Jump to content
aigir

KES10SP2. Контроль запуска программ [В процессе]

Recommended Posts

Как уже известно, в KES10SP2 не подхватываются существующие правила контроля запуска программ как локально, так и при конвертации политик.

Со слов КЛ, это связано с изменением логики работы компонента.

Проблема довольно неприятная, т.к. изначально может использоваться большое количество правил с большим количеством условий, и заводить все вручную заново довольно трудоемко.

 

Давайте попробуем в этом разобраться.

Рассмотрим режим "черный список", т.е. когда по умолчанию все разрешено. Этот режим полностью соответствует логике работы контроля запуска предыдущих версий, если включено правило "Разрешить все".

В режиме "белый список" по умолчанию все запрещено. Этот режим полностью соответствует логике работы контроля запуска предыдущих версий, если отключено правило "Разрешить все"

Причем как в режиме "черный список", так и в режиме "белый список" можно создавать как разрешающие, так и запрещающие правила.

 

Таким образом напрашивается вывод, что существующие правила без какой-либо модификации должны работать и в новом KES.

Все критерии условий, применяемые в прежних версиях, присутствуют и в KES10SP2

Проверял на своих правилах - так и есть, все работает (использую одновременно как разрешающие, так и запрещающие правила)

 

Единственная проблема при этом - отсутствует возможность локального экспорта/импорта самих правил или хотя-бы перечня условий, т.е. приходится заводить их вручную. В KSC хотя-бы есть возможность экспорта/импорта категорий, но сами правила не конвертируются/экспортируются/импортируются.

 

Нужно добавить возможность конвертации правил по желанию пользователя (например галочка "хотите использовать существующие правила контроля запуска")

На мой взгляд логика при переносе довольно простая:

- если правило "Разрешить все" было включено, при обновлении/конвертации включаем режим "черный список"

- если правило "Разрешить все" было выключено, при обновлении/конвертации включаем режим "белый список"

- существующие правила просто переносим в исходном виде.. если они работали раньше, то теперь должны работать.

И еще нужно добавить возможность экспорта/импорта правил или хотя-бы списка условий контроля запуска, как это сделано например в веб-контроле.

 

 

 

 

Share this post


Link to post
Как уже известно, в KES10SP2 не подхватываются существующие правила контроля запуска программ как локально, так и при конвертации политик.

Со слов КЛ, это связано с изменением логики работы компонента.

Проблема довольно неприятная, т.к. изначально может использоваться большое количество правил с большим количеством условий, и заводить все вручную заново довольно трудоемко.

 

Давайте попробуем в этом разобраться.

Рассмотрим режим "черный список", т.е. когда по умолчанию все разрешено. Этот режим полностью соответствует логике работы контроля запуска предыдущих версий, если включено правило "Разрешить все".

В режиме "белый список" по умолчанию все запрещено. Этот режим полностью соответствует логике работы контроля запуска предыдущих версий, если отключено правило "Разрешить все"

Причем как в режиме "черный список", так и в режиме "белый список" можно создавать как разрешающие, так и запрещающие правила.

 

Таким образом напрашивается вывод, что существующие правила без какой-либо модификации должны работать и в новом KES.

Все критерии условий, применяемые в прежних версиях, присутствуют и в KES10SP2

Проверял на своих правилах - так и есть, все работает (использую одновременно как разрешающие, так и запрещающие правила)

 

Единственная проблема при этом - отсутствует возможность локального экспорта/импорта самих правил или хотя-бы перечня условий, т.е. приходится заводить их вручную. В KSC хотя-бы есть возможность экспорта/импорта категорий, но сами правила не конвертируются/экспортируются/импортируются.

 

Нужно добавить возможность конвертации правил по желанию пользователя (например галочка "хотите использовать существующие правила контроля запуска")

На мой взгляд логика при переносе довольно простая:

- если правило "Разрешить все" было включено, при обновлении/конвертации включаем режим "черный список"

- если правило "Разрешить все" было выключено, при обновлении/конвертации включаем режим "белый список"

- существующие правила просто переносим в исходном виде.. если они работали раньше, то теперь должны работать.

И еще нужно добавить возможность экспорта/импорта правил или хотя-бы списка условий контроля запуска, как это сделано например в веб-контроле.

 

Здравствуйте!

 

К сожалению данный функционал был задуман нашими разработчиками.

 

Пожалуйста обсудите возможность изменения функционала с одним из наших партнеров.

 

Спасибо!

Share this post


Link to post

Наконец-то появилась возможность протестить контроль запуска программ в KES10SP2(10.3.0.6294) + KSC10SP2MR1(10.4.343), и выяснились следующие особенности:

 

- для того, чтобы работали условия по имени файла, нужно обязательно указывать путь (допускается использование подстановочных знаков)

если имя файла задано просто, без пути, условие работать не будет.

например следующие записи работать не будут: filename.exe, file*.exe

а вот записи с указанием пути работать будут: c:\test\filename.exe, c:\test\file*.exe, c:\*\file*.e*, *\filename.*

 

таким образом, чтобы запретить запуск файла из любого места, нужно перед именем файла добавить символы *\

например запрет запуска любых файлов с расширением *.scr из любого места: *\*.scr

 

проверил на KES10SP2, KES10SP1MR3

 

- в KSC 10.4.343 теперь можно в условиях задавать имена файлов, используя вышеуказанные конструкции

в прежних версиях KSC задавать имена файлов было невозможно, т.к. к любому имени автоматически добавлялись символы \*

 

- соответственно, при задании в KSC 10.4.343 в условиях пути к папке теперь нужно обязательно добавлять в конце символы \*

например C:\TEST\*

 

в прежних версиях KSC при задании имени папки эти символы добавлялись к заданному пути автоматически,

т.е. достаточно было задать просто C:\TEST

 

- при задании путей в условиях можно использовать системные переменные, например %ProgramFiles%

насчет всех переменных не проверял, но некоторые точно нельзя использовать, например все пользовательские переменные, поскольку сам KES работает под системной учеткой

Edited by Aigir

Share this post


Link to post
Наконец-то появилась возможность протестить контроль запуска программ в KES10SP2(10.3.0.6294) + KSC10SP2MR1(10.4.343), и выяснились следующие особенности:

 

- для того, чтобы работали условия по имени файла, нужно обязательно указывать путь (допускается использование подстановочных знаков)

если имя файла задано просто, без пути, условие работать не будет.

например следующие записи работать не будут: filename.exe, file*.exe

а вот записи с указанием пути работать будут: c:\test\filename.exe, c:\test\file*.exe, c:\*\file*.e*, *\filename.*

 

таким образом, чтобы запретить запуск файла из любого места, нужно перед именем файла добавить символы *\

например запрет запуска любых файлов с расширением *.scr из любого места: *\*.scr

 

проверил на KES10SP2, KES10SP1MR3

 

- в KSC 10.4.343 теперь можно в условиях задавать имена файлов, используя вышеуказанные конструкции

в прежних версиях KSC задавать имена файлов было невозможно, т.к. к любому имени автоматически добавлялись символы \*

 

- соответственно, при задании в KSC 10.4.343 в условиях пути к папке теперь нужно обязательно добавлять в конце символы \*

например C:\TEST\*

 

в прежних версиях KSC при задании имени папки эти символы добавлялись к заданному пути автоматически,

т.е. достаточно было задать просто C:\TEST

 

- при задании путей в условиях можно использовать системные переменные, например %ProgramFiles%

насчет всех переменных не проверял, но некоторые точно нельзя использовать, например все пользовательские переменные, поскольку сам KES работает под системной учеткой

Здравствуйте!

 

Большое спасибо за информацию! Очень полезное исследование!

Share this post


Link to post
..... но некоторые точно нельзя использовать, например все пользовательские переменные......

гм... то есть для запрета запуска программ из профилей пользователей мне вместо %LOCALAPPDATA%\*.exe надо написать *\AppData\Local\*.exe ?

Не совсем удобно...

Вопрос к представителям ЛК - можно озвучить весь список переменных которые более не работают в контроле запуска программ?

(собираемся переходить на последние KSC+KES, но вот теперь в раздумьях... похоже это займёт гораздо больше времени чем планировалось... )

 

Share this post


Link to post
гм... то есть для запрета запуска программ из профилей пользователей мне вместо %LOCALAPPDATA%\*.exe надо написать *\AppData\Local\*.exe ?

Не совсем удобно...

Вопрос к представителям ЛК - можно озвучить весь список переменных которые более не работают в контроле запуска программ?

(собираемся переходить на последние KSC+KES, но вот теперь в раздумьях... похоже это займёт гораздо больше времени чем планировалось... )

 

Определённого списка нет.

Хотя бы обновите KES на одной машине.

Опишите проблему, которая возникла при работе на новой версии KES.

 

Share this post


Link to post
гм... то есть для запрета запуска программ из профилей пользователей мне вместо %LOCALAPPDATA%\*.exe надо написать *\AppData\Local\*.exe ?

Не совсем удобно...

Вопрос к представителям ЛК - можно озвучить весь список переменных которые более не работают в контроле запуска программ?

(собираемся переходить на последние KSC+KES, но вот теперь в раздумьях... похоже это займёт гораздо больше времени чем планировалось... )

 

более того, пользователь может самостоятельно переназначить отдельные пользовательские переменные на другие нестандартные пути, и тогда правила, заданные например на пользовательские папки TEMP, работать не будут

C:\USERS\*\AppData\Local\Temp

 

С этим конечно можно побороться путем групповых политик и запрета на изменение значения пользовательских переменных, но это не всегда возможно, например если компы не входят в домен.

 

Было бы идеально, если бы KES определял на компе наличие открытых пользовательских сессий (это не так уж сложно) и получал значения пользовательских переменных именно из открытых сессий..

Edited by Aigir

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.