/p>\n

Aber es gibt einen Fall in dem der SEPM<\/em> vollkommen versagt: Wenn n\u00e4mlich der SEPM <\/em>selber keine neuen Virendefinitionen erh\u00e4lt. Warum auch immer!<\/strong><\/p>\n

Ich hatte in den letzten Jahren mehrfach den Fall, in denen der SEPM<\/em> keine neuen Virendefinitionen von Symantec<\/em> geladen hat. Die Gr\u00fcnde waren vielseitig. Mal hatte der SEPM<\/em> kein Internet aufgrund eines Konfigurationsfehlers, mal startete der SEPM<\/em> gar nicht nach einem Windows Update.
\nAber in den meisten F\u00e4llen war der SEPM<\/em> einfach nicht f\u00e4hig, die neuen Signaturen zu laden obwohl er anzeigte, dass welche zum Download bereit stehen.<\/p>\n

Der letzte Fall ist besonders nervig. Ich habe zwei Support-Cases zu dem Thema schon offen gehabt, aber die redlich bem\u00fchten Supporter haben dennoch nichts herausbekommen.
\nNach jeweiligem Neustart des Dienstes oder des Servers, lief es fast immer wieder. Also hatte sich scheinbar nur irgendwas intern „verklemmt“!<\/p>\n

Dieser Fall ist aber gef\u00e4hrlich. Man bekommt von der ganzen Sache nichts mit, bis eine bestimmte Anzahl von PCs nach ein paar Tagen eben alte Virendefinitionen haben. In der Einstellung bei uns sind das 10% der Maschinen nach 4 Tagen. Man kann das zwar herunter dr\u00fccken, aber diese Warnungen nerven meistens nur ohne triftigen Grund.
\nUnd man kann in diesem Fall nicht mal testweise einfach den SEPM<\/em> neu starten.
\nEigentlich will ich keine Meldung und das System soll erstmal selbst versuchen erkannte Problem zu l\u00f6sen.
\nVor allem habe ich keine Lust irgendjemanden zu beauftragen, der pro Tag einmal diese bl\u00f6de Konsole startet und nachschaut was los ist. \u00dcber alles andere bekomme ich ja auch Emails.<\/p>\n

Ich finde solch eine lange Latenz, in der es nicht bemerkt wird, dass die AV-Signaturen alt sind, einfach gef\u00e4hrlich.
\nAber Bordmittel dar\u00fcber zu warnen gibt es nicht!
\nZudem trat dieser Fall ca alle 6-9 Wochen immer einmal wieder auf.
\nUnd das nervt.<\/strong><\/em><\/p>\n

Also habe ich mich auf die Suche gemacht und habe f\u00fcr den SQL Server in dem unsere Daten gehalten werden zwei kleine Jobs geschrieben die nachfolgend beschreiben werden.
\nDiese Jobs laufen nun einige Monate und haben bereits mehrfach erfolgreich dieses Problem „selbstt\u00e4tig“ behoben…<\/p>\n

Job 1:\u00a0Symantec Virus Signature Check<\/h4>\n

Dieser Job l\u00e4uft jede Stunde einmal.
\nDer Code macht einfach folgendes.<\/p>\n