none
SCEP фантомные политики на клиентах RRS feed

  • Вопрос

  • Всем привет!

    Есть SCCM 2012 r2 SP1 с поднятой ролью SCEP. Заметил что в свойстах клиента антивируса на ПК информация о примененых политиках самого анивируса имеет вид:

    хотя реально на клиента назначена только дефолтовая политика:

    в логе EndpointProtectionAgent есть события применения политики:

    State 1 and ErrorCode 0 and ErrorMsg  and PolicyName Default Client Antimalware Policy
    _040eaf37-3ec3-4b8c-b728-e93974d47fe1
    _44102670-07c2-49f3-887c-aad8df576004
    _9a7b92b2-8abe-4d74-8ccf-5fe7cf8c9d34
    _9c525388-db06-426c-89d1-790f942bcdba
    _b4f21336-0663-4601-9148-cacd94bfc007
    _c9e956bf-7165-429d-ba08-752367d2fa5c and GroupResolveResultHash F7B41EF0150F3DD56D7B5DA1CF6F15847944BE90 is NOT changed.

    и в файле EPAMPolicy.xml есть эти политики:

    <?xml version="1.0"?>

    -<SecurityPolicy LastModifiedBy="FEP-S" CreatedBy="Microsoft" IsBuiltIn="0" Description="XML contains all the AM Policy settings" Version="1" Name=" Default Client Antimalware Policy _040eaf37-3ec3-4b8c-b728-e93974d47fe1 _44102670-07c2-49f3-887c-aad8df576004 _9a7b92b2-8abe-4d74-8ccf-5fe7cf8c9d34 _9c525388-db06-426c-89d1-790f942bcdba _b4f21336-0663-4601-9148-cacd94bfc007 _c9e956bf-7165-429d-ba08-752367d2fa5c" xmlns="http://forefront.microsoft.com/FEP/2010/01/PolicyData">

    Как это пофиксить кто нить в курсе?

    Заранее спасибо!

    29 декабря 2016 г. 13:02

Все ответы

  • День добрый.

    Попробуй ради теста удалить локальную политику

    del %WinDir%\system32\GroupPolicy\machine\registry.pol & gpupdate /force
    


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram

    29 декабря 2016 г. 13:44
    Модератор
  • День добрый.

    Попробуй ради теста удалить локальную политику

    del %WinDir%\system32\GroupPolicy\machine\registry.pol & gpupdate /force


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram

    Да и убедитесь (gpresult /h ... ) что через доменные политики / реестром - SCEP не управляется.

    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram

    29 декабря 2016 г. 13:50
    Модератор
  • Спасибо за ответ!

    Политику удалил и обновил - но это не помогло...

    В групповых политиках ничего по поводу SCEP не нашел...

    Может что ещё посоветуете? Как можно перегенирировать файл EPAMPolicy.xml на основе актуальных политик?

    29 декабря 2016 г. 14:34
  • Да в общем его CCM-клиент притаскивает и обновляет, но обновляет, вероятно, если есть что обновлять, например изменились настройки политик добавились политики.
    Просто отложите в сторонку файл EPAMPolicy.xml с клиента.
    Создайте новую политику, Назначте на клиента.

    Дерните обновление политик компьютера из клиента CCM.

    p.s.

    - Дефлотные политики лучше не трогать, любые.

    - Лучше логи целиком выкладывать, EPAMPolicy.xml), EndpointProtectionAgent.log


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram

    29 декабря 2016 г. 15:17
    Модератор
  • Спасибо за Ваш ответ!

    Извините что долго не отвечал - праздники и все дела. В домене сейчас есть групповые политики которые частично управляют SCEP-ом. Вы не подскажите связаны ли как либо Policy Name  с quid-ами групповых политик?

    3 января 2017 г. 14:48
  • Спасибо за Ваш ответ!

    Извините что долго не отвечал - праздники и все дела. В домене сейчас есть групповые политики которые частично управляют SCEP-ом. Вы не подскажите связаны ли как либо Policy Name  с quid-ами групповых политик?

    С прошедшими! :)

    Глубоко не копал, но уверен не сложно проверить.
    Посомтрите какие ветки реестра меняет GPO, (я обычно в шаблонах политики смотрю или если шаблонов нет, так он прямо разделами реестра в GPMC  покажет). Начните с HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Security Client\LastSuccessfullyAppliedPolicy

    Или ещё проще - задизаблить GPO, проверить, может быть переставить клиента SCEP.


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram

    3 января 2017 г. 15:33
    Модератор