Как массово удалить Symantec Endpoint Protection
Обновлено 28.03.2019
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org.В прошлый раз мы с вами разобрали, как включить отображение скрытых папок и файлов, было полезно и не сложно. Сегодня мы разберем, еще одну полезную административную задачу, с которой многие из вас могут столкнуться. Есть такой "замечательный" корпоративный антивирус SEP, на мой взгляд ему можно дать 7 балов из 10. Он богат огромным функциональность, но в нем нет элементарной функции массово удалить антивирус Symantec на клиенте из консоли управления, это обидно. В данной статье я рассмотрю реализацию удаленного удаления Symantec Endpoint Protection с Windows платформ.
Постановка задачи
Необходимо на ряде компьютеров под управлением операционной системы Windows 10, произвести удаленную, автоматизированную деинсталляцию антивируса Symantec Endpoint Protection 14. Сразу отмечу, что хоть удаление и произойдет без участия пользователя, но все же ему потом нужно будет перезагрузить свой компьютер или ноутбук для удаления оставшихся хвостов.
К сожалению за годы разработки данного продукта, компания Symantec так и не удосужилась сделать функционал в консоли управления "Endpoint Protection Manager", что с моей точки зрения прискорбно?
Алгоритм удаления SEP с рабочих станций
- Вы получаете список машин для деинсталляции
- Вы создаете скрипт на PowerShell
- Создаете групповую политику, которая удалит антивирус
С первым пунктом все понятно, вы сами производите поиск компьютеров по нужным критериям, после чего формируете список.
Далее нам необходимо проверить у себя вот такой PowerShell скрипт, на какой-нибудь тестовой виртуальной машине или компьютере. Откройте оснастку PowerShell от имени администратора и выполните вот такую команду:
Данная команда будет искать приложение в имени которого установлено "Symantec Endpoint Protection"
Попробуйте запустить команду, у вас должно начаться фоновое удаление Symantec Endpoint Protection 14. Отследить его можно, открыв "Монитор ресурсов" и перейдя на вкладку "Диск". Там вы увидите, что начал работать процесс msiexec.exe.
Через минуту вы увидите, что антивируса нет и вы получили в команде статус ReturnValue 0.
Если в статусе ReturnValue вы получаете 1602 и 1603, то у вас с вероятностью 99% включена защита от удаления SEP в виде пароля на подтверждение.
Вам необходимо на сервере управления Endpoint Protection Manager изменить политику безопасности и отключить данную защиту. Открываем Symantec Endpoint Protection Manager, переходим в раздел "Clients - Policies - Password" и снимаем галку "Require a password to uninstall the client" и сохраняем настройки.
Далее создав скрипт PowerShell вам необходимо положить его на какую-нибудь сетевую шару, где он будет доступен всем. После чего вы открываете редактор групповой политики и делаете новое GPO. Переходите в раздел:
Создаем новый тригер, где задаем:
- Имя задания в планировщике
- Описание
- Ставим галку выполнения с наивысшими правами
На вкладке тригеры, задаем когда его нужно выполнять и с какой периодичностью.
И в действиях указываете, что будет выполнена программа powerShell.exe и в качестве аргумента -ExecutionPolicy UnRestricted -File "\\сетевой путь\Uninstall-sep.ps1"
После этого, когда политика сама обновиться, у пользователей на компьютере появится тригер, который в фоновом режиме удалит Symantec Endpoint Protection.
Удаление SEP с помощью msiexec
Msiexec - это процесс Microsoft Installer, в задачи которого входит деинсталляция программ в операционных системах Windows. Благодаря ему мы можем зная GUID программы удаленно произвести удаление Symantec Endpoint Protection, поместив его либо в bat файл, выполняемый через групповую политику или же можно запускать через утилиты Sysinternals. Для того, чтобы узнать GUID SEP вы можете открыть редактор реестра Windows, где нужно перейти по пути:
Далее зная GUID комбинацию вы выполняете команду в скрипте:
Делаете bat файл и так же назначаете его через групповую политику, как вам удобнее, у клиента в пассивном режиме будет удален симантек.
Удаление SEP через SCCM
Произвести процедуру удаления антивируса Symantec Endpoint Protection, можно и средствами SCCM. Для этого нужно создать пакет в библиотеке программного обеспечения. Далее к пакету применяем программу с кодом командной строки msiexec /x {2B448775-6A9D-4594-A59F-5F3076B67309} /quiet /norestart /l*v %temp%\SEP_UN.log
На вкладке "Требования" указываем, что применяться будет к любой платформе, у вас могут быть свои требования.
В параметрах окружения, активируйте пункту:
- Запустить с правами администратора
- Работать с UNC именем
- Требование для запуска - в любом случае
Скрываем от пользователей данное задание.
В настройках развертывания проверяем применение к коллекции.
Задаем время удаления Symantec Endpoint Protection
И настраиваем взаимодействие с пользователем.
На этом у меня все, мы с вами разобрали несколько методов, удаления Symantec Endpoint Protection 14. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Популярные Похожие записи:
Как удалить Internet Explorer (IE) из Windows Server и Windows 10
Как массово поменять пароль локального администратора в домене
Администрирование SCCM (System Center Configuration Manager)
Как запустить скрипт PowerShell в Windows
Ошибка This action is only valid for that are currently installed
Как обновить сертификат на WAP и ADFS серверах
Добавить комментарий