Jump to content
Vadimon

Мониторинг системы не может противостоять шифровальщикам [В процессе]

Recommended Posts

Здравствуйте,

 

Как мне сделать, чтобы для них для всех стал максимальный уровень доверия?

Это можно сделать переместив программу в соответствующую группу доверия, например, локально.

 

Есть ли возможность скопировать настройки контроля активности из одной политики в другую, не трогая при этом настройки других компонентов?

К сожалению, сохранить отдельно только настройки контроля нельзя.

 

Спасибо!

 

 

Share this post


Link to post
Это можно сделать переместив программу в соответствующую группу доверия, например, локально.

Не совсем понял, как именно это нужно сделать.

 

В политике поставил Автомотически помещать неизвестные программы в группу Сильные ограничения.

В доверенная зона - доверенные программы - добавил путь \\server\*.cmd - не контролировать активность программ.

В результате скрипт в списке исполняемых файлов пометился как недоверенный, и программа установки, запущеная скриптом, не смогла ничего установить. Запустил установщик напрямую - все сработало, так как сам установщик вполне доверенный.

При этом в логах компьютера в KSC я не вижу никакой информации о том, что скрипт был ограничен. В настройках уведомлений контроля активности в политике стоит сохранять всё в локальном журнале, но не сохранять в журнале событий Windows. А какой из этих журналов всё-таки в итоге отображается в KSC?

Share this post


Link to post
Не совсем понял, как именно это нужно сделать.

 

В политике поставил Автомотически помещать неизвестные программы в группу Сильные ограничения.

В доверенная зона - доверенные программы - добавил путь \\server\*.cmd - не контролировать активность программ.

В результате скрипт в списке исполняемых файлов пометился как недоверенный, и программа установки, запущеная скриптом, не смогла ничего установить. Запустил установщик напрямую - все сработало, так как сам установщик вполне доверенный.

При этом в логах компьютера в KSC я не вижу никакой информации о том, что скрипт был ограничен. В настройках уведомлений контроля активности в политике стоит сохранять всё в локальном журнале, но не сохранять в журнале событий Windows. А какой из этих журналов всё-таки в итоге отображается в KSC?

 

Здравствуйте,

 

выберите пункт - хранить на сервере KSC.

Спасибо.

Share this post


Link to post

А что насчет

Не совсем понял, как именно это нужно сделать.

 

В политике поставил Автомотически помещать неизвестные программы в группу Сильные ограничения.

В доверенная зона - доверенные программы - добавил путь \\server\*.cmd - не контролировать активность программ.

В результате скрипт в списке исполняемых файлов пометился как недоверенный, и программа установки, запущеная скриптом, не смогла ничего установить. Запустил установщик напрямую - все сработало, так как сам установщик вполне доверенный.

?

 

Нашел, где включить логи, в логах написано,что скрипт попал в группу сильные ограничения, хотя он попадает под путь \\server\*.cmd

 

Share this post


Link to post
Каким образом вы запускали скрипт?

Как, вручную. В проводнике нахожу файл и запускаю. Аналогично с .exe файлами установщиков, которые я сделал сам, поэтому попавшие сразу в группу сильных ограничений.

Итак, разобрался. Если прописываю путь вида \\server\*.cmd, или \\server\*.*, то он не срабатывает.

Если прописываю путь вида \\server\*\*.cmd или \\server\*\*.*, то он уже срабатывает, причем на папки любого уровня на сервере, а не только первого.

 

Странноватая логика разбора пути к файлам, но с этим можно жить, если бы это было толково расписано в какой-нибудь из статей базы знаний. Есть статья https://support.kaspersky.ru/11295, но там про Исключения из проверки, где есть галочка про включение подпапок, а варианта для Доверенных программ, где указывается только путь, не приведено.

 

Только пока всё-равно не понял, есть ли возможность повысить уровень доверия к файлу в списке раз и навсегда, чтобы больше не прописывать его ни в Контроль активности - правила программ - Настройка, ни в Исключения и доверенная зона. Просто политик несколько и будет достаточно муторно каждый раз, когда обнаружится файл, для которого в KSN нет доверенного статуса, добавлять его во все политики (хоть в доверенные в контроле активности, хоть в исключения).

 

В целом убедился в том, чего и боялся. Процедура составления белого списка ПО в разы муторнее прописывания запрета на запуск незнакомых скриптов. Но если была бы возможность просто сделать блокировку по расширению, это бы просто несколько повысило бы уровень защиты. А вот то, что некоторые программы неожиданно оказались не достаточно доверенными в KSN лишило на полдня возможности работать целое подразделение.

Share this post


Link to post
Вадим, все это время вы занимались чем угодно, но не осваиванием "белого списка". Белый список и доверенные/не доверенные программы - это разные вещи. Белый список настраивается через контроль запуска программ, а доверие через контроль активности программ. Вы понимаете, что это две разные закладки в настройках?

Я, видимо, Вас неправильно понял. Когда вы писали, что я должен довериться KL-категориям, я понял, что вы про KSN, а он только в контроле активности.

Тем более, что основная инстркция ЛК по защите от шифровальщиков призывает использовать контроль активности, добавив нужные программы в доверенные, а осталным запретить операции с файлами, что тоже можно назвать белым списком.

Что-ж возвращаюсь к контролю запуска. Начал пробовать. Сразу возникает мысль о том, что проанализированное ПО, попавшее KL-категории - это лишь часть KSN и было бы неплохо иметь правило в контроле запуска, для программ, имеющих в KSN более определенного числа установок. Я бы, например, доверял любому ПО с более чем 1000 установок.

 

 

Share this post


Link to post

Хотя уже нашел в Other Software вариант "ПО из KSN c хорошей репутацией"

Edited by Vadim Dvorovenko

Share this post


Link to post
Хотя уже нашел в Other Software вариант "ПО из KSN c хорошей репутацией"

Ну вот смотрите, ещё один косяк.

Создаю в KSC категорию программ, называю её KL-категории. Захожу в неё, выбираю добавить KL-категорию, выбираю галочками, например, Other Software и все её подкатегории.

При этом добавляется только категория Other Software. Ну я от такого поведения, значит, ожидаю, что раз уж при этом добавилась только основная категория, когда я выбирал всё, значит подразумевается, что и всё, что в неё в входит. Ан-нет. Пытаюсь запустить Softperfect network scanner (это для примера, чтобы можно было повторить), а он не запускается. Долго пытаюсь понять, в конце концов добавляю отдельно Other Software\Applications, trusted ...., хотя в первый раз я же его тоже выбирал. А вот теперь начинает запускаться.

 

Добавил все категории в итоге. Пытаюсь запустить Pandion 2.6.114. Он блочится. Отключаю контроль запуска. Запускается. Смотрю рейтинг в контроле активности - более 10000 пользователей, автоматически попадает в доверенные. А вот в группу Applications, trusted by KSN rating в контроле запуска почему-то не попадает.

 

Ну что за отношение к пользователям такое? То там, то там, вылазят такие мелкие косячки, на разбирательство с которыми уходят драгоценные часы времени.

Вот это, до этого с звездочками в путях исключениях косяк, до этого в невозможности запрет по расширению поставить. Копаюсь глубже по форуму - да эти проблемы ещё несколько релизов назад поднимались, но не исправлений ни в ПО, ни в документации. Я мог бы и в саппорте тикет создать, но там, возможно, та же история будет (у меня один тикет три релиза ждал с ответом "будет исправлено в в следующем релизе"). Из того, что здесь на форуме обсуждается, в итоге к аналитикам, менеджерам и разработчикам ничего на доработку не попадает, хотя это реальные потребности

Share this post


Link to post

Ещё вопрос по белым спискам. Когда настраивал ограничения средствами GPO, делал просто, разрешал всё, что в %systemroot% и в %programfiles% по той логике, что туда права на запись есть только у админов, а если уж админ туда что-то запихнул, то пользователю это точно можно запускать.

Как выяснил постом выше, корпоративный чат Pandion в whitelist не входит, и это далеко не самая редкая их программ, что мы используем.

Безопасно ли разрешать в контроле запуска запуск всего из c:\program files\, или же всё-таки каждый специфический .exe придется вручную вносить в категорию по хэшу?

 

Можно как-то настроить, чтобы на одной и той же машине у простых пользователей не было возможности запускать всё подряд, а у администраторов - было? В настройках правила Разрешить всё не могу настраивать пользователей, а как создать другое правило, которое распространялось бы на любые программы, не знаю.

Share this post


Link to post
Вы такое вещаете, что у меня волосы на голове шевелятся.

Вы так говорите, как будто я этот подход сам придумал. Когда настраиваешь политику ограниченного использования программ средствами GPO, по умолчанию сразу настривается разрешение на systemroot и programfiles и режим, когда у пользователей есть запрет, а у администраторов - нет. Я просто пытаюсь перенсти эту логику на KES, чтобы собрать все настройки для защиты от вирусов в одном месте

 

Извините, но я больше вам отвечать не буду.

В любом случае большое спасибо! Вы продвинули мои знания в этой области существенно дальше, чем вся команда техподдержки

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.