[8.165][BUG][CLOSED] Astaro Endpoint Secuty Agent

This is correct, as for any other services that run on that machine, and it's doable only if the user has administrative rights. A normal user shouldn't be able to stop this service. However they can kill the EPSecNotifier process even without administrative rights, but the EPSecNotifier is not required to enforce device access policies. If you kill that process you won't see the pretty balloon messages anymore, but the agent will still be doing it's job.

interesting...Does that mean that new policies will be enforced even though the program is not "running"?

i think thats not completly correct, you can kill the agent, named "EPSecNotifier" then the baloontips stop working, but if you kill the "EPSecAgent" you kill the complete Endpoint security. After that you can use all devices connected to that pc ... i tried it sometimes now ...

Robert

Thanks Rob. If that's the case then it looks like a bug to me. Someone is able to kill the process and work around the problem [:)]

As a normal user(no administrator rights) you shouldn't be able to stop the Astaro Endpoint Security Agent service. If you have administrator rights then you can kill/stop/start/restart it.

If the Astaro Endpoint Security Agent service is not working, then nothing gets enforced. It's like not having an agent installed at all.

Above, I was saying that a normal user(no administrative rights) is able to kill just the EPSecNotifier. This service runs at an user level and it's used for the balloon pop-ups and user notifications. This service is not required by the agent to do its job.

Let me try that rfarcas and will let u know

Hi Rfarcas

I've tried the following:

1)Enabled the Guest account on my Windows 7 Ultimate 64bit with SP1
2)switch user to guest and kill the process
3)plug a USB in
4)change the policy to read only
5)wait for couple of minutes and try to copy a file
6)I successfully copied over the file

What is the name of the service so I can check that it's running?  How can I make sure that changes on ASG are being enforced on the Guest account since I don't have the icon( therefore ability to see last updated configuration)

I believe there are ways to protect processes from even Administrators on a Windows machine, esp Win7.

@Simon Shaw:

Only on Windows Vista and Windows 7, only specially signed processes made by special companies (decided by Microsoft) can be protected. Otherwise 'evil' rootkit methods
can be used to protect processes (by adding a hook on the TerminateProcess API). 
These methods would be detected as threats by anti-virus software. The hooking method is
actually used by anti virus products to protect their own processes. 
A computer administrator could as well uninstall the agent to obtain full to his devices.

@wingman:
The name of the service is EPSecAgent. The reason that the policy didn't get enforced might be because of three things:
a) You killed the EPSecAgent when you were using the administrator account
b) You didn't wait long enough. The agent uses a logarithmic function for determining the frequency at which it contacts the ASG. If it's been running for a long time and nothing new happened on that machine, it can take up to half an hour to contact the ASG and retrieve new policies.
c) Something went terribly wrong on the ASG server and the /var/mdw/scripts/epsecd daemon is not running anymore, hence nothing gets reflected from the ASG to the agents. If this it the case I'll need the full logs from /var/log/epsec