alex3110 Posted March 16, 2017 (edited) Подскажите, пожалуйста, как лучше сделать. Может уже был такой вопрос ранее, т.к. такая проблема "злободневная". Используем KES10 v.10 с лицензией на нужное кол-во компьютеров. Имеется сеть организации, в которой есть несколько подсетей со своими «шлюзами», в каждой из которых присутствует своя группа «сервер» - «клиенты» (АРМ-ы). Назовём их всех «компы». На каждом «компе»: - установлен «серверный» вариант либо «R-admin», либо «Ultra VNC» ; - активирована служба «Remote Desktop» («Удалённый рабочий стол») В других подсетях имеются несколько ИС – «инженерных станций», на каждой из которых установлен «клиентский» вариант «R-admin» и «Ultra VNC», используя которые, по мере надобности, происходит подключение к любому из «компов». Стоит задача, на каждом из «компов», настроить сетевой экран KES10 таким образом, чтобы каждый из «компов» «игнорировал» все сетевые компьютеры (кроме ИС !!!) по следующим запросам : 1. «Пинги» . Т.е. «компы» должны отвечать только на «пинги», посланные с ИС. «Пинговые» запросы с других компьютеров организации должны игнорироваться ; 2. Запросы на подключение, посланные от «клиентов» «R-admin» (или «Ultra VNC»), находящихся на ИС. Такие же запросы с других компьютеров организации должны игнорироваться ; 3. В отношении технологии «Удалённый рабочий стол» - всё то же самое, как в п.1 и п.2 ; Что нужно использовать при такой настройке, «Правила программ» или «Сетевые и пакетные правила», либо их комбинацию ? Читал о том, что при настройках с использованием «Правил программ», полезно создавать свои подгруппы, в которые нужно помещать требуемые программы. А что это даёт ? Заранее благодарен. Edited March 16, 2017 by alex3110 Share this post Link to post
Konstantin Antonov Posted March 16, 2017 Подскажите, пожалуйста, как лучше сделать. Может уже был такой вопрос ранее, т.к. такая проблема "злободневная". Используем KES10 v.10 с лицензией на нужное кол-во компьютеров. Имеется сеть организации, в которой есть несколько подсетей со своими «шлюзами», в каждой из которых присутствует своя группа «сервер» - «клиенты» (АРМ-ы). Назовём их всех «компы». На каждом «компе»: - установлен «серверный» вариант либо «R-admin», либо «Ultra VNC» ; - активирована служба «Remote Desktop» («Удалённый рабочий стол») В других подсетях имеются несколько ИС – «инженерных станций», на каждой из которых установлен «клиентский» вариант «R-admin» и «Ultra VNC», используя которые, по мере надобности, происходит подключение к любому из «компов». Стоит задача, на каждом из «компов», настроить сетевой экран KES10 таким образом, чтобы каждый из «компов» «игнорировал» все сетевые компьютеры (кроме ИС !!!) по следующим запросам : 1. «Пинги» . Т.е. «компы» должны отвечать только на «пинги», посланные с ИС. «Пинговые» запросы с других компьютеров организации должны игнорироваться ; 2. Запросы на подключение, посланные от «клиентов» «R-admin» (или «Ultra VNC»), находящихся на ИС. Такие же запросы с других компьютеров организации должны игнорироваться ; 3. В отношении технологии «Удалённый рабочий стол» - всё то же самое, как в п.1 и п.2 ; Что нужно использовать при такой настройке, «Правила программ» или «Сетевые и пакетные правила», либо их комбинацию ? Читал о том, что при настройках с использованием «Правил программ», полезно создавать свои подгруппы, в которые нужно помещать требуемые программы. А что это даёт ? Заранее благодарен. Здравствуйте! В вашем случае необходимо использовать "Сетевые пакетные правила", указав в разрешающем правиле список компьютеров с которых будут идти запросы на подключение и прочее. Спасибо! Share this post Link to post
alex3110 Posted March 16, 2017 Здравствуйте! В вашем случае необходимо использовать "Сетевые пакетные правила", указав в разрешающем правиле список компьютеров с которых будут идти запросы на подключение и прочее. Спасибо! Мне нужно создать новое такое разрешающее правило ? Если так, то в какую строку списка "правил" нужно его поместить ? Или оно, по умолчанию, может добавиться только в конец этого списка ? Или же можно успользовать какое-то из уже существующих 12-ти или 13-ти (точно не помню) правил, уже заданных по умолчанию, самим KES10 ? Каким тогда ? Share this post Link to post
Dmitry Eremeev Posted March 16, 2017 Мне нужно создать новое такое разрешающее правило ? Если так, то в какую строку списка "правил" нужно его поместить ? Или оно, по умолчанию, может добавиться только в конец этого списка ? Или же можно успользовать какое-то из уже существующих 12-ти или 13-ти (точно не помню) правил, уже заданных по умолчанию, самим KES10 ? Каким тогда ? Здравствуйте, ознакомьтесь, пожалуйста, с руководством на стр. 159 - 166 Спасибо. Share this post Link to post
alex3110 Posted March 18, 2017 Здравствуйте, ознакомьтесь, пожалуйста, с руководством на стр. 159 - 166 Спасибо. Спасибо большое, почитаю. Share this post Link to post
alex3110 Posted April 27, 2017 (edited) Почитал, попробовал. Чё-то не все, что хочу получается. А есть ли у кого ссылочка на подобный пример, где бы всё это было описано ? И можно ли проверять вышеупомянутые настройки, используя два компьютера, находящиеся в одной подсети и подключенные к одному и тому же сетевому switch - чу ? Или для проверки правильности настройки нужны компьютеры в разных подсетях ? Edited April 27, 2017 by alex3110 Share this post Link to post
Kirill Tsapovsky Posted April 27, 2017 Почитал, попробовал. Чё-то не все, что хочу получается. А есть ли у кого ссылочка на подобный пример, где бы всё это было описано ? Здравствуйте. К сожалению, юс-кейсами техподдержка не располагает. Пожалуйста, уточните, что именно работает не так, как задумано, и каким образом произведены настройки (экспорт политики либо скриншоты правил Сетевого экрана). Также уточните, пожалуйста, какой полный номер версии KES. Спасибо. Share this post Link to post
alex3110 Posted April 27, 2017 (edited) Хорошо, позже опишу поподробнее (сейчас конец рабочего дня) , а пока ответьте, пожалуйста : Какой приоритет по счёту, начиная сверху, в пакетных правилах, нужно будет присвоить моему новому правилу, т.е. на какую позицию его надо будет поместить ? Можно ли проверять вышеупомянутые настройки, используя два компьютера, находящиеся в одной подсети и подключенные к одному и тому же сетевому switch - чу ? Или для проверки правильности настройки нужны компьютеры в разных подсетях ? Edited April 27, 2017 by alex3110 Share this post Link to post
Kirill Tsapovsky Posted April 27, 2017 Хорошо, позже опишу поподробнее (сейчас конец рабочего дня) , а пока ответьте, пожалуйста : Какой приоритет по счёту, начиная сверху, в пакетных правилах, нужно будет присвоить моему новому правилу, т.е. на какую позицию его надо будет поместить ? Можно ли проверять вышеупомянутые настройки, используя два компьютера, находящиеся в одной подсети и подключенные к одному и тому же сетевому switch - чу ? Или для проверки правильности настройки нужны компьютеры в разных подсетях ? Ответ на оба вопроса зависит от того, что это за правило и для чего оно предназначено. Приоритет пакетных правил идет сверху вниз. "до первого попадания". Если две машины находятся в одной подсети и эта подсеть является доверенной, то по умолчанию для любого сетевого взаимодействия между ними будет работать правило "Любая сетевая активность" для доверенных сетей. Чтобы ее ограничить, дополнительное правило необходимо будет создать выше по списку. Спасибо. Share this post Link to post
alex3110 Posted April 28, 2017 (edited) Ответ на оба вопроса зависит от того, что это за правило и для чего оно предназначено. Стоит задача : на удалённых компьютерах, где - установлен «серверный» вариант либо «R-admin», либо «Ultra VNC» ; - активирована служба «Remote Desktop» («Удалённый рабочий стол») настроить сетевой экран KES10 таким образом, чтобы каждый из удалённых компьютеров «игнорировал» все сетевые компьютеры (кроме моих компьютеров) по следующим сетевым запросам : 1. «Пинги» . Т.е. удалённые компьютеры должны отвечать только на «пинги», посланные с моих компьютеров. «Пинговые» запросы с других компьютеров организации должны игнорироваться ; 2. Запросы на подключение, посланные от «клиентов» «R-admin» (или «Ultra VNC»), находящихся на моих компьютерах. Такие же запросы с других компьютеров организации должны игнорироваться ; 3. В отношении технологии «Удалённый рабочий стол» - всё то же самое, как в п.1 и п.2, т.е. подключение к удалённым компьютерам по RDC их сетевые экраны должны разрешать только для моих компьютеров, а для всех остальных - блокировать. По поводу сети. "Доверенной" она точно не будет, т.к. сейчас стоят настройки по умолчанию, т.е. "локальная". Если потребуется, то можно сделать её даже "публичной", лишь бы всё работало как нужно. Edited April 28, 2017 by alex3110 Share this post Link to post
Kirill Tsapovsky Posted April 28, 2017 Стоит задача : на удалённых компьютерах, где - установлен «серверный» вариант либо «R-admin», либо «Ultra VNC» ; - активирована служба «Remote Desktop» («Удалённый рабочий стол») настроить сетевой экран KES10 таким образом, чтобы каждый из удалённых компьютеров «игнорировал» все сетевые компьютеры (кроме моих компьютеров) по следующим сетевым запросам : 1. «Пинги» . Т.е. удалённые компьютеры должны отвечать только на «пинги», посланные с моих компьютеров. «Пинговые» запросы с других компьютеров организации должны игнорироваться ; 2. Запросы на подключение, посланные от «клиентов» «R-admin» (или «Ultra VNC»), находящихся на моих компьютерах. Такие же запросы с других компьютеров организации должны игнорироваться ; 3. В отношении технологии «Удалённый рабочий стол» - всё то же самое, как в п.1 и п.2, т.е. подключение к удалённым компьютерам по RDC их сетевые экраны должны разрешать только для моих компьютеров, а для всех остальных - блокировать. Для диагностики возможных проблем с настройкой необходим точный сценарий (выполненные действия с явным указанием адресов машин, портов, порядка правил и т.д., ожидаемый результат, фактический результат). Пожалуйста, уточните, что именно работает не так, как задумано, и каким образом произведены настройки (для этого приложите экспорт политики, экспорт локальных настроек, либо скриншоты настроенных вами правил Сетевого экрана). Также уточните, пожалуйста, какой полный номер версии KES. Спасибо. Share this post Link to post
alex3110 Posted April 28, 2017 (edited) Например, я хочу настроить Сетевой Экран на удалённом персональном компьютере (УПК) так, чтобы к нему не мог подключиться ни один другой компьютер по технологии «Удалённый рабочий стол» УРС . Я создал новое правило, обозвал его «УРС_МОЁ» и поставил его на строку №5, начиная сверху, в списке «Настройка сетевых пакетных правил». Внутри «УРС_МОЁ», в окне «Сетевое правило», я сделал следующие настройки : Действие : Запрещать Протокол : выбран ТСР Направление : Входящее Удалённые порты : 3389 Локальные порты : ------ Адрес : Любой адрес Всё сохранил, KES10 не перезапускал (хотя может перезапуск и не нужен для того, чтобы изменения вступили в силу ???) Но всё равно я подключаюсь к этому УПК с другого ПК через УРС, хотя это не должно происходить. Что не так ? Использую версию KES10 10.2.1.23(a) "для этого приложите экспорт политики, экспорт локальных настроек...." - это посмотрю. Это всё где-то внутри KES10 ? Edited April 28, 2017 by alex3110 Share this post Link to post
NickM82 Posted April 28, 2017 ... Действие : Запрещать Протокол : выбран ТСР Направление : Входящее Удалённые порты : 3389 Локальные порты : ------ Адрес : Любой адрес ... Но всё равно я подключаюсь к этому УПК с другого ПК через УРС, хотя это не должно происходить. Что не так ? Вы настраиваете правило клиента, поэтому порт для него будет - локальный. Share this post Link to post
Dmitry Eremeev Posted April 28, 2017 Например, я хочу настроить Сетевой Экран на удалённом персональном компьютере (УПК) так, чтобы к нему не мог подключиться ни один другой компьютер по технологии «Удалённый рабочий стол» УРС . Я создал новое правило, обозвал его «УРС_МОЁ» и поставил его на строку №5, начиная сверху, в списке «Настройка сетевых пакетных правил». Внутри «УРС_МОЁ», в окне «Сетевое правило», я сделал следующие настройки : Действие : Запрещать Протокол : выбран ТСР Направление : Входящее Удалённые порты : 3389 Локальные порты : ------ Адрес : Любой адрес Всё сохранил, KES10 не перезапускал (хотя может перезапуск и не нужен для того, чтобы изменения вступили в силу ???) Но всё равно я подключаюсь к этому УПК с другого ПК через УРС, хотя это не должно происходить. Что не так ? Использую версию KES10 10.2.1.23(a) "для этого приложите экспорт политики, экспорт локальных настроек...." - это посмотрю. Это всё где-то внутри KES10 ? Эта версия не поддерживается - http://support.kaspersky.ru/support/lifecy...block0.kes10wks Обновите, пожалуйста, KES. Share this post Link to post
Kirill Tsapovsky Posted April 28, 2017 Например, я хочу настроить Сетевой Экран на удалённом персональном компьютере (УПК) так, чтобы к нему не мог подключиться ни один другой компьютер по технологии «Удалённый рабочий стол» УРС . Я создал новое правило, обозвал его «УРС_МОЁ» и поставил его на строку №5, начиная сверху, в списке «Настройка сетевых пакетных правил». Внутри «УРС_МОЁ», в окне «Сетевое правило», я сделал следующие настройки : Действие : Запрещать Протокол : выбран ТСР Направление : Входящее Удалённые порты : 3389 Локальные порты : ------ Адрес : Любой адрес Всё сохранил, KES10 не перезапускал (хотя может перезапуск и не нужен для того, чтобы изменения вступили в силу ???) Но всё равно я подключаюсь к этому УПК с другого ПК через УРС, хотя это не должно происходить. Что не так ? Использую версию KES10 10.2.1.23(a) "для этого приложите экспорт политики, экспорт локальных настроек...." - это посмотрю. Это всё где-то внутри KES10 ? К сожалению, используемая версия на данный момент не поддерживается. Отсутствие проблем с работой компонентов (или их оперативное исправление) гарантируется только для последних версий продукта. Рекомендуется обновиться до KES 10 SP2 (10.3.0.6202). Спасибо! Share this post Link to post
alex3110 Posted April 29, 2017 К сожалению, используемая версия на данный момент не поддерживается. Отсутствие проблем с работой компонентов (или их оперативное исправление) гарантируется только для последних версий продукта. Рекомендуется обновиться до KES 10 SP2 (10.3.0.6202). Извините, не понял в плане "не поддерживается". Значит ли это, что ни одна из функций "моей" версии после 1 января 2017 г. не будет работать ? Но это не так. Программа так же, как и ранее, обновляет антивирусные базы, ищет вирусы, контролирует устройства и т.д. Share this post Link to post
Dmitry Eremeev Posted April 29, 2017 Извините, не понял в плане "не поддерживается". Значит ли это, что ни одна из функций "моей" версии после 1 января 2017 г. не будет работать ? Но это не так. Программа так же, как и ранее, обновляет антивирусные базы, ищет вирусы, контролирует устройства и т.д. Ознакомьтесь, пожалуйста, с информацией - http://support.kaspersky.ru/support/rules#section0.block8 Share this post Link to post
alex3110 Posted May 10, 2017 (edited) Вы настраиваете правило клиента, поэтому порт для него будет - локальный. Спасибо, получилось. Теперь пробую настроить так, чтобы локальный комп пропускал запросы на подключение к нему по технологии RDP, посланные только с определённого удалённого компа. Указываю IP удалённого компа, а /32 касперский добавляет сам (так и должно быть ?) . Настройки моего сетевого правила такие : Действие : Разрещать Название : .......... Протокол : ТСР Направление : Входящее Удалённые порты : пусто Локальные порты : 3389 Адрес : Адреса из списка Удалённый адрес : ххх.ххх.ххх.112/32 Локальный адрес : Любой адрес Почему-то не работает, т.к. подключиться к локальному ПК по RDP могу не только с адреса ...112, но и с любого другого. Edited May 10, 2017 by alex3110 Share this post Link to post
NickM82 Posted May 10, 2017 а /32 касперский добавляет сам (так и должно быть ?) Да, это маска одного узла. Почему-то не работает, т.к. подключиться к локальному ПК по RDP могу не только с адреса ...112, но и с любого другого. на клиенте, что говорит команда, порт слушается? netstat -aon | findstr /c:3389 Share this post Link to post
Konstantin Antonov Posted May 10, 2017 Спасибо, получилось. Теперь пробую настроить так, чтобы локальный комп пропускал запросы на подключение к нему по технологии RDP, посланные только с определённого удалённого компа. Указываю IP удалённого компа, а /32 касперский добавляет сам (так и должно быть ?) . Настройки моего сетевого правила такие : Действие : Разрещать Название : .......... Протокол : ТСР Направление : Входящее Удалённые порты : пусто Локальные порты : 3389 Адрес : Адреса из списка Удалённый адрес : ххх.ххх.ххх.112/32 Локальный адрес : Любой адрес Почему-то не работает, т.к. подключиться к локальному ПК по RDP могу не только с адреса ...112, но и с любого другого. Здравствуйте! Вы указываете самостоятельно маску отличную от 32? Если же вы укажете адрес без маски то KES автоматически добавит маску 32 означающую что только один указанный хост будет добавлен в параметр. Спасибо! Share this post Link to post
alex3110 Posted May 16, 2017 Здравствуйте! Вы указываете самостоятельно маску отличную от 32? Если же вы укажете адрес без маски то KES автоматически добавит маску 32 означающую что только один указанный хост будет добавлен в параметр. Спасибо! Спасибо всем !!! Разобрался, не без помощи, конечно. Надо было учесть следующее : После разрешающего правила для избранных соединений должно идти запрещающее правило для всех остальных. Всё заработало, как надо. Теперь на очереди настройка сетевого экрана для программ типа Remote Control Share this post Link to post
Konstantin Antonov Posted May 16, 2017 Спасибо всем !!! Разобрался, не без помощи, конечно. Надо было учесть следующее : После разрешающего правила для избранных соединений должно идти запрещающее правило для всех остальных. Всё заработало, как надо. Теперь на очереди настройка сетевого экрана для программ типа Remote Control Здравствуйте! Спасибо за информацию, можем ли мы отметить тему решенной? Спасибо! Share this post Link to post