Jeden z klientów zdecydował się na Forefront Client Security. Część wdrożenia polega, jasna sprawa, na usunięciu obecnie używanego softu – F-Secure i e-Trust. Na stronie F-Secure dostępny jest tool, który odinstalowuje usługę. Jak dotąd jak po maśle.
Dalej zaczynają się schody. Na początek wersja kliencja zainstalowana na XP:
Zacznę od ręcznej deinstalacji tego ustrojstwa. Jak większość programów – ten również ma swój wpis w 'dodaj/usuń programy’ – tutaj jednak niemiłe zaskoczenie: przy próbie deinstalacji jest się informowanym o tym, że programu nie można usunąć. Powód: polisy na to nie pozwalają. Po przejrzeniu GPO i ustawień w konsoli zarządzania F-Secure nie stwierdzono żadnych ustawień, które by to potwierdzały. Okazuje się, że jest to zupełnie durny komunikat, a w praktyce wystarczy zatrzymać usługi F-Secure. Są 3 aplikacje: scaner, gateway i updater. Należy usuwać je właśnie w wymienionej kolejności. Podczas usuwania jednego z komponentów, deinstalaor znów uruchamia usługi od pozostałych, a więc za każdym razem trzeba wyłączać to, co zostało. To pierwszy debilizm. kolejny jest taki, że jak już się to wszystko zrobi, i zrestartuje kompa, okazuje się, że nie działa „local users and groups” czyli lusrmgr.msc, pokazując komunikat: „Library not registered”. Okazuje się, że świetny deinstalator zapędza się co nieco, wywalając jednego z podstawowych typelibów – ActiveDs.tlb. Należy więc zarejestrować go ponownie wprowadzając takiego reg’a:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}]
[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0]
@="Active DS Type Library"
[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0 ]
[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0 win32]
@="C:\WINDOWS\system32\activeds.tlb"
[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0FLAGS]
@="0"
[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0HELPDIR]
@="C:\WINDOWS\system32\"
Milutko, co?
Jedziemy zatem dalej – soft zainstalowany jest na 5oo kompach, ręczna walka z takim shitem raczej odpada. No ale ww. tool na pewno to upraszcza? Faktycznie – trochę, tak. Po uruchomieniu pojawia się ekran „do you agree”, który trzeba kliknąć, po czym odinstalowuje całego f-secure – nie pomijając usunięcia ww. typeliba. No ale nadal ręczna instalacja wymagana – bo zdalnie czegoś takiego raczej się nie wykona [przełączników brak]. Udało mi się odkryć, iż ten pliczek to de facto jakis self-extract. A więc ręcznie wypakowałem aby odkryć wewnątrz plik .exe i .cfg. Tym razem da się uruchomić zdalnie, bo nie ma żadnego ekranu agreementu – odinstalowuje, restartuje, nie ma… czyżby? otóż okazuje się, że pozostaje usługa F-Secure Update czy jakoś tak. Pełna profeska. Po przejrzeniu pliq cfg można znaleźć wykomentowane linjki czegoś co się nazywa BackWeb z informacją w stylu „pominięte, bo jak coś jeszcze korzysta z BackWeb to już nie będzie działać”. Tak się składa, że w tej firmie się nie korzysta z tego, więc można odkomentować i zapuścić. Ale to jeszcze nie koniec: przecież normalne jest, że aby odinstalować hurtem trzeba albo zrobić to via GPO albo zdalnie – np. psexec’iem. I tu kolejna niespodzianka:
jeśli programik deinstalujący uruchomi się jak ktoś jest zalogowany, wszystko trwa ok. 1-2 min. Jeśli jednak uruchomi się kiedy na stacji nie jest zalogowany nikt, deinstalacja trwa ok. 15-2o min (SIC!). Darowałem sobie dochodzenie co też takiego blokuje ten deinstalor.
Dobrze, że mowa tu o kilqset deinstalacjach, bo przy 2o-3o po prostu rzucając qrvy zrobiłoby się to ręcznie.
Teraz wersja serwerowa:
tutaj sytuacja jest dużo lepsza – deinstalaor nie wymaga restartu, zatrzymywania usług i generalnie jakoś to wszystko zachowuje się całkiem normalnie… tylko na niektórych serwerach zostają usługi updatera i trzeba ręcznie rezać z rejestru.
O ile o F-Secure miałem raczej dobrą opinię – po dzisiejszym dniu radykalnie się to zmieniło.
basiaw7
nExoR
basiaw7
kojn
pow3r_shell
Bartek
DYREKT0R