Jump to content

Recommended Posts

Согласно этой статье у меня должен работать контроль запуска программ и на стандартной лицензии:

 

post-176523-1386223406_thumb.jpg

 

 

Share this post


Link to post

Коллеги, такой вопрос.

 

Как добавить локального пользователя/группу с управляемого не доменного ПК в политике контроля запуска программ в консоли KSC?

В консоли я вижу только доменных пользователей, а управляемые ПК не доменные и никогда в домене не будут.

Инвентаризацию управляемых ПК делал, но оно локальных пользователей не инвентаризирует.

 

Делал запрос в CA INC000002480956.

 

Вопрос 2. У меня пишет, что лицензия Kaspersky WorkSpace Security Russian Edition. 2500-4999 User 2 year Renewal License - поддерживает ли она контроль запуска программ? Локально на ПК с этой лицензией настроить дает и контроль работает.

 

PS KSC + KES10

Edited by hometools

Share this post


Link to post
Согласно этой статье у меня должен работать контроль запуска программ и на стандартной лицензии:

 

post-176523-1386223406_thumb.jpg

Здравствуйте.

Base это не стандартная лицензия, а стартовая.

Share this post


Link to post

И еще вопрос.

Создал категорию программ, в которую В УСЛОВИЯ вошли все программы по шаблону звездочки: *

post-443384-1386228430_thumb.png

 

А в ИСКЛЮЧЕНИЯ вошли C:\windows\* и C:\Program Files\*

post-443384-1386228445_thumb.png

 

Создаю правило к указанной категории, в котором

Пользователи и / или группы, получающие разрешение: Администраторы

Пользователи и / или группы, получающие запрет: Пользователи

post-443384-1386228949_thumb.png

Таким образом должно получиться так: к группе Администраторы применяется шаблон * (разрешен запуск программ из любого расположения), а группе Пользователи разрешен запуск любых программ только из C:\windows\* и C:\Program Files\*

Однако, правило запрета применяется также и к учетной записи, входящей в группу Администраторы.

Специально проверил, что администратор не включен в группу Пользователи.

 

Баг или фича? Как правильно сделать?

Share this post


Link to post
И еще вопрос.

Баг или фича? Как правильно сделать?

Правила запрета имеют приоритет над правилами разрешения. А пользователь администратор полюбому (может я конечно ошибаюсь, пусть меня поправят) но является членом группы Пользователи.

Edited by -=alez=-

Share this post


Link to post
Правила запрета имеют приоритет над правилами разрешения. А пользователь администратор полюбому (может я конечно ошибаюсь, пусть меня поправят) но является членом группы Пользователи.

Вот это и смущает.

Применять правила к конкретным учеткам - неправильно. В случае создания новой учетки к ней правило не применится.

Должен же быть какой-то вариант, а? :)

Share this post


Link to post
Вот это и смущает.

Применять правила к конкретным учеткам - неправильно. В случае создания новой учетки к ней правило не применится.

Должен же быть какой-то вариант, а? :)

А если как вариант везде запретить запускать по маске *.exe и тд всем

А program files и windows всем разрешить. Хотя скорее всего будут те грабли.

Потому что изначально неправильная концепция блокировки в самом продукте, правила блокировки должны иметь порядок следования друг за другом как это сделано в веб контроле.

Share this post


Link to post
А если как вариант везде запретить запускать по маске *.exe и тд всем

А program files и windows всем разрешить. Хотя скорее всего будут те грабли.

Потому что изначально неправильная концепция блокировки в самом продукте, правила блокировки должны иметь порядок следования друг за другом как это сделано в веб контроле.

Так у меня такой вариант и получается, когда я задаю группы, а не пользователей.

То есть, даю Администраторам полный доступ ко всем каталогам, а Пользователям только к Program Files и Windows.

Получается, что абсолютно все пользователи и администраторы могут запускать программы только из Program Files и Windows.

Администраторы наследуют правила Пользователей. Это неправильно.

Share this post


Link to post
И еще вопрос.

Создал категорию программ, в которую В УСЛОВИЯ вошли все программы по шаблону звездочки: *

post-443384-1386228430_thumb.png

 

А в ИСКЛЮЧЕНИЯ вошли C:\windows\* и C:\Program Files\*

post-443384-1386228445_thumb.png

 

Создаю правило к указанной категории, в котором

Пользователи и / или группы, получающие разрешение: Администраторы

Пользователи и / или группы, получающие запрет: Пользователи

post-443384-1386228949_thumb.png

Таким образом должно получиться так: к группе Администраторы применяется шаблон * (разрешен запуск программ из любого расположения), а группе Пользователи разрешен запуск любых программ только из C:\windows\* и C:\Program Files\*

Однако, правило запрета применяется также и к учетной записи, входящей в группу Администраторы.

Специально проверил, что администратор не включен в группу Пользователи.

 

Баг или фича? Как правильно сделать?

На первый взгляд кажется, что такой сценарий должен работать. Я проверю в виртуальной среде и сообщу результат.

Share this post


Link to post
На первый взгляд кажется, что такой сценарий должен работать. Я проверю в виртуальной среде и сообщу результат.

Да, буду благодарен.

Share this post


Link to post
Да, буду благодарен.

А если попробовать задать запрещающее правило только для группы Users? Не очень понятно, зачем делать это правило двойным.

Share this post


Link to post
А если попробовать задать запрещающее правило только для группы Users? Не очень понятно, зачем делать это правило двойным.

Пробовал указывать запрещающее для Users.

Пробовал указывать разрешающее для Administrators и запрещающее для Users.

Результат одинаковый - правила запрета распространяются и на Users, и на Administrators.

Edited by hometools

Share this post


Link to post
Пробовал указывать запрещающее для Users.

Пробовал указывать разрешающее для Administrators и запрещающее для Users.

Результат одинаковый - правила запрета распространяются и на Users, и на Administrators.

Попробуйте, пожалуйста, воспроизвести Ваши настройки локально, без политики. Если воспроизведётся - пришлите, пожалуйста, .cfg от локальной установки.

Share this post


Link to post

сейчас проверил запуск калькулятор (calc.exe) разрешил всем а запретил Пользователям домена

ну получается что и у меня (администратора) тоже заблокировался запуск (я тоже принадлежу группе пользователей домена)

ну наверное это правильно

 

как вариант создать отдельную группу и всех пользователей туда пихать )))) ну и вновь создающихся тоже туда

и ей уж все запрещать!

Edited by ispam

Share this post


Link to post
Попробуйте, пожалуйста, воспроизвести Ваши настройки локально, без политики. Если воспроизведётся - пришлите, пожалуйста, .cfg от локальной установки.

Я сначала настраивал KES локально для тестов, а потом импортировал настройки в политику на KSC. Настройки веб-контроля и контроля запуска приложений не импортировались из файла, на KSC заново настраивал с нуля.

При локальной настройке такой же результат, что озвучен в посте #90.

Конфиг локальной настройки во вложении.

 

как вариант создать отдельную группу и всех пользователей туда пихать )))) ну и вновь создающихся тоже туда

и ей уж все запрещать!

Замечу - это плохой вариант. Хелпдеск уже через неделю не будет добавлять пользователей в эту группу. И локальный администратор не входит в группу Users.

kes10_test_conf.zip

Edited by hometools

Share this post


Link to post

Так и не решил проблему привязки правил контроля запуска программ к группам пользователей, а не к самим пользователям.

Сотрудник техподдержки отписался в четверг, что начал развертывание стенда и с тех пор никаких вестей. INC000002480956

Share this post


Link to post
Так и не решил проблему привязки правил контроля запуска программ к группам пользователей, а не к самим пользователям.

Сотрудник техподдержки отписался в четверг, что начал развертывание стенда и с тех пор никаких вестей. INC000002480956

Здравствуйте!

У меня Ваши настройки работают так же, как и у Вас.

Трудно сказать с первого взгляда, баг это или фича, трудно даже сказать, это особенность нашего продукта или особенность работы системы групп Microsoft.

Попробуем разобраться в рамках Вашего запроса.

 

В качестве воркэраунда можно действительно завести отдельную группу, отличную от встроенной "пользователи", и создавать запрещающие правила уже для неё.

Share this post


Link to post
Здравствуйте!

У меня Ваши настройки работают так же, как и у Вас.

Трудно сказать с первого взгляда, баг это или фича, трудно даже сказать, это особенность нашего продукта или особенность работы системы групп Microsoft.

Попробуем разобраться в рамках Вашего запроса.

 

В качестве воркэраунда можно действительно завести отдельную группу, отличную от встроенной "пользователи", и создавать запрещающие правила уже для неё.

Спасибо за ответ.

На мой взгляд проблема в том, что запрещающие правила имеют приоритет над разрешающими - это неправильно.

Нужна приоритетность правил в порядке их следования как в веб-контроле.

Share this post


Link to post

Я вот тут много выслушал про то что у меня версия агента не та, что у меня патч не стоит, что у меня жесткий диск не работает, что у меня лицензия не та.Ну ладно, лицензия не та - на том я как бы угомонился. Но....

сегодня попробовал запустить програмку с флешки и увидал следующее окно.

post-176523-1386661457_thumb.jpg

Уважаемые представители лаборатории касперского, вы вообще то сами в своем продукте ориентируетесь хоть чуть чуть?

Как такое могла сработать если у меня "НЕ ТА " лицензия?

И почему правило для запуска написанное для конкретного имени файла берет и рубит совсем другое ?

post-176523-1386661593_thumb.jpg

Share this post


Link to post

-=alez=-

Есть пара-тройка версий.

1) Это, наверное, сверхновая и пока ещё секретная разработка. KES, увидев то, что правило есть, а лицензия не подходит, скачал новую лицензию у других клиентов через P2P. Правда, хахватил с собой часть конфига с чужими правилами. В этом то и недоработка. Нужно отправить запрос в СА :D

2) Вирус, специально созданный конкурентами ЛК с тем, чтобы подорвать доверие клиентов, доставляя случайно генерируемые баги и имитируя сообщения антивируса.

3) Самая маловероятная. Вы на этот комп поставили либо бэту со своим ключём, либо пробную лицензию. =)))

 

P.S. А дисочек то проверьте на всякий случай - бэды на нём. (Хоть к делу не имеет отношения, но инфу потерять можете).

Edited by Hattifnatt

Share this post


Link to post
Я вот тут много выслушал про то что у меня версия агента не та, что у меня патч не стоит, что у меня жесткий диск не работает, что у меня лицензия не та.Ну ладно, лицензия не та - на том я как бы угомонился. Но....

сегодня попробовал запустить програмку с флешки и увидал следующее окно.

post-176523-1386661457_thumb.jpg

Уважаемые представители лаборатории касперского, вы вообще то сами в своем продукте ориентируетесь хоть чуть чуть?

Как такое могла сработать если у меня "НЕ ТА " лицензия?

И почему правило для запуска написанное для конкретного имени файла берет и рубит совсем другое ?

post-176523-1386661593_thumb.jpg

у вас все правильно отработало правило, запуск exe/msi файлов со сменных носителей при ваших правилах будет запрещен.

Edited by mvs

Share this post


Link to post
Я вот тут много выслушал про то что у меня версия агента не та, что у меня патч не стоит, что у меня жесткий диск не работает, что у меня лицензия не та.Ну ладно, лицензия не та - на том я как бы угомонился. Но....

сегодня попробовал запустить програмку с флешки и увидал следующее окно.

post-176523-1386661457_thumb.jpg

Уважаемые представители лаборатории касперского, вы вообще то сами в своем продукте ориентируетесь хоть чуть чуть?

Как такое могла сработать если у меня "НЕ ТА " лицензия?

И почему правило для запуска написанное для конкретного имени файла берет и рубит совсем другое ?

post-176523-1386661593_thumb.jpg

Здравствуйте!

Приносим свои извинения за возникшее недопонимание.

Из-за смены схемы лицензирования часто происходит путаница, особенно с учётом того, что у Вас новый KSC10 и старый KES8. Дело в том, что Kaspersky Security Center 10 воспринимает старую лицензию как Kaspersky Endpoint Security для Бизнеса Стартовый (Core), а KES10 Воспринимает её как Kaspersky Endpoint Security для Бизнеса Стандартный (Select).

Похоже, что именно из-за этого и возникло всё недопонимание. То есть на уровне антивируса у Вас функционал контроля есть, а на уровне Security Center - нету.

Share this post


Link to post

Ivan Sazhin

С этого момента подробнее, пожалуйста. Что за очередная смена схемы лицензирования и где о новой можно подробно прочесть?

Или это и есть та схема, что сейчас можно найти на оф сайте?

Share this post


Link to post
Ivan Sazhin

С этого момента подробнее, пожалуйста. Что за очередная смена схемы лицензирования и где о новой можно подробно прочесть?

Или это и есть та схема, что сейчас можно найти на оф сайте?

Это и есть та схема, о которой написано на официальном сайте и в вышеупомянутой статье.

Share this post


Link to post

-=alez=-

Да и по скринам видно, что правило контроля приложений настроено локально на KES. В KSC окно правил контроля запуска приложений выглядит иначе.

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.