Jeden z klientów zdecydował się na Forefront Client Security. Część wdrożenia polega, jasna sprawa, na usunięciu obecnie używanego softu – F-Secure i e-Trust. Na stronie F-Secure dostępny jest tool, który odinstalowuje usługę. Jak dotąd jak po maśle.
Dalej zaczynają się schody. Na początek wersja kliencja zainstalowana na XP:
Zacznę od ręcznej deinstalacji tego ustrojstwa. Jak większość programów – ten również ma swój wpis w ‘dodaj/usuń programy’ – tutaj jednak niemiłe zaskoczenie: przy próbie deinstalacji jest się informowanym o tym, że programu nie można usunąć. Powód: polisy na to nie pozwalają. Po przejrzeniu GPO i ustawień w konsoli zarządzania F-Secure nie stwierdzono żadnych ustawień, które by to potwierdzały. Okazuje się, że jest to zupełnie durny komunikat, a w praktyce wystarczy zatrzymać usługi F-Secure. Są 3 aplikacje: scaner, gateway i updater. Należy usuwać je właśnie w wymienionej kolejności. Podczas usuwania jednego z komponentów, deinstalaor znów uruchamia usługi od pozostałych, a więc za każdym razem trzeba wyłączać to, co zostało. To pierwszy debilizm. kolejny jest taki, że jak już się to wszystko zrobi, i zrestartuje kompa, okazuje się, że nie działa “local users and groups” czyli lusrmgr.msc, pokazując komunikat: “Library not registered”. Okazuje się, że świetny deinstalator zapędza się co nieco, wywalając jednego z podstawowych typelibów – ActiveDs.tlb. Należy więc zarejestrować go ponownie wprowadzając takiego reg’a:


Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}]

[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0]
@="Active DS Type Library"

[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0]

[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0win32]
@="C:\WINDOWS\system32\activeds.tlb"

[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0FLAGS]
@="0"

[HKEY_CLASSES_ROOTTypeLib{97d25db0-0363-11cf-abc4-02608c9e7553}1.0HELPDIR]
@="C:\WINDOWS\system32\"

Milutko, co?

Jedziemy zatem dalej – soft zainstalowany jest na 5oo kompach, ręczna walka z takim shitem raczej odpada. No ale ww. tool na pewno to upraszcza? Faktycznie – trochę, tak. Po uruchomieniu pojawia się ekran “do you agree”, który trzeba kliknąć, po czym odinstalowuje całego f-secure – nie pomijając usunięcia ww. typeliba. No ale nadal ręczna instalacja wymagana – bo zdalnie czegoś takiego raczej się nie wykona [przełączników brak]. Udało mi się odkryć, iż ten pliczek to de facto jakis self-extract. A więc ręcznie wypakowałem aby odkryć wewnątrz plik .exe i .cfg. Tym razem da się uruchomić zdalnie, bo nie ma żadnego ekranu agreementu – odinstalowuje, restartuje, nie ma… czyżby? otóż okazuje się, że pozostaje usługa F-Secure Update czy jakoś tak. Pełna profeska. Po przejrzeniu pliq cfg można znaleźć wykomentowane linjki czegoś co się nazywa BackWeb z informacją w stylu “pominięte, bo jak coś jeszcze korzysta z BackWeb to już nie będzie działać”. Tak się składa, że w tej firmie się nie korzysta z tego, więc można odkomentować i zapuścić. Ale to jeszcze nie koniec: przecież normalne jest, że aby odinstalować hurtem trzeba albo zrobić to via GPO albo zdalnie – np. psexec’iem. I tu kolejna niespodzianka:
jeśli programik deinstalujący uruchomi się jak ktoś jest zalogowany, wszystko trwa ok. 1-2 min. Jeśli jednak uruchomi się kiedy na stacji nie jest zalogowany nikt, deinstalacja trwa ok. 15-2o min (SIC!). Darowałem sobie dochodzenie co też takiego blokuje ten deinstalor.
Dobrze, że mowa tu o kilqset deinstalacjach, bo przy 2o-3o po prostu rzucając qrvy zrobiłoby się to ręcznie.

Teraz wersja serwerowa:
tutaj sytuacja jest dużo lepsza – deinstalaor nie wymaga restartu, zatrzymywania usług i generalnie jakoś to wszystko zachowuje się całkiem normalnie… tylko na niektórych serwerach zostają usługi updatera i trzeba ręcznie rezać z rejestru.

O ile o F-Secure miałem raczej dobrą opinię – po dzisiejszym dniu radykalnie się to zmieniło.

Spread the love

Comments (7)

  1. Odpowiedz

    to ja jeszcze dodam jedną niespodziankę z F-secure dzięki której tak z rok temu nauczyłam sie kilku nowych przekleństw ;)
    otóż instalacja centralnego miejsca dowodzenia F-secure bardzo źle się kończy gdy instalujemy to wszystko poprzez zdalny pulpit – mi przynajmniej potem żadna stacja nie potrafiła poprawnie zarejestrować się w konsoli – tak jakby się w ogóle nie łączyły; gdy natomiast instalacja jest przeprowadzana Face to face ;) czyli po prostu siedząc w temperaturze 16 stopni w serwerowni wszystko potem podłącza się idealnie

    ps.
    tak ogólnie to też jestem zadowolona z fsecure:)

  2. Odpowiedz

    nie wiem czy to zadowolenie to serio czy sarkazm, ale powiem jako ciekawostkę, że serwery z zainstalowanym f-secure pokazywały ciągle bardzo wysokie obciążenie procesora. po odinstalowaniu i przejściu na FCS nagle okazało się, że mają jeszcze spory zapas mocy…
    nie testowałem tego wnikliwie, ale ten soft wydaje się wyjątkowo wredny.

  3. Odpowiedz

    trochę sarkazm bo po tamtych wydarzeniu już zawsze nieco nieufnie podchodziłam do tego produktu; choć tego wzrostu obciążenia to nie zauważyłam specjalnie u mnie – ale może dlatego że zawsze były to maszyny z dość dużym zapasem sprzętowym kupowane

  4. kojn

    Odpowiedz

    U siebie tez wdrazam Forefronta i oczywiscie podobny problem z deinstalacja Symanteca. Skurczybyk ma hasło które (na obecną moją wiedzę) trzeba wpisać ręcznie Plus serwis który nie daje się ubić deinstalatorowi. Nie mam żadnego tula do zarządzania starym symentekiem wieć na razie wdożenie moją ulubioną metodą “wszyskie nowe oraz te przy których siedzę przy okazji” ;)

    Tak czy siak, zobaczymy jak się forefront sprawdzi. na razie róźnica jest wielka. Obciązenie w trakcie skanowania 80% procka w symantecu … około 5% we ForeFroncie.

  5. Odpowiedz

    Mi F-Secure zblokował port UDP i 30 minut siedziałem aż cholerstwo wyciąłem za pomocą programu czyszczącego rejestr – nigdy więcej. Polecam Komodo Security – jak dla mnie prosty przejrzysty interface

  6. DYREKT0R

    Odpowiedz

    Odintalowanie prowadzi się w trybie awaryjnym ,
    faktycznie skutecznie ale co ze zdalnym … ?

    Pozdrawiam

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.