Jump to content

Vadimon

Members
  • Content Count

    65
  • Joined

  • Last visited

About Vadimon

  • Rank
    Candidate
  1. Спасибо, но времени собирать трассировки со всего подряд нет. Вопрос был именно о том, каков рекомендуемый порядок установки патча, и он, как я понял, заключается в том, чтобы тупо ждать, что клиенты обновятся сами, без каких либо дополнительных действий на KSC (ну кроме одобрения патча). Проблему решил созданием установочного пакета для MR4 и назначения его на автоматическую установку. Для машин, на которых патч встал, процедура установки повторно запускаться не будет, на тех, которых не встал - запустится. Вероятно это дольше, чем просто распространить патч установочным пакетом, но зато одним действием решает вопрос установки и на новые компьютеры, и обновления на существующих. Для желающих распространить только патч установочным пакетом нашлась статья https://support.kaspersky.ru/12416#block0, только почему-то её никто не упомянул как способ распространения MR4.
  2. На компьютерах, где политикой включен KSN и были обновления за последний три дня, везде MR4 поставился. На компьютерах, где политикой отключен KSN, MR4 нигде не установился. После установки патча 1855, при отключенном KSN, обновления локальной задачей как с параметром " Критические и одобренные ... ", так и "Только одобренные ...", MR4 не установился После установки патча 1855, при включенном KSN, обновления локальной задачей как с параметром " Критические и одобренные ... ", так и "Только одобренные ...", MR4 установился Без патча, при отключенном KSN, обновления локальной задачей как с параметром " Критические и одобренные ... ", так и "Только одобренные ...", MR4 не установился Без патча, при включенном KSN, обновления локальной задачей как с параметром "Критические и одобренные ... ", так и "Только одобренные ...", MR4 установился Чтобы получить все комбинации пришлось на нескольких машинах попробовать, но пока мой вывод такой: от патча никакого толку, параметр Критические и одобренные / Только одобренные не влияет (видимо, из-за того, что у меня на сервере обновление одобрено), всё решает KSN. Прилагаю
  3. Каков рекомендуемый порядок установки патча MR4 на KES 10 SP1 MR3 с помощью KSC? У нас установлен KES 10 SP1 MR3 с помощью задачи автоматической установки в KSC. В KSC - Дополнительно - Обновления и патчи ЛК - Программные модули присутствует файл kes10sp1mr4.msp В KSC - Дополнительно - Управление программами - Обновления программного обеспечения - есть пункт Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 4 for Windows. Для него устанволено одобрение и принято лицензионное соглашение. На некоторые компьютеры MR4 как-то установился без какого-либо вмешательства. В настройках KES (где-то через политику, где-то вручную) установлено Загружать обновления модулей программы, Устанавливать критические и одобренные, источник обновлений - KSC. Несколько раз запускаю обновление, но никакого результата. Аналогично с новыми компьютерами. На новый компьютер автоматически устанавливается SP1MR3 через задачу автоматической установки, после чего базы автоматически обновляются до последней версии задачей, распространненой из KSC политикой, MR4 не при этом встаёт, хотя с момента установки комьпютера прошло уже несколько дней, он постоянно работал и неоднократно перезагружался.
  4. Вы так говорите, как будто я этот подход сам придумал. Когда настраиваешь политику ограниченного использования программ средствами GPO, по умолчанию сразу настривается разрешение на systemroot и programfiles и режим, когда у пользователей есть запрет, а у администраторов - нет. Я просто пытаюсь перенсти эту логику на KES, чтобы собрать все настройки для защиты от вирусов в одном месте В любом случае большое спасибо! Вы продвинули мои знания в этой области существенно дальше, чем вся команда техподдержки
  5. Ещё вопрос по белым спискам. Когда настраивал ограничения средствами GPO, делал просто, разрешал всё, что в %systemroot% и в %programfiles% по той логике, что туда права на запись есть только у админов, а если уж админ туда что-то запихнул, то пользователю это точно можно запускать. Как выяснил постом выше, корпоративный чат Pandion в whitelist не входит, и это далеко не самая редкая их программ, что мы используем. Безопасно ли разрешать в контроле запуска запуск всего из c:\program files\, или же всё-таки каждый специфический .exe придется вручную вносить в категорию по хэшу? Можно как-то настроить, чтобы на одной и той же машине у простых пользователей не было возможности запускать всё подряд, а у администраторов - было? В настройках правила Разрешить всё не могу настраивать пользователей, а как создать другое правило, которое распространялось бы на любые программы, не знаю.
  6. Ну вот смотрите, ещё один косяк. Создаю в KSC категорию программ, называю её KL-категории. Захожу в неё, выбираю добавить KL-категорию, выбираю галочками, например, Other Software и все её подкатегории. При этом добавляется только категория Other Software. Ну я от такого поведения, значит, ожидаю, что раз уж при этом добавилась только основная категория, когда я выбирал всё, значит подразумевается, что и всё, что в неё в входит. Ан-нет. Пытаюсь запустить Softperfect network scanner (это для примера, чтобы можно было повторить), а он не запускается. Долго пытаюсь понять, в конце концов добавляю отдельно Other Software\Applications, trusted ...., хотя в первый раз я же его тоже выбирал. А вот теперь начинает запускаться. Добавил все категории в итоге. Пытаюсь запустить Pandion 2.6.114. Он блочится. Отключаю контроль запуска. Запускается. Смотрю рейтинг в контроле активности - более 10000 пользователей, автоматически попадает в доверенные. А вот в группу Applications, trusted by KSN rating в контроле запуска почему-то не попадает. Ну что за отношение к пользователям такое? То там, то там, вылазят такие мелкие косячки, на разбирательство с которыми уходят драгоценные часы времени. Вот это, до этого с звездочками в путях исключениях косяк, до этого в невозможности запрет по расширению поставить. Копаюсь глубже по форуму - да эти проблемы ещё несколько релизов назад поднимались, но не исправлений ни в ПО, ни в документации. Я мог бы и в саппорте тикет создать, но там, возможно, та же история будет (у меня один тикет три релиза ждал с ответом "будет исправлено в в следующем релизе"). Из того, что здесь на форуме обсуждается, в итоге к аналитикам, менеджерам и разработчикам ничего на доработку не попадает, хотя это реальные потребности
  7. Я, видимо, Вас неправильно понял. Когда вы писали, что я должен довериться KL-категориям, я понял, что вы про KSN, а он только в контроле активности. Тем более, что основная инстркция ЛК по защите от шифровальщиков призывает использовать контроль активности, добавив нужные программы в доверенные, а осталным запретить операции с файлами, что тоже можно назвать белым списком. Что-ж возвращаюсь к контролю запуска. Начал пробовать. Сразу возникает мысль о том, что проанализированное ПО, попавшее KL-категории - это лишь часть KSN и было бы неплохо иметь правило в контроле запуска, для программ, имеющих в KSN более определенного числа установок. Я бы, например, доверял любому ПО с более чем 1000 установок.
  8. И ещё вопрос. Есть ли возможность в KES узнать репутацию файла, как это возможно в KIS через контекстное меню файла? Или может быть на каком-нибудь сайте, отправив сам файл или его MD5? Просто у меня есть специальное ПО, которое, вроде бы, достаточно распространено, но контроль активности совместно с KSN не дали ему достаточного для запуска рейтинга. Хочется понять, почему.
  9. Прочитал несколько статей про KSN и аналогичные технологии других производителей, но все они носят маркетинговый характер, поэтому я не могу найти ответа на простые вопросы. Итак, несколько модельных ситуаций - ПО используется на миллионе компьютеров, поэтому его репутация высока, ПО можно доверять. - Программа задетектирована ЛК как вредоносная, её репутация сразу становится неподнимаемо низкой. - На программе сработало какое-то эвритическое или поведенческое правило - репутация программы понижается. - Пользователь отправил программу на проверку в ЛК - репутация программы понижается, по крайней мере до её анализа специалистами. Но эта ситуация никак не относится к блокировке 0day-уязвимостей. Как уже писал в другой теме, написать ПО, которое обойдет эвристику и мониторинг системы вполне возможно. Маркетологи пишут, что KSN может понизить репутацию файла, если на компьютере возникли какие-то проблемы. Пытаюсь понять, как такое может быть? Например, вирус обошел проактивные технологии антивируса, заразил компьютер, теперь у меня куча зашифрованных файлов. Как антивирус сам поймёт, что у меня проблема, и что причиной проблемы стал именно конкретный запущенный файл? Задним числом, когда кто-то уже отправил эту програму на проверку, или его даже уже внесли в базы - такая информация будет бесполезна для защиты. Теперь представим ситуацию. Я на предприятии написал собственную программу, или сделал свой установщик для программы, или просто скрипт администирования. Сначала у этой программы никакая репутация. Станет ли репутация достаточной, когда эта программа запустится на 10 компьютерах, на 100, на 200? Смогу ли я после этого убрать программу из списка ограничений, чтобы для её работы в контроле активности было достаточно репутации из KSN? И другую ситуацию. Злоумышленник пишет программу специально для атаки на нашу организацию. Злоумылшенник знает какой у нас антивирус, поэтому может написать решение, которое его обойдет. Вот вредонос запустился на одном компьютере, на втором, на десятом. Мы можем долго не замечать проблем, ведь это может быть просто некое шпионское ПО. Есть ли в таком случае толк от KSN? Или же до тех пор, пока администратор не изловит хотя бы один экземпляр, и не отправит его на обработку, репутация файла не будет понижаться?
  10. Как, вручную. В проводнике нахожу файл и запускаю. Аналогично с .exe файлами установщиков, которые я сделал сам, поэтому попавшие сразу в группу сильных ограничений. Итак, разобрался. Если прописываю путь вида \\server\*.cmd, или \\server\*.*, то он не срабатывает. Если прописываю путь вида \\server\*\*.cmd или \\server\*\*.*, то он уже срабатывает, причем на папки любого уровня на сервере, а не только первого. Странноватая логика разбора пути к файлам, но с этим можно жить, если бы это было толково расписано в какой-нибудь из статей базы знаний. Есть статья https://support.kaspersky.ru/11295, но там про Исключения из проверки, где есть галочка про включение подпапок, а варианта для Доверенных программ, где указывается только путь, не приведено. Только пока всё-равно не понял, есть ли возможность повысить уровень доверия к файлу в списке раз и навсегда, чтобы больше не прописывать его ни в Контроль активности - правила программ - Настройка, ни в Исключения и доверенная зона. Просто политик несколько и будет достаточно муторно каждый раз, когда обнаружится файл, для которого в KSN нет доверенного статуса, добавлять его во все политики (хоть в доверенные в контроле активности, хоть в исключения). В целом убедился в том, чего и боялся. Процедура составления белого списка ПО в разы муторнее прописывания запрета на запуск незнакомых скриптов. Но если была бы возможность просто сделать блокировку по расширению, это бы просто несколько повысило бы уровень защиты. А вот то, что некоторые программы неожиданно оказались не достаточно доверенными в KSN лишило на полдня возможности работать целое подразделение.
  11. А что насчет ? Нашел, где включить логи, в логах написано,что скрипт попал в группу сильные ограничения, хотя он попадает под путь \\server\*.cmd
  12. Не совсем понял, как именно это нужно сделать. В политике поставил Автомотически помещать неизвестные программы в группу Сильные ограничения. В доверенная зона - доверенные программы - добавил путь \\server\*.cmd - не контролировать активность программ. В результате скрипт в списке исполняемых файлов пометился как недоверенный, и программа установки, запущеная скриптом, не смогла ничего установить. Запустил установщик напрямую - все сработало, так как сам установщик вполне доверенный. При этом в логах компьютера в KSC я не вижу никакой информации о том, что скрипт был ограничен. В настройках уведомлений контроля активности в политике стоит сохранять всё в локальном журнале, но не сохранять в журнале событий Windows. А какой из этих журналов всё-таки в итоге отображается в KSC?
  13. У меня есть папка с доверенным софтом, я сделал категорию программ, автоматически пополняемую из этой папки. Но разные исполняемые файлы из этой папки получили разный уровень доверия. Для каких то вообще значится, что уровень доверия не определен. А там лежат установщики, поэтому если какой-то из них не будет иметь нужного уровня доверия, как я понимаю, контроль активности просто не даст произвести установку, заблокировав доступ к файлам и реестру. Как мне сделать, чтобы для них для всех стал максимальный уровень доверия? Вообще, очень неудобно прописывать в политику ограничения на программы и типы защищаемых файлов, особенно если таких политик несколько. Есть ли возможность скопировать настройки контроля активности из одной политики в другую, не трогая при этом настройки других компонентов?
  14. А какой из этих вариантов правильнее для работы с шифровальщиками? Я не знал, какой выбрать, поэтому выбрал автоматически. Всегда предполагал, что автоматический выбор действия подразумевает, что это сделает антивирус, а не пользователь, как в этом случае. Кстати, если выбираю Поместить на карантин, окошко всё-равно выскакивает. Зато в логах есть запись об откате вредоносных действий. А если выбираю "завершить работу вредоносной программы", то окошка нет, но вредонос не удаляется, в логах нет записи об откате вредоносных действий, так как они, видимо, не откатывались Видимо, неотключаемое через настройки окошко является неотъемлемой частью процедуры лечения, а лечение запускается только пр помещении на карантин.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.