Jump to content
Venberg

KES 10 Ка запретить запускать контрофактное программное обеспечение?

Recommended Posts

Добрый день.

 

У нас установлен KSC и KES 10. Как антивирус это все работает.

Но вот никто не знает как запретить пользователям запускать контрафактное программное обеспечение на ПК?

Политики "Контроль запуска программ" и "Контроль активности программ" не позволяют сделать для Пользователя политику запретить все и разрешить только разрешенное на одном выбранном компьютере. Бьёмся над этим уже НЕДЕЛЮ. Тем временем пользователи закачивают к себе контрафактные версии ПО и вполне легально его запускают. Ибо ПО проходит по категориям программ у Касперского.

Администратор уже замучился заниматься чисткой. Пользователи начали прятать ПО по временным папкам. Про разнообразных IM агентов из временных папок браузера интернета, я уже просто молчу. Они попадают в категории "группа неопределенна" и спокойно запускаются.

Share this post


Link to post

хм.. надо идти от обратного.

забрать права админов на ПК

запретить скачку ПО (exe файлов и т.д.) на прокси

ввести регламенты и наказания

составить белый список разрешенного ПО

запретить все кроме разрешенного

 

 

что касается KSC - то запретить запуск можно различными способами.. в том числе и по метаданным файла или папки.

(использовать контроль запуска программ)

Edited by mvs

Share this post


Link to post
запретить все кроме разрешенного

 

 

"ХАЧУ! ХАЧУ! ХАЧУ!"

 

Простите не удержался. С понедельника бьемся.

Научите плохому.

Share this post


Link to post

создайте две своих категории программ в KSC

запрещенные

разрешенные

наполните их нужным ПО

 

 

или только категория запрещенные:

в условиях запрещенных в исключения добавьте белый список.

ну а в политиках для KES в контроле запуска указать категорию и уже просто запретить всем.

 

 

Edited by mvs

Share this post


Link to post
создайте две своих категории программ в KSC

запрещенные

разрешенные

 

наполните их нужным ПО

или в условиях запрещенных в исключения добавтье белый список.

ну а в политиках для KES в контроле запуска указать категорию и уже просто запретить всем.

 

Так блин. С понедельника этим развлекаюсь. Или все работает. В том числе любой портабле. Или ничего не запустить.

Тут уже дошло до идиотизма. На ПК стоит PhotoShop купленный за деньги. Дизайнер залил рядом другую версию. Контрафактную. По правилам разрешения KL обе версии отлично работают. Мы в шоке.

 

Как сделать правило запрещено все для группы Пользователи?

1. Создал Категорию SOFT.

2. Добавил правило "метаданные" *.*

3. Запускал задачу инвентаризации. Заносил все собранное ПО в исключение.

4. Добавлял в исключения "путь к папке" С:\Program Files. И пробовал вместо путей из списка исполняемых файлов задать все исполняемые файлы скопом.

5. Добавил правило контроля запуска Soft_user с шаблоном sOFT. Поставил "Запрещено" - Buildin\Users . В "разрешено" оставлял пусто.

 

Ни хрена не работает.

Share this post


Link to post
у вас KSC 10?

подготовьте эталонный ПК с набором разрешенного ПО

в KSC создайте категорию - Категория, в которую входят исполняемые файлы с выбранных компьютеров и обзовите ее эталонный пк бухгалтера

- в результате у вас будет своя категория с разрешенным ПО - ее уже в Политики разрешить запуск.

 

Да. KSC 10.

 

Как делать разрешенное ПО только для данного ПК? Инвентаризация просто добавляет в кучу известных файлов с KSC дополнительные запускаемые файлы с инвентаризационного ПК. Пока готов с этим мириться.

Такое правило я уже делал. Но как дать запрет на все остальное?

Share this post


Link to post
Да. KSC 10.

 

Как делать разрешенное ПО только для данного ПК? Инвентаризация просто добавляет в кучу известных файлов с KSC дополнительные запускаемые файлы с инвентаризационного ПК. Пока готов с этим мириться.

Такое правило я уже делал. Но как дать запрет на все остальное?

да с этим засада - не хватает в условиях исключений добавить ту самую созданную свою а не KL- категорию

 

гляньте эти темы, может еще что придет на ум:

http://forum.kaspersky.com/index.php?showtopic=215448

http://forum.kaspersky.com/index.php?showt...=219467&hl=

Edited by mvs

Share this post


Link to post
да с этим засада - не хватает в условиях исключений добавить ту самую созданную свою а не KL- категорию

 

А политики по умолчанию трогать нельзя? И копию их создать я так понимаю то же нельзя?

Было бы например очень хорошо. Если бы "разрешить все" можно было бы запретить для группы USERS. А в исключения добавить хеш всех собранных файлов по инвентаризации. Это бы уже помогло.

 

Share this post


Link to post
А политики по умолчанию трогать нельзя? И копию их создать я так понимаю то же нельзя?

Было бы например очень хорошо. Если бы "разрешить все" можно было бы запретить для группы USERS. А в исключения добавить хеш всех собранных файлов по инвентаризации. Это бы уже помогло.

ну да их не изменить.. тут как раз расчет на "черные" списки :)

Share this post


Link to post
ну да их не изменить.. тут как раз расчет на "черные" списки :)

 

Я уже в шоке!!!

Только что специально создал КАТЕГОРИЮ программ REJECT.

Условие - "метаданные" - Имя файла, "*"

Применил это правило "В контролезапуска программ". "Запрещено" для Buildin\Users.

 

Так у меня с воплем сыпятся блокировки по этому правилу для пользователя Network Service. С какого спрашивается?

 

Share this post


Link to post

Если у вас домен, почитайте про software restriction policies. уже давно все придумано :)

Главное сначала потестить и не заблокировать саму винду :)

 

 

Если у юзера нет админа, то там все легко, разрешается все из program files и windows

запуск софта из папки пользователя и временных запрещается. Поставить софт не может.

Если есть админ - отобрать :)

Share this post


Link to post

Опять обнаружилась ОБЯЗАТЕЛЬНАЯ необходимость домена. Ибо запрет на группу USERS ставить КАТЕГОРИЧЕСКИ НЕЛЬЗЯ!!

В этой группе состоят Интерактивные и Прошедшие проверку.

Share this post


Link to post
Если у вас домен, почитайте про software restriction policies. уже давно все придумано :)

ага еще добавить app locker

но хочется то использовать возможности KES ....

Edited by mvs

Share this post


Link to post
Если у вас домен, почитайте про software restriction policies. уже давно все придумано :)

Главное сначала потестить и не заблокировать саму винду :)

Если у юзера нет админа, то там все легко, разрешается все из program files и windows

запуск софта из папки пользователя и временных запрещается. Поставить софт не может.

Если есть админ - отобрать :)

 

Я этим пользуюсь уже лет 10 как в домене. Но KSC и KES хотелось использовать для сети филиалов и дочерних структур. Не тянуть же все бедные веси к нам в домен?

Share this post


Link to post
Тут уже дошло до идиотизма. На ПК стоит PhotoShop купленный за деньги. Дизайнер залил рядом другую версию. Контрафактную. По правилам разрешения KL обе версии отлично работают. Мы в шоке.
А чем различается купленная от краденой? Грубо говоря записью в реестре о лицензии. Касперский об этом ничего не знает, как прикажете ему их различать? :)

Самое правильное это:

- забрать права администратора у всех

- запретить запуск любых исполняемых файлов ото всюду, куда у пользователя есть права на запись

- если есть необходимость, разрешить запуск легального ПО из любого места по хешу исполняемого файла

 

Т.е. в общем случае

- разрешаем запуск из %systemroot% и %ProgramFiles%

- запрещаем запуск из %systemroot%\Temp и %systemroot%\system32\spool\PRINTERS

 

Вы не указали, есть ли у вас домен... Очень удобно это делается через политики ограниченного использования программ. Касперский немного не тот инструмент.

 

Share this post


Link to post
Я этим пользуюсь уже лет 10 как в домене. Но KSC и KES хотелось использовать для сети филиалов и дочерних структур. Не тянуть же все бедные веси к нам в домен?
Ну через домен удобнее рулить. Никто не запрещал настроить все тоже самое на каждом компьютере индивидуально ;)

Share this post


Link to post

Ну и правильнее конечно все тянуть к себе в домен...

Edited by WAndrey

Share this post


Link to post
А чем различается купленная от краденой? Грубо говоря записью в реестре о лицензии. Касперский об этом ничего не знает, как прикажете ему их различать? :)

Самое правильное это:

- забрать права администратора у всех

- запретить запуск любых исполняемых файлов ото всюду, куда у пользователя есть права на запись

- если есть необходимость, разрешить запуск легального ПО из любого места по хешу исполняемого файла

 

Т.е. в общем случае

- разрешаем запуск из %systemroot% и %ProgramFiles%

- запрещаем запуск из %systemroot%\Temp и %systemroot%\system32\spool\PRINTERS

 

Вы не указали, есть ли у вас домен... Очень удобно это делается через политики ограниченного использования программ. Касперский немного не тот инструмент.

 

Похоже KSC это ПОЛНЫЙ ХЛАМ в разделе контроля прав запуска программ! Ибо АПРИОРИ правила контроля строятся с "ЗАПРЕТИТЬ ВСЕ". Разработчикам хотелось добавить абстрактную фенечку для маркетологов. Чтоб те нахваливали продукт как чуть ли не замену DLP. Что в принципе они и делали. Из-за чего я его и купил.

Прожил 10 лет без затаскивания всех ПК в домен. Проживу еще столько же. Ибо перестроить дикую филиальную сеть под домен в одно мое лицо... Оно у меня треснет. Уже неделю сплю по 4 часа. И я как то не готов лететь в Новосибирск и еще в два десятка городов и весей для перенастройки 1-10 ПК под домен в Питере. Доживет лицензия до конца срока и переведу все назад на KIS. Ибо дешевле.

 

Share this post


Link to post

В ОБЩЕМ ПРОБЛЕМУ РЕШИЛ ПО РУССКИ! (Через Жопу!)

 

1. Отключаем применение политик к KES со стороны KSC.

2. Запускаем KES в режиме обычной работы.

3. Запускаем все нужные программы по очереди. Они сами заносятся в контроль активности программ по своим категориям.

4. Снимаем все галки в Контроле активности программ кроме самого контроля.

5. Выбираем "Автоматически помещать в группу недовернные".

6. Не забываем включить защиту паролем самого анитивируса.

 

УРА! Никакую хрень отличную от установленной на ПК уже не запустить.

 

P.S. Если кто может, проверьте у себя. Может я пропустил какие-то лазейки для извращенных умов пользователей?

 

P.P.S. Можно в применяемой политике KES к контролируемому ПК поставить такие же настройки как выше и снять замочки для возможности переноса приложения в другие группы, по необходимости, прямо на локальном ПК.

 

Простите за эмоциональность. Но на дворе пятница. А вопрос был не решен с понедельника.

 

Edited by Venberg

Share this post


Link to post
P.S. Если кто может, проверьте у себя. Может я пропустил какие-то лазейки для извращенных умов пользователей?
Чисто гипотетически. Дизайнер ваш жмет кнопку плагина в фотошопе который оформлен отдельным запускаемым модулем. И вы долго от него выслушиваете...

А так, я не знаю как в KSC 10, не смотрел еще, а в 9 по группам можно было раскидать в политике. И запускать ничего не надо по компам - все уже запущено до вас, надо только рассортировать.

Share this post


Link to post
Чисто гипотетически. Дизайнер ваш жмет кнопку плагина в фотошопе который оформлен отдельным запускаемым модулем. И вы долго от него выслушиваете...

А так, я не знаю как в KSC 10, не смотрел еще, а в 9 по группам можно было раскидать в политике. И запускать ничего не надо по компам - все уже запущено до вас, надо только рассортировать.

 

За чем выслушивать? Подключаемся удаленно и переносим плагин из не доверенных в доверенные.

 

А заранее можно провести аудит всего ПО установленного на компе и разнести по категориям ИМЕННО на этом компе?? А то абстрактный аудит всего ПО на всех компах в сети меня не устраивает. У меня например фотошоп только на одном компе. На остальных его и быть не должно.

Share this post


Link to post
За чем выслушивать? Подключаемся удаленно и переносим плагин из не доверенных в доверенные.
И зачем тогда сервер если все делается индивидуально?

А заранее можно провести аудит всего ПО установленного на компе и разнести по категориям ИМЕННО на этом компе?? А то абстрактный аудит всего ПО на всех компах в сети меня не устраивает. У меня например фотошоп только на одном компе. На остальных его и быть не должно.
Аудит скопом по всем компьютерам. Если ты сделаешь политику на каждый компьютер свою, то можно из всего ПО назначить что-то на конкретный компьютер...

Сегодня на одном, завтра на двух... Будет список ПО, которое можно запускать на предприятии вообще, на любом компьютере.

 

Share this post


Link to post
И зачем тогда сервер если все делается индивидуально?

Аудит скопом по всем компьютерам. Если ты сделаешь политику на каждый компьютер свою, то можно из всего ПО назначить что-то на конкретный компьютер...

Сегодня на одном, завтра на двух... Будет список ПО, которое можно запускать на предприятии вообще, на любом компьютере.

 

Ну в общем-то пока не наберешь статистику в ручную все равно ее не применить. Так что первоначальный сбор придется делать руками. Правда я так и не понял - можно ли вобранную статистику списка ПО переносить между ПК? Вроде как нет такого на сервере в "Контроле активности программ".

 

Share this post


Link to post

У меня сделано так: в контроле запуска программ разрешено всем запуск из папок windows, programfiles,(x86). Остально все запрещено. Прав админа ни у кого нет. Все работает, установить ни чего ни кто не может.

 

А вообще конечно это все проще делать через Applocker или SRP в групповых политиках. Но нам надо хорошенько все продумать, а то можно дров наломать. Но сталкивался что не всегда политики эти применяются. Тоже глюков хватает. Особенно если сеть медленная.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.