Jump to content
Tchup

[En cours] Configuration du contrôle de l'activité des applications

Recommended Posts

Bonjour,

 

J'ai configuré le module "Configuration du contrôle de l'activité des applications" contre les rançongiciels comme la procédure de la page : http://support.kaspersky.com/fr/10905

Bien évidemment certains programmes "non référencés" ne peuvent plus créer de fichiers...

J'ai voulu récupérer ces infos dans les événements de "Rapports et notifications" du KSC malheureusement je n'ai rien trouvé.

Il ne semble y avoir d'événements en rapport avec ce type de blocage...

Et concernant les notifications KES, il n'y a que :

- L'application est placée dans le groupe des applications de confiance

- L'application a été placée dans un groupe à privilèges restreints

- La règle de surveillance de l'activité des applications a fonctionné

 

Comment connaître le chemin des applications bloquées par exemple ? Restrictions faibles ou élevées ?

un peu comme le contrôle du lancement des applications...

 

Merci

Share this post


Link to post

Bonjour Tchup,

 

Voici un guide contre les cryptovirus que j'ai réalisé : http://go.kaspersky.com/rs/802-IJN-240/ima...yptomalware.zip

Il y'a une stratégie et une catégorie intégrée dans l'archive qu'il vous suffit d'importer dans votre console KSC.

Le document PDF contient les instructions d'utilisation.

 

Pouvez-vous me dire si cela réponds à vos besoins ?

Si vous avez des difficultés dans la mise en place, n'hésitez pas à m'en faire part.

Merci.

Share this post


Link to post

Bonjour Tchup, bonjour Tybilly,

 

Je cherchais aussi comment paramétrer de manière correcte KSC pour nous protéger au maximum des cryptovirus.

 

Je vais jeter un œil à tout ceci, en tout cas ça à l'air complet et très bien expliqué, bravo ! Super boulot ! Merci de nous en faire part ! :bravo:

 

Bon weekend,

Share this post


Link to post

Bonjour karniflex,

 

Pour une bonne protection contre les cryptovirus / ransomware, il y'a des éléments de bases :

- Protection antivirus / antispam du flux de messagerie, idéalement en amont sur le serveur de messagerie et éventuellement sur le poste de travail avec l'Antivirus Courrier.

- Protection Antivirus Fichiers sur les postes de travail (analyse par signature et heuristique)

- Activation du Kaspersky Security Security Network (analyse via le cloud)

- Activation de System Watcher (analyse comportementale et restauration des fichiers chiffrés), voir :

 

Ensuite il est possible d'aller plus loin avec le Contrôle d'applications, comme indiqué dans le guide.

J'attends vos retours.

 

Bon week-end également.

Share this post


Link to post

Tybilly the boss !

Je vais avoir de la lecture ce week-end... ;)

Un énorme merci pour ce partage... je ne manquerai pas de te faire part du résultat de cet exercice

 

:beer:

Edited by Tchup

Share this post


Link to post

Bonjour :hi:

 

Après lecture de ton super guide Tybilly et quelques moments de réflexions autour des stratégies de contrôle du lancement et d'activité des applications, je me suis lancé hier tranquillement...

Le but et la mise en place sont très bien expliqués, rien a dire.

Je n'ai pas encore ajouté d'applications au groupe de confiance pour le contrôle de l'activité.

 

Globalement c'est très puissant ! :cb_punk: je pense avoir + de problèmes pour la maintenance de la catégorie "Applications de confiance" et la configuration des notifications écran, filtres sur les événements,...

Je reparlerai de cela après des tests aboutis.

 

Tchao

Share this post


Link to post

Bonjour Tchup,

 

Merci pour votre retour :)

 

Après lecture de ton super guide Tybilly et quelques moments de réflexions autour des stratégies de contrôle du lancement et d'activité des applications, je me suis lancé hier tranquillement...

Le but et la mise en place sont très bien expliqués, rien a dire.

Je n'ai pas encore ajouté d'applications au groupe de confiance pour le contrôle de l'activité.

 

Cela signifie qu'aucune application inconnue n'a été bloquée lors de son lancement pour le moment, toutes sont connues du KSN ce qui est plutôt positif.

A voir avec le temps selon les mises à jour de logiciels et installation de nouvelles applications que vous êtes susceptibles de réaliser.

 

Globalement c'est très puissant ! :cb_punk: je pense avoir + de problèmes pour la maintenance de la catégorie "Applications de confiance" et la configuration des notifications écran, filtres sur les événements,...

Je reparlerai de cela après des tests aboutis.

 

Dans la stratégie par défaut, j'ai activé les notifications sur écran pour le Contrôle de l'activité des applications afin de se rendre compte rapidement lorsqu'une application n'est pas dans le groupe "De confiance".

Bien entendu, en production il est préférable de désactiver cette notification et laisser seul l'administrateur recevoir ce genre d'informations, via la console KSC.

 

Bonne journée.

 

 

Share this post


Link to post

Bonjour.

 

Je me permets d'intervenir sur ce fil de discussion, ayant moi-même mis en place la catégorie "Protection cryptomalware", et le contrôle de l'activité des applications suivant les indications fournies dans le Guide de Protection Cryptomalware (félicitations au passage ;) ).

 

Il se trouve que je déploie également des paquets via le gestionnaire de paquets du KSC. Les installations sont systématiquement bloquées par la mise en place de la catégorie protection cryptomalware.

 

Voici le type de message que je reçois dans les évènements critiques :

 

Nom de l'événement Lancement de l'application interdit

Importance : Critique

Application : Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 for Windows

Numéro de version : 10.2.4.674

Nom de tâche : Contrôle du lancement des applications

Ordinateur : XXXXXXX

Groupe : XXXXXXXX

Heure : mercredi 20 avril 2016 12:32:29

Nom du Serveur virtuel :

Description : Type d'événement : Lancement de l'application interdit

Objet\Chemin du fichier : c:\windows\temp\kav remote installations\95ed9b2f-e116-48e7-93d0-a81981d1fe7b2d28d027-535b-40ef-9a50-efcd2f586edc\e846c60b-0af0-4822-b376-d1dc26ea67bb.bat

Objet\Catégorie KL : Uncategorized

Utilisateur : AUTORITE NT\Système (Initiateur)

Règle\Catégorie : Catégorie protection cryptomalware

Règle\Type de la règle : N'est pas un test

 

Je ne peux pas autoriser les fichiers bat de ce type dans la catégorie, sachant que le nom est aléatoire.

 

Avez-vous une idée de la manière d'autoriser le déploiement de paquets ?

 

D'autre part, je lis

 

Dans la stratégie par défaut, j'ai activé les notifications sur écran pour le Contrôle de l'activité des applications afin de se rendre compte rapidement lorsqu'une application n'est pas dans le groupe "De confiance".

 

Où se situe l'activation des notifications sur écran ?

 

Merci d'avance !

Share this post


Link to post

Salut,

 

merci pour ton retour ...

 

Je ne peux pas autoriser les fichiers bat de ce type dans la catégorie, sachant que le nom est aléatoire.

 

Avez-vous une idée de la manière d'autoriser le déploiement de paquets ?

peut être en excluant c:\windows\temp\kav remote installations\{*}.bat

:unsure:

 

Où se situe l'activation des notifications sur écran ?

 

Merci d'avance !

stratégie KES > Interface > Notifications

 

Share this post


Link to post

Bonjour et merci Tchup pour tes réponses (notamment pour les notifs, je ne cherchais pas du tout à cet endroit).

 

J'ai créé une Exclusion de type "Chemin vers le dossier" : %WINDIR%\Temp\KAV Remote Installations\*\*.bat

 

Mais cela ne fonctionne toujours pas. Et ça ne me paraît pas très sûr d'autoriser l'exécution de fichiers .bat, même dans le répertoire d'installation à distance de Kaspersky.

 

Il n'est pas possible de "certifier" les paquets légitimes créés par le KSC et lancés par une tâche de déploiement ?

 

Si quelqu'un d'autre a une idée, je suis preneur.

 

 

Share this post


Link to post

J'ai relu l'intitulé de cette exclusion, et il faut indiquer le chemin vers un dossier. Donc en mettant %WINDIR%\Temp\KAV Remote Installations\*\ cela fonctionne.

 

Mais cela implique que n'importe quel exécutable peut se lancer dans les sous-répertoires de KAV Remote Installation...

Edited by rsa31

Share this post


Link to post

Bonjour,

 

Merci de votre partage d'expérience.

 

J'ai relu l'intitulé de cette exclusion, et il faut indiquer le chemin vers un dossier. Donc en mettant %WINDIR%\Temp\KAV Remote Installations\*\ cela fonctionne.

Mais cela implique que n'importe quel exécutable peut se lancer dans les sous-répertoires de KAV Remote Installation...

 

En effet, l'exclusion du répertoire est je pense la bonne façon de procéder.

Le risque qu'un cryptovirus créé cet arborescence et s'y positionne est vraiment minime, la racine du dossier Temp étant elle protégée contre l'exécution de programmes inconnus.

De plus et si le problème se produisait, le Contrôle de l'activité des applications permettrait d'empêcher le chiffrement des fichiers avec des extensions protégées.

Edited by Tybilly

Share this post


Link to post

Bonjour.

 

Bon j'ai commencé... à tester cette stratégie sur mon poste :)

Avec tous mes tests, je commence a avoir pleins d'incompréhensions... Je vais pas tout écrire maintenant, alors je vous écrit mes premières questions / remarques basiques concernant "Contrôle du lancement des applications".

 

1/ J'ai cherché dans le manuel la différence :

Registre des applications. Contient la liste des applications installées sur les postes clients sur lesquels l'Agent d'administration est installé.

Fichiers exécutables. Contient la liste des fichiers exécutables enregistrés sur les postes clients avec l'Agent d'administration installé.

J'ai souvenir que la tâche d'inventaire répertoriée les applications dans "Registre d'applications" mais je vois pas bien l'intérêt d'avoir 2 "listes"...

 

2/ L'ordre des règles (de haut en bas) dans le "Contrôle du lancement des applications" a t-il une importance ? Est-ce que l'analyse s'arrête lorsqu'un lancement d'application match avec une règle ?

J'ai essayé de créer une catégorie d'applications "Applications débloquées". Elle ne semble jamais utilisée car elle est "en dessous" de la catégorie "Protection cryptomalwares"... du coup je suis obligé de rajouter mes applications à débloquer dans les exclusions de "Protection cryptomalwares".

OK mais cela va vite devenir le bordel (voir impossible) avec les utilisateurs ayant droit et les autres...

Y a t-il une technique ?

Pourquoi n'est-il pas possible d'ordonner les règles ?

 

3/ A quoi sert l'option "Générer un résultat de test pour la règle par défaut" ?

 

4/ Malgré la configuration de l'option "Se plaindre...", je ne reçois pas de mail mais l'événement "Message envoyé à l'administrateur sur l'interdiction du lancement de l'application" apparait dans KSC. L'adresse mail est bonne (c'est la même que pour les notifications KSC et rapports).

Est-ce normal ?

 

5/ J'ai tenté l'installation du logiciel ShareX (pour faire des screenshots)... J'ai le blocage :

Lancement de l'application interdit

c:\users\MOI\appdata\local\temp\is-9v73j.tmp\sharex-10.9.1-setup.tmp

Comment gérer les installations de programmes non référencés ?

http://whitelist.kaspersky.com/catalogue?l...R#search/sharex

Par curiosité, j'ai testé l'analyse Advisor du setup (ShareX-10.9.1-setup.exe) : http://whitelist.kaspersky.com/advisor#sea...A394B6BE40B21E9

 

Merci d'avance pour votre aide.

Bon, j'ai le cerveau cramé... heureusement c'est le WE !!!!

Tchusss ;)

Share this post


Link to post

Bonjour,

 

Bon j'ai commencé... à tester cette stratégie sur mon poste :)

Avec tous mes tests, je commence a avoir pleins d'incompréhensions... Je vais pas tout écrire maintenant, alors je vous écrit mes premières questions / remarques basiques concernant "Contrôle du lancement des applications".

 

1/ J'ai cherché dans le manuel la différence :

Registre des applications. Contient la liste des applications installées sur les postes clients sur lesquels l'Agent d'administration est installé.

Fichiers exécutables. Contient la liste des fichiers exécutables enregistrés sur les postes clients avec l'Agent d'administration installé.

J'ai souvenir que la tâche d'inventaire répertoriée les applications dans "Registre d'applications" mais je vois pas bien l'intérêt d'avoir 2 "listes"...

 

Par défaut seul le registre des applications est activé, afin de réaliser un audit logiciel des machines administrées et voir ainsi ce qui est installé ; c'est l'équivalent du menu "Ajout / Suppression de programmes" qui est transféré ici.

 

La liste des fichiers exécutables n'est pas transférée par défaut, mais je l'ai activé dans la stratégie incluse dans le guide pour le "Contrôle de l'activité des applications".

Cela permet de rectifier la catégorisation d'une application, si un exécutable d'un outil métier venait à être ajouté à un groupe à restrictions.

L'administrateur peut ainsi corriger cela et ajouter l'exécutable au groupe "De Confiance" directement.

 

2/ L'ordre des règles (de haut en bas) dans le "Contrôle du lancement des applications" a t-il une importance ? Est-ce que l'analyse s'arrête lorsqu'un lancement d'application match avec une règle ?

J'ai essayé de créer une catégorie d'applications "Applications débloquées". Elle ne semble jamais utilisée car elle est "en dessous" de la catégorie "Protection cryptomalwares"... du coup je suis obligé de rajouter mes applications à débloquer dans les exclusions de "Protection cryptomalwares".

OK mais cela va vite devenir le bordel (voir impossible) avec les utilisateurs ayant droit et les autres...

Y a t-il une technique ?

Pourquoi n'est-il pas possible d'ordonner les règles ?

 

L'ordre n'a pas d'importance, les règles de blocage sont prioritaires sur les règles d'autorisation.

Inutile donc de créer une catégorie pour les applications autorisées, il faut en effet les placer dans les exclusions de la catégorie "Protection cryptomalwares"

 

Et cela est faisable, voilà pourquoi:

- Toutes les catégories KL sont exclues, et KL mets régulièrement à jour ces catégories que vous recevez via les mises à jour des signatures donc une nouvelle application ou une nouvelle version d'une application légitime est normalement automatiquement exclue. Par exemple, celles qui disposent d'une signature numériques où qui sont répandues.

- Les utilisateurs ne disposent normalement pas de privilèges "administrateur" de leur machine et ne peuvent rien installer. Le risque de blocage indésirable est donc minime si l'administrateur a déjà validé le bon fonctionnement sur une machine modèle.

- Pour les applications inconnues (non catégorisées), le système de plainte est le plus pratique pour ajouter des règles d'exclusion selon le hash du fichier. Une fois l'exclusion réalisée le fichier sera définitivement autorisé à être exécuté.

- Pour les applications développées en interne ou peu répandues (non catégorisées), vous pouvez créer les règles d'exclusion assez aisément à l'avance.

 

3/ A quoi sert l'option "Générer un résultat de test pour la règle par défaut" ?

 

Elle sert à tester ce qui se passerait si vous désactivez la règle "Autoriser tout" mais sans la désactiver. Vous recevrez ainsi les événements liés aux fichiers qui seraient bloqués si cette règle était désactivée.

C'est un autre mode de fonctionnement du module qualifié de "Deny all" et qui va encore plus loin que ce dont nous discutons ici, puisque toutes les applications seront bloquées à l'exécution quels que soient leurs emplacements exceptées celles que vous avez autorisées (whitelist).

 

4/ Malgré la configuration de l'option "Se plaindre...", je ne reçois pas de mail mais l'événement "Message envoyé à l'administrateur sur l'interdiction du lancement de l'application" apparait dans KSC. L'adresse mail est bonne (c'est la même que pour les notifications KSC et rapports).

Est-ce normal ?

 

Non, vérifiez que vos machines sont autorisées à émettre des emails via votre serveur de messagerie.

 

5/ J'ai tenté l'installation du logiciel ShareX (pour faire des screenshots)... J'ai le blocage :

Comment gérer les installations de programmes non référencés ?

http://whitelist.kaspersky.com/catalogue?l...R#search/sharex

Par curiosité, j'ai testé l'analyse Advisor du setup (ShareX-10.9.1-setup.exe) : http://whitelist.kaspersky.com/advisor#sea...A394B6BE40B21E9

 

Le 1er lien ne donne rien, l'application est probablement inconnue et non catégorisée ce qui explique son blocage.

Dans ce cas, il faut l'ajouter à la liste des exclusions et vous pouvez le faire facilement en passant par le système de plaintes puis depuis le menu contextuel de cette plainte.

Share this post


Link to post

Bonjour Tybilly,

 

L'ordre n'a pas d'importance, les règles de blocage sont prioritaires sur les règles d'autorisation.

ok... pas forcément facile à gérer, afin du moins j'ai pas l'habitude de cette façon. Je suis beaucoup plus habitué à la configuration (dans un routeur/firewall) un ordre de règles de block ou pass qui s'arrête lorsqu'une règle "match".

 

Inutile donc de créer une catégorie pour les applications autorisées, il faut en effet les placer dans les exclusions de la catégorie "Protection cryptomalwares"
Cela aurait était plus "propre" de pouvoir séparer les applications dans différentes catégories. Pour la "lisibilité" et surtout lorsqu'il y a plusieurs clients (en KSC secondaire) !

De plus, il n'y a pas de "colonne" description pour indiquer quelques infos pour pouvoir s'y retrouver... :/

 

Non, vérifiez que vos machines sont autorisées à émettre des emails via votre serveur de messagerie.
ah ok je comprends le problème... je pensais que c'était le KSC qui envoyait le mail !

Donc cela est problématique pour les postes n'ayant pas de client de messagerie (ceux qui utilise le webmail...)

 

1/ Concernant mes tests du module "Contrôle du lancement des applications"... l'exécutable c:\windows\system32\services.msc est bloqué.

En recherchant dans "Fichiers exécutables" je trouve 2 versions :

Type de fichier : EXE

Version de fichier :

Nom de l'application :

Version de l'application :

Droits d'auteur : Microsoft Windows

Niveau de confiance : De confiance

Catégorie : Catégorie principale\Systèmes d'exploitation et utilitaires\Composants du SE

Première apparition dans le réseau : 27/01/2015 10:33:04

Premier lancement sur le réseau : 07/05/2015 11:59:55

Hachage MD5 : 2D8D95469EC26AAA986AAD1CE424E631

Il existe un certificat : Non

Type de fichier : EXE

Version de fichier :

Nom de l'application :

Version de l'application :

Droits d'auteur : Microsoft Windows

Niveau de confiance : Restrictions faibles

Catégorie : Catégorie principale\Utilitaires système

Première apparition dans le réseau : 25/04/2012 12:26:05

Premier lancement sur le réseau : 12/03/2015 10:29:46

Hachage MD5 : 7A1D35F59468B8118AF5B8E21DF78AE2

Il existe un certificat : Non

La seconde (7A1D35F59468B8118AF5B8E21DF78AE2) étant celle qui concerne mon poste...

 

Est-il normal que pour le services.msc soit dans 2 catégories ?

Le fait que la catégorie KL "Catégorie principale\Utilitaires système" ne soit pas intégrée à ta catégorie "Protection cryptomalwares" est un oubli ou c'est volontaire ?

 

2/ Ma stratégie de test a la notification écran "Lancement de l'application interdit". J'ai créé une catégorie "GWX" (update Windows 10) pour bloquer tous les processus du dossier C:\Windows\System32\GWX\ . Malheureusement, cette alarme est trop fréquente pour l'utilisateur.

Je suppose que non mais existe-t-il un moyen d'activer la notification écran pour en cas de blocage pour certains catégories et pas d'autres ?

 

A bientôt ;)

Share this post


Link to post

Bonjour Tchup,

 

Vous pouvez utiliser le Contrôle du lancement des applications en mode "Deny All" si cela vous convient mieux par rapport à la gestion des règles et des catégories, voici quelques ressources à ce sujet :

https://eugene.kaspersky.com/2012/10/03/in-...about-deny-all/

 

Cela aurait était plus "propre" de pouvoir séparer les applications dans différentes catégories. Pour la "lisibilité" et surtout lorsqu'il y a plusieurs clients (en KSC secondaire) !

De plus, il n'y a pas de "colonne" description pour indiquer quelques infos pour pouvoir s'y retrouver... :/

 

Il y'a bien une colonne description pour chaque catégorie, dont le contenu peut être modifié depuis ses propriétés.

 

1/ Concernant mes tests du module "Contrôle du lancement des applications"... l'exécutable c:\windows\system32\services.msc est bloqué.

En recherchant dans "Fichiers exécutables" je trouve 2 versions :

 

La seconde (7A1D35F59468B8118AF5B8E21DF78AE2) étant celle qui concerne mon poste...

 

Est-il normal que pour le services.msc soit dans 2 catégories ?

Non ça ne l'est pas, le fichier indiqué est-il au même emplacement sur le système de fichiers ?

Si vous pouvez le mettre à disposition en téléchargement pour vérification.

 

Le fait que la catégorie KL "Catégorie principale\Utilitaires système" ne soit pas intégrée à ta catégorie "Protection cryptomalwares" est un oubli ou c'est volontaire ?

Vérification faite, cette catégorie est bien la liste des catégories exclusions.

 

2/ Ma stratégie de test a la notification écran "Lancement de l'application interdit". J'ai créé une catégorie "GWX" (update Windows 10) pour bloquer tous les processus du dossier C:\Windows\System32\GWX\ . Malheureusement, cette alarme est trop fréquente pour l'utilisateur.

Je suppose que non mais existe-t-il un moyen d'activer la notification écran pour en cas de blocage pour certains catégories et pas d'autres ?

 

Non, mais vous pouvez appliquer une stratégie spécifique à cette machine dans laquelle les notifications liées au blocage du lancement des applications sont désactivées, cela s'appliquera cependant à toutes les catégories.

 

Bonne fin de semaine.

Share this post


Link to post

Bonjour Tybilly,

Vous pouvez utiliser le Contrôle du lancement des applications en mode "Deny All" si cela vous convient mieux par rapport à la gestion des règles et des catégories, voici quelques ressources à ce sujet :

https://eugene.kaspersky.com/2012/10/03/in-...about-deny-all/

Merci, je vais regarder ça. ;)

 

Il y'a bien une colonne description pour chaque catégorie, dont le contenu peut être modifié depuis ses propriétés.
Je parlais de la liste des inclusions/exclusions dans une catégorie... car s'il est nécessaire de rajouter plusieurs "Hâche de fichier", "Méta données", etc... il devient compliquer de les différencier.

 

Non ça ne l'est pas, le fichier indiqué est-il au même emplacement sur le système de fichiers ?

Si vous pouvez le mettre à disposition en téléchargement pour vérification.

Le fichier services.msc (mis à disposition) est bien présent dans C:\Windows\System32\

services.zip

 

Vérification faite, cette catégorie est bien la liste des catégories exclusions.
J'ai supprimé la catégorie "Catégorie protection cryptomalwares" pour pouvoir la réimporter et je n'ai pas la catégorie KL "Catégorie principale\Utilitaires système" dans les exclusions. Par contre, il y en a une qui y ressemblent : "Systèmes d'exploitation et utilitaires\Utilitaires systèmes" en dernière ligne....

Je la rajoute.

 

Non, mais vous pouvez appliquer une stratégie spécifique à cette machine dans laquelle les notifications liées au blocage du lancement des applications sont désactivées, cela s'appliquera cependant à toutes les catégories.
Dommage... demande R&D ?

 

Le module "Contrôle de l'activité des applications"... fonctionne bien mais j'ai un souci pour exclure un client VPN SSL de "Stormshield" (routeurs/firewalls). Celui-ci utilise un carnet d'adresses qu'il déchiffre avec mot de passe :

La règle de surveillance de l'activité des applications a fonctionné

Application : STORMSHIELD SSLVPN CLient

Chemin : c:\program files (x86)\stormshield\stormshield ssl vpn client\sslvpn_client.exe

Utilisateur : PORT-ARNAUD\Arnaud (Utilisateur actif)

Module : Contrôle de l'activité des applications

Résultat : Interdit : zip

Action : Création

Objet : C:\USERS\MOI\APPDATA\LOCAL\TEMP\OPENVPN_CLIENT.ZIP

Raison : zip

Alors que j'ai :

- vérifié/recherché sslvpn_client.exe dans "Fichiers exécutables" (1 seule version avec mon ordinateur référencé)

- ajouté cet exécutable dans la catégorie des "Applications de confiance"

post-220038-1462176486_thumb.png

post-220038-1462176496_thumb.png

Mais j'obtiens toujours la même erreur...

 

 

Share this post


Link to post

Bonjour,

 

Les catégories "Catégorie principale\Utilitaires système" et "Systèmes d'exploitation et utilitaires\Utilitaires systèmes" sont normalement déjà dans la liste des exclusions.

Dans le cas contraire, il y'a eu un souci lors de l'import de la catégorie depuis l'archive vous pouvez exclure manuellement toutes les catégories et sous-catégories manuellement.

 

Dans le cas d'un fichier msc, c'est en fait le lancement de l'interpréteur (mmc.exe) qui est contrôlé.

Celui-ci est rattaché à la catégorie "Catégorie principale\Systèmes d'exploitation et utilitaires\Composants du SE"

 

J'ai testé le lancement de votre fichier services.msc, et il n'est pas bloqué avec cette configuration du contrôle d'applications sur ma machine de test.

Vérifiez si le souci persiste après avoir revu la liste des catégories exclues.

 

Concernant l'application sslvpn_client.exe et après avoir corrigé le groupe de confiance depuis la console KSC, vérifiez localement que cette modification s'est bien répercutée en cliquant sur le bouton "Surveillance des applications" :

post-1491-1462376770_thumb.jpg

 

Dans la nouvelle fenêtre apparue, repérez le fichier sslvpn_client.exe et vérifiez la colonne "Réputation" qui doit afficher la valeur "De confiance" pour cet exécutable.

Si ce n'est pas le cas, la stratégie ne s'est pas appliquée ou il ne s'agit pas du même exécutable.

 

Pour les demandes d'évolution des produits que vous suggérez, il faut ouvrir un incident via https://companyaccount.kaspersky.com/.

 

Merci.

Share this post


Link to post

Bonjour Tybilly,

 

Le niveau de confiance est "Restrictions faibles" :

post-220038-1462822587_thumb.png

J'ai vérifié, il n'y a qu'un seul exécutable "sslvpn_client.exe" référencé dans "Fichiers exécutables" du KSC (mon ordinateur y est d'ailleurs listé). De plus, lorsque je récupère les informations du fichier localement sur mon poste, le hachage MD5 est le même :

post-220038-1462822896_thumb.png

L'advisor le reconnait également : http://whitelist.kaspersky.com/advisor#sea...C754A122DBE2C7E

La stratégie est bien active sur mon poste (indiqué dans la liste des ordinateurs de la stratégie et sslvpn_client.exe apparait dans "Règles de contrôle des applications" de la configuration de KES)

 

Il n'y a pas moyen de "Se plaindre" sans client de messagerie configuré ?

Share this post


Link to post

Bonjour Tchup,

 

De ce que je lis vous procédez correctement pour l'ajout d'un exécutable dans le groupe "De confiance".

Mais cela ne semble pas se répercuter sur votre machine administrée par cette stratégie, puisque le fichier "sslvpn_client.exe" reste dans le groupe "Restrictions faibles".

 

Avez vous essayé de quitter puis relancer l'application ?

Vérifiez également que l'option "Pour les applications inconnues : Placer automatiquement dans le groupe "Restrictions faibles"" n'est pas activé dans la stratégie, au niveau du Contrôle de l'activité des applications.

 

Éventuellement, pouvez-vous partager ce fichier "sslvpn_client.exe" afin que je tente de reproduire le problème ?

 

Il n'y a pas moyen de "Se plaindre" sans client de messagerie configuré ?

Le système de plainte est disponible pour le Contrôle du lancement des applications, mais pas pour le Contrôle de l'activité des applications.

Et celui-ci fonctionne sans avoir configuré les notifications par email, puisque les plaintes arrivent dans le menu "Rapports et notifications" > "Evénements" > "Requêtes de utilisateurs" de la console KSC.

Share this post


Link to post

Bonjour,

 

Les postes testant cette stratégie ont tous été redémarré X fois.

L'option "Pour les applications inconnues : Placer automatiquement dans le groupe "Restrictions faibles"" est bien décochée.

post-220038-1463128477_thumb.png

L'exécutable sslvpn_client.exe est en pièce jointe.

sslvpn_client.exe.zip

 

Merci pour ton aide

Share this post


Link to post

Bonjour Tybilly,

je vais ouvrir un ticket... faut que j'avance.

Merci quand même :)

Share this post


Link to post

Bonjour à tous,

 

Je reprend le sujet sur les *.msc

de mon coté j'ai le même problème avec les ordinateurs du parc.

 

Celui-ci est rattaché à la catégorie "Catégorie principale\Systèmes d'exploitation et utilitaires\Composants du SE"

 

J'ai testé le lancement de votre fichier services.msc, et il n'est pas bloqué avec cette configuration du contrôle d'applications sur ma machine de test.

Vérifiez si le souci persiste après avoir revu la liste des catégories exclues.

 

 

mmc.exe est bien autorisé par défaut avec les régles KL, par contre beaucoup de raccourcis système (outils d'administration) sont bloqué par les stratégies de contrôle contre les cryptomalware.

 

C:\Windows\system32>mmc.exe compmgmt.msc

Accès refusé.

 

C:\Windows\system32>compmgmt.msc /s

Accès refusé.

 

C:\Windows\system32>compmgmt.msc /s > ok avec le stratégies de contrôle contre les cryptomalware (désactiver)

 

ci-joint au format txt a ouvrir avec un cat où vim

C:\Windows\system32\comexp.msc > fichier joint out.txt exporté avec un copy

 

ouverture mmc.exe > ok > ouvrir *.msc = ok

 

même si ont ouvre rarement ce genre d'outils localement, le fonctionnement devient quelques peu perturbé.

 

un contrôle sélectif des messages d'alertes sur les blocages serait en effet un vrai plus.

out.txt

post-366876-1466095819_thumb.png

Edited by juddix

Share this post


Link to post

Bonjour à tous,

 

Je cherche une solution pour désactiver l'héritage de la catégorie "Administration des applications > catégories d'applications" du serveur principale a un serveur d'administration virtuel.

 

Si vous avez des suggestions, merci d'avance

 

Le but rechercher est de fournir un serveur d'administration vierge a destination d'un autre service informatique, sans pour autant imposer toutes les règles du serveur principale.

post-366876-1467638752_thumb.png

Edited by juddix

Share this post


Link to post

Bonjour,

et en jouant avec les options d'héritage dans la stratégie mère ?

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.