Jump to content

Recommended Posts

-=alez=-

Да и по скринам видно, что правило контроля приложений настроено локально на KES. В KSC окно правил контроля запуска приложений выглядит иначе.

Нет, правило было настроено на KSC, для наглядности скриншота я отключил политики и залез в настройки на KES.

 

у вас все правильно отработало правило, запуск exe/msi файлов со сменных носителей при ваших правилах будет запрещен.

Тогда научите уму разуму:

1. Где видно что именно exe/msi ?

2. Как сделать чтоб не запускалось по маске *.bat например?

3. Черт с ним с носителем, как просто написать правило для двойного расширения *.pdf.exe?

 

P.S. А дисочек то проверьте на всякий случай - бэды на нём. (Хоть к делу не имеет отношения, но инфу потерять можете).

Я уже выше писал что это не системный диск, а другой был просто зацеплен к компу для его проверки.

 

Kaspersky Security Center 10 воспринимает старую лицензию как Kaspersky Endpoint Security для Бизнеса Стартовый (Core)

 

Почему же тогда у меня в KSC доступен весь функционал для написания правил запуска???

Share this post


Link to post
Нет, правило было настроено на KSC, для наглядности скриншота я отключил политики и залез в настройки на KES.

Тогда научите уму разуму:

1. Где видно что именно exe/msi ?

2. Как сделать чтоб не запускалось по маске *.bat например?

3. Черт с ним с носителем, как просто написать правило для двойного расширения *.pdf.exe?

Я уже выше писал что это не системный диск, а другой был просто зацеплен к компу для его проверки.

Почему же тогда у меня в KSC доступен весь функционал для написания правил запуска???

Напомните, пожалуйста, Вы создавали запрос в CompanyAccount?

Давайте попробуем в рамках запроса разобраться с тем, что и почему у Вас происходит.

Спасибо!

Share this post


Link to post

С завтрашнего дня иду на курс KL-002.10

Чувствую, завалю вопросами преподавателя)))

Share this post


Link to post
Напомните, пожалуйста, Вы создавали запрос в CompanyAccount?

Давайте попробуем в рамках запроса разобраться с тем, что и почему у Вас происходит.

Спасибо!

Давайте, INC000002468568 .

Share this post


Link to post
Давайте, INC000002468568 .

Добрый день!

 

Проверьте пожалуйста Ваши Личные Сообщения.

 

Спасибо!

 

Share this post


Link to post

Добрый день!

Подниму тему. Скажите, возможно ли с помощью данного компонента протоколировать запускаемые приложения? Например, чтобы можно было в отчетах KSC просмотреть, когда и сколько раз на управляемых компьютерах запускались MS Word или Excel.

Share this post


Link to post
Добрый день!

Подниму тему. Скажите, возможно ли с помощью данного компонента протоколировать запускаемые приложения? Например, чтобы можно было в отчетах KSC просмотреть, когда и сколько раз на управляемых компьютерах запускались MS Word или Excel.

Здравствуйте!

 

В последней на данный момент версии (10.2.5.3201) такой функционал отсутствует.

 

Спасибо!

Share this post


Link to post

Добрый день! Хотелось бы немного поднять тему и узнать - почему в Контроле запуска программ (KES10 SP2 10.3.0.6294, KSC 10.3.407) не работает блокировка по имени файла?

qwedasg.jpg

Edited by FeliXAK

Share this post


Link to post

Вы задаете имя файла в метаданных, а в данном файле скорее всего метаданных нет.
Метаданные - это набор информации, которая содержится внутри некоторых исполняемых файлов (не всех)

Если хотите по имени файла, нужно задавать условие не через "метаданные", а через "путь к файлу или папке" (при локальных настройках) либо "путь к папке" (при настройках через категории в KSC)

И нужно обязательно задавать полный путь, а не только имя, например:
*.exe    - работать не будет
c:\users\*\appdata\local\temp\*.exe    - работать будет

Share this post


Link to post
11 минут назад, aigir сказал:

Вы задаете имя файла в метаданных, а в данном файле скорее всего метаданных нет.
Метаданные - это набор информации, которая содержится внутри некоторых исполняемых файлов (не всех)

Если хотите по имени файла, нужно задавать условие не через "метаданные", а через "путь к файлу или папке" (при локальных настройках) либо "путь к папке" (при настройках через категории в KSC)

И нужно обязательно задавать полный путь, а не только имя, например:
*.exe    - работать не будет
c:\users\*\appdata\local\temp\*.exe    - работать будет

Если под "путь к папке" (при настройках через категории в KSC) вы имеете в виду "папка программы", только дописать в ней название файла, то это так же не срабатывает.

У меня стоит задача блокировать запуск определенных файлов по имени, так как ничего больше не известно и я не могу знать, если ли внутри файла метаданные.

Спасибо за комментарий)

1111.jpg

Share this post


Link to post

Это вы в категории условие задали, а в самом Контроле запуска программ правило с использованием этой категории сделали?
Киньте скриншоты условий категории и правил контроля запуска программ из действующей политики.

Share this post


Link to post
3 hours ago, FeliXAK said:

Добрый день! Хотелось бы немного поднять тему и узнать - почему в Контроле запуска программ (KES10 SP2 10.3.0.6294, KSC 10.3.407) не работает блокировка по имени файла?

 

Здравствуйте,

вам необходимо обновить консоли, сервер KSC и агенты

https://support.kaspersky.ru/13513#block5

Спасибо.

 

Share this post


Link to post

Хотелось бы поделиться своими мучениями по "приструнению" модуля Контроля запуска программ. Тоже долго мучились, писали имя файла в метаданные, пока не попробовали выбрать метаданные из списка исполняемых программ и увидели, что метаданных-то там и нет. Начали копать дальше и вот результат:

Для блокировки исполняемых файлов по имени, надо в категории программ выбирать "Папка программы". И писать либо полный путь типа "С:\Windows\prog.exe", либо вот так "С:\Windows\*.exe", либо "*prog.exe". Если набрать просто "prog.exe" - не работает.

Share this post


Link to post
2 часа назад, aigir сказал:

Это вы в категории условие задали, а в самом Контроле запуска программ правило с использованием этой категории сделали?
Киньте скриншоты условий категории и правил контроля запуска программ из действующей политики.

Да, в самом контроле запуска программ правило создано, блокировка по хэшу работает отлично.

6 минут назад, KoDA86 сказал:

Хотелось бы поделиться своими мучениями по "приструнению" модуля Контроля запуска программ. Тоже долго мучились, писали имя файла в метаданные, пока не попробовали выбрать метаданные из списка исполняемых программ и увидели, что метаданных-то там и нет. Начали копать дальше и вот результат:

Для блокировки исполняемых файлов по имени, надо в категории программ выбирать "Папка программы". И писать либо полный путь типа "С:\Windows\prog.exe", либо вот так "С:\Windows\*.exe", либо "*prog.exe". Если набрать просто "prog.exe" - не работает.

Спасибо за ответ, но выше я уже написал, что пробовал писать в "папка программы" и у меня почему-то это не срабатывает, хотя вы говорите что работает..

Share this post


Link to post
21 минуту назад, Dmitry Eremeev сказал:

Здравствуйте,

вам необходимо обновить консоли, сервер KSC и агенты

https://support.kaspersky.ru/13513#block5

Спасибо.

 

обновить до чего? до какой версии и почему? те версии, что у нас сейчас стоят, отлично между собой связываются и функционируют..

Share this post


Link to post

скиньте скриншоты условий, заданых в категории, и правил в контроле запуска программ.

еще нужно проверить, как ваши правила из политики транслируются на сами компы.
- отключите на компе политику (локально)
- зайдите на компе в настройки контроля запуска и посмотрите какие правила там применились и какие в них условия

Edited by aigir

Share this post


Link to post
48 минут назад, aigir сказал:

скиньте скриншоты условий, заданых в категории, и правил в контроле запуска программ.

еще нужно проверить, как ваши правила из политики транслируются на сами компы.
- отключите на компе политику (локально)
- зайдите на компе в настройки контроля запуска и посмотрите какие правила там применились и какие в них условия

Скрин условий (последние 2), скрин правил в политике и скрин где локально отключил политику (просмотреть сами правила не удается)

0.jpg

1.jpg

2.jpg

Share this post


Link to post

Судя по тому, что названия правил в политике KSC и локально в KES не совпадают, правила и условия скорее всего не комп не применяются, либо применяются некорректно.
Кроме того, у вас в категории заданы хеши MD5, а в KES10SP2 используются хеши SHA-256. Возможно из-за этого правила и косячат.
И проверьте, установлен ли у вас в KSC плагин от KES10SP2.

Edited by aigir

Share this post


Link to post
12 минут назад, aigir сказал:

Судя по тому, что названия правил в политике KSC и локально в KES не совпадают, правила и условия скорее всего не комп не применяются, либо применяются некорректно.
Кроме того, у вас в категории заданы хеши MD5, а в KES10SP2 используются хеши SHA-256. Возможно из-за этого правила и косячат.
И проверьте, установлен ли у вас в KSC плагин от KES10SP2.

Как это не используются хеши MD5 в KES10SP2?? Поле ведь в политике есть, значит должно быть...да и блокировка подозрительных объектов чаще всего происходит по хешу.

Плагин от KES10SP2 конечно же установлен))

А вот то что они не совпадаю, я тоже заметил и сразу заподозрил неладное..

Share this post


Link to post

условия с хешами задаются не в политике, а в категории, а категории могут применяться в разных политиках
хеши типа MD5 используются в KES до версии SP2
начиная с версии SP2 используются хеши SHA-256

и соответственно рекомендуется делать разные категории для разных версий KES, поскольку там еще есть разница в интерпретации других критериев, например "путь к папке"

Share this post


Link to post

А если есть только MD5 и их нужно заблокировать, то как это сделать в SP2?

Попробовал создать новую категорию без MD5, только с путями и на машине локально она отображается корректно)) но не работает! не блокирует файлы..

awdawd.jpg

Share this post


Link to post

В KES10SP2 по MD5 никак. Только по SHA-256
Попробуйте для начала отключить на компе политику и создать на нем правила локально.
И там-же в локальных настройках контроля запуска в "списке программ" можете посмотреть какие конкретно файлы на данном компе запускались и по каким путям.
И кстати условия можно задавать по списку уже запущеных ранее файлов "из свойств запускавшихся программ" (локально) или "из списка исполняемых файлов" (в KSC)

Edited by aigir

Share this post


Link to post
4 hours ago, FeliXAK said:

обновить до чего? до какой версии и почему? те версии, что у нас сейчас стоят, отлично между собой связываются и функционируют..

Обновить до версии, указанной по ссылке.

Такая конфигурация версий не поддерживается.

Если отлично всё функционирует, то разрешите закрыть тему ?

Спасибо.

 

 

Share this post


Link to post
14 часов назад, Dmitry Eremeev сказал:

Обновить до версии, указанной по ссылке.

Такая конфигурация версий не поддерживается.

Ссылка ведет на Kaspersky Endpoint Security 10 для Windows Service Pack 2 (версия 10.3.0.6294), который мы и используем..

Share this post


Link to post

Здравствуйте!

Мой коллега имел в виду обновить KSC до версии 10.4.343.

Спасибо!

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.