Jump to content
  • Announcements

    • Rodion Nagornov

      Долгое сохранение сообщений || Delays while posting (click here to read the full text RU/EN)   09/20/2017

      По техническим причинам возможно визуально долгое отправление сообщений на форуме. Фактически ваше сообщение публикуется мгновенно - долго отрабатывает графика. В случае подобной ситуации, пожалуйста, сначала обновите страницу (F5) и проверьте, появилось ли ваше сообщение. Не пытайтесь сразу отправить его заново.  || Due to some technical reasons visual delays are possible while message sending. Actually your message is published immediately - just interface works long. In such case, please, do not re-send your message immediately! Press F5 to reload the page and check if your message/topic is published.
Tchup

Déploiement d'applications

Recommended Posts

Tchup   

Bonjour,

 

je n'arrive pas à déployer certaines applications depuis KSC 10.3.407

Exemple d'événements avec Firefox 52 ESR :

 

Nom de la tache : Contrôle de l'activité des applications

 

Type d'événement : L'application a été placée dans un groupe à privilèges restreints

Application\Nom : launcher.bat

Application\Chemin : c:\windows\temp\kav remote installations\8a505827-e168-43e3-afa0-43428988163692b9177d-2caa-4b27-a5bc-8a76294c29bb\exec\

Application\ID du processus : 3972

Utilisateur : POSTE-01\Administrateur (Utilisateur actif)

Module : Contrôle de l'activité des applications

Résultat\Degré de menace : Faible

Résultat\Exactitude : Exactement

Action : L'application a été placée dans le groupe

Objet : Restrictions faibles

Objet\Type : Groupe d'applications

Objet\Nom : Restrictions faibles

Raison : Evaluation heuristique du niveau de danger

 

Nom de la tache : Contrôle de l'activité des applications

 

Type d'événement : L'application a été placée dans un groupe à privilèges restreints

Application\Nom : Firefox Helper

Application\Chemin : c:\program files (x86)\mozilla firefox\uninstall\

Application\ID du processus : 5040

Utilisateur : POSTE-01\Administrateur (Utilisateur actif)

Module : Contrôle de l'activité des applications

Résultat\Degré de menace : Faible

Résultat\Exactitude : Exactement

Action : L'application a été placée dans le groupe

Objet : Restrictions faibles

Objet\Type : Groupe d'applications

Objet\Nom : Restrictions faibles

Raison : Evaluation heuristique du niveau de danger

 

Nom de la tache : Contrôle du lancement des applications

 

Type d'événement : Lancement de l'application interdit

Objet\Chemin du fichier : c:\windows\temp\~nsu.tmp\au_.exe

Objet\Catégorie KL : Uncategorized

Utilisateur : AUTORITE NT\Système (Initiateur)

Règle\Catégorie : Protection cryptomalware

Règle\Type de la règle : N'est pas un test

 

Nom de la tache : Contrôle de l'activité des applications

 

Type d'événement : L'application a été placée dans un groupe à privilèges restreints

Application\Nom : Firefox Helper

Application\Chemin : c:\windows\temp\~nsu.tmp\

Application\ID du processus : 4692

Utilisateur : POSTE-01\Administrateur (Utilisateur actif)

Module : Contrôle de l'activité des applications

Résultat\Degré de menace : Faible

Résultat\Exactitude : Exactement

Action : L'application a été placée dans le groupe

Objet : Restrictions faibles

Objet\Type : Groupe d'applications

Objet\Nom : Restrictions faibles

Raison : Evaluation heuristique du niveau de danger

 

Nom de la tache : Contrôle du lancement des applications

 

Type d'événement : Lancement de l'application interdit

Objet\Chemin du fichier : c:\windows\temp\~nsu.tmp\bu_.exe

Objet\Catégorie KL : Uncategorized

Utilisateur : AUTORITE NT\Système (Initiateur)

Règle\Catégorie : Protection cryptomalware

Règle\Type de la règle : N'est pas un test

 

Malgré l'ajout de l'exclusion : Chemin du dossier : %WINDIR%\Temp\KAV Remote Installations\*\

dans la catégorie d'applications : Protection cryptomalware

j'ai toujours le même problème...

 

y a-t-il moyen de désactiver l'analyse heuristique pour ce genre de déploiement KSC / KES10-SP1-MR2 ?

Merci

Edited by Tchup

Share this post


Link to post
Share on other sites
Knico   

Bonjour,

 

Il y a 2 cas bien différents :

- le module de controle du lancement, ou il faut autoriser :

c:\windows\temp\~nsu.tmp\au_.exe

c:\windows\temp\~nsu.tmp\bu_.exe

 

- le module de l'activité des applications, il y a une classification dans le groupe "Restrictions faibles", ce qui est normal...

Par contre, c'est pas sensé bloquer ! sauf bug :)

L'installation dit quoi ?

Si vous désactivez le composant lors du déploiement peut être !

Share this post


Link to post
Share on other sites
Tchup   

Bonjour Knico !

 

avec le "Contrôle du lancement des applications" désactivé, le déploiement s'effectue correctement.

par contre lorsque il est actif... la tâche tourne en rond

 

pour les "c:\windows\temp\~nsu.tmp\au_.exe" ça semble être un chemin aléatoire dans %TEMP% :/

 

Y a pas moyen de "dire" que tout ce qui viens d'une tâche de déploiement est ignoré ?

Share this post


Link to post
Share on other sites
Tchup   

après nouvelle analyse des logs je viens de me rendre compte qu'il y a :

c:\windows\temp\~nsu.tmp\au_.exe

c:\windows\temp\~nsu.tmp\bu_.exe

[...]

c:\windows\temp\~nsu.tmp\zu_.exe

de bloquer... soit les 26 lettres de l'alphabet !

je ne sais pas à quoi ces EXE correspondent. :/

Share this post


Link to post
Share on other sites
Knico   

Non, je pense pas.... ou du moins, la je vois pas...

Je pense dans ce cas qu'il faut :

- déployer un toto.bat ;

- Qui a pour but de copier un paquet depuis une ressource dans un répertoire autre que les répertoires protégés ;

- puis de lancer l'install...

 

C'est la seul astuce... je pense...

Share this post


Link to post
Share on other sites
Tchup   

ok mais ça me parait difficile dans mon cas...

 

après recherche, il semblerait que "~nsu.tmp\au_.exe" soit une brique de "Nullsoft Install System" permettant à Firefox de s'installer et se désinstaller via (helper.exe)

 

En souhaitant désinstaller manuellement Firefox pour refaire d'autres tests, j'ai eu le même blocage avec

c:\users\Administrateur\AppData\local\temp\~nsu.tmp\au_.exe

c:\users\Administrateur\AppData\local\temp\~nsu.tmp\bu_.exe

[...]

c:\users\Administrateur\AppData\local\temp\~nsu.tmp\zu_.exe

mais pas le même chemin et avec le module "Contrôle de l'activité des applications" ...

 

Je vais commencer par ajouter l'exclusion MD5 des EXE & co à ma catégorie "Protection cryptomalware" car ils ont tous le même MD5

post-220038-1492511739.png

 

 

Share this post


Link to post
Share on other sites
Tchup   

bizarrement avec la nouvelle exclusion pour le "Contrôle du lancement des applications" (voir ci-dessus), c'est le "Contrôle d'activité des applications" que je dois désactiver pour que Firefox s'installe correctement... :/ et malgré toutes les notifications de cocher je n'ai rien dans les événements. :angry2:

Share this post


Link to post
Share on other sites
juddix   

Bonjour à tous,

 

essai de faire une tache de fermeture d'applications au cas où.

taskkill /f /im firefox.exe

 

 

j'ai dernièrement tester le déploiement de paquet Firefox ESR version 38 et 45

j'utilise le paquet d'installation *.exe sans espaces

 

étape 1- bat > test if architecture

étape 2 - fichiers auto installation (Firefox.ini + installeur cmd)

 

 Firefox.ini
[Install] 
InstallDirectoryPath=C:\Program Files (x86)\Mozilla Firefox 
QuickLaunchShortcut=false 
DesktopShortcut=false 
StartMenuShortcuts=true 
MaintenanceService=false

 

Installeur.cmd
@ECHO on
SET SOURCE=%~dp0
SET SOURCE=%SOURCE:~0,-1%
SET INSTALLPATH=%ProgramFiles(x86)%\Mozilla Firefox

REM Create the Firefox answer file
ECHO [Install] > %SOURCE%\Firefox.ini
REM    InstallDirectoryName=Firefox >> %SOURCE%\Firefox.ini
ECHO InstallDirectoryPath=%INSTALLPATH% >> %SOURCE%\Firefox.ini
ECHO QuickLaunchShortcut=false >> %SOURCE%\Firefox.ini
ECHO DesktopShortcut=false >> %SOURCE%\Firefox.ini
ECHO StartMenuShortcuts=true >> %SOURCE%\Firefox.ini
ECHO MaintenanceService=false >> %SOURCE%\Firefox.ini

REM Install Firefox - the START command will not work if the Firefox setup filename includes spaces
START /WAIT /D %SOURCE% ..\FirefoxSetup.exe /S /INI=%SOURCE%\Firefox.ini

REM Configure Firefox profile defaults and preferences locking
IF NOT EXIST "%INSTALLPATH%\browser\defaults\profile\chrome" MD "%INSTALLPATH%\browser\defaults\profile\chrome"
COPY /Y %SOURCE%\userChrome.css "%INSTALLPATH%\browser\defaults\profile\chrome\userChrome.css"

IF NOT EXIST "%INSTALLPATH%\browser\defaults\preferences" MD "%INSTALLPATH%\browser\defaults\preferences"
COPY /Y %SOURCE%\local-settings.js "%INSTALLPATH%\browser\defaults\preferences\local-settings.js"

COPY /Y %SOURCE%\Mozilla.cfg "%INSTALLPATH%\Mozilla.cfg"
COPY /Y %SOURCE%\override.ini "%INSTALLPATH%\browser\override.ini"


REM Disable the Mozilla Maintenance Service to prevent updates (in the event the service is installed)
sc config MozillaMaintenance start= disabled
EXIT

Share this post


Link to post
Share on other sites
Tchup   

Merci pour ton aide,

cependant mon script (semblable au tiens) fonctionne très bien avec les versions précédentes ESR < 52.0

Mozilla a certainement changé sa méthode d'installation... :/

Share this post


Link to post
Share on other sites
juddix   

Je suis en attente de licence Advanced pour voir si l'option logiciels tiers ne sont pas plus adapter que les paquets fait maison.

Share this post


Link to post
Share on other sites
Tchup   

moi je l'ai.

Advanced est pratique pour les logiciels sans configuration particulière... et pour les updates.

Share this post


Link to post
Share on other sites
Tchup   

Bonjour,

après plusieurs semaines de standby (et de vacances... :) ) je reprends le projet du déploiement de Firefox 52.3 ESR

nouveau test :

> C:\Windows\Temp\~nsuA.tmp\Un_A.exe est bloqué par le module "Contrôle du lancement des applications" avec la catégorie  "Protection cryptomalware"

> ce n'est plus au_.exe !

récupération des propriétés du fichier via KSC, catégorie "Protection cryptomalware", Obtenir les informations du fichier
- MD5 : 2f80993f6c6fab1236e36d7ca33d4c64
- SHA-256 : 812d0ef38ac984617d0bf88872888fa97009b4dc61c576b324fcf9096b493c87
- Nom du fichier : helper.exe
- Nom de l'application : Firefox

> l'installation est bloquée par le module "Contrôle de l'activité des applications"

> aucun événement sur le poste test ou dans KSC indiquant ce blocage alors que j'ai activé tous les événements dans la stratégie !!! :(d'ailleurs à mon avis il manque l'événement "Activité bloqué de l'application".... :blink: (dite moi si je me trompe)

> module "Contrôle de l'activité des applications" désactivé : installation OK

nouveau test :

Citation

Nom de l'événement        La règle de surveillance de l'activité des applications a fonctionné
Importance :        Message d'information
Application :        Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 for Windows
Numéro de version :        10.2.6.3733
Nom de tâche :        Contrôle de l'activité des applications
Appareil :        FORMATION-01
Groupe :        test installation firefox esr
Heure :        22/08/2017 12:31:24
Nom du Serveur virtuel :        
Description :        Type d'événement :     La règle de surveillance de l'activité des applications a fonctionné
Application\Nom :     Firefox
Application\Chemin :     c:\windows\temp\kav remote installations\20e799e4-23b5-4e40-8f7e-d8a64b736202c4bdfe17-accc-438b-87b0-06b2e5f3619e\exec\
Application\ID du processus :     1144
Module :     Contrôle de l'activité des applications
Résultat\Description :     Autorisé
Résultat\Type :     Accès aux fichiers
Résultat\Nom :     Inconnu
Résultat\Degré de menace :     Faible
Résultat\Exactitude :     Exactement
Action :     Création
Objet :     Application inconnue
Objet\Type :     Fichier
Objet\Nom :     Application inconnue
Raison :     Inconnu

Les PID 1144 sur le poste correspond à firefox-52.3.0x64-esr.exe

mais firefox-52.3.0x64-esr.exe n'apparait pas dans KSC (Fichiers exécutables) pour l'ajouter aux applications de confiance du module "Contrôle de l'activité des applications"

Comment faire !!!!!!

Une idée ???

Merci d'avance

Share this post


Link to post
Share on other sites
Tchup   

Bonjour,

après plusieurs semaines de standby (et de vacances... :) ) je reprends le projet du déploiement de Firefox 52.3 ESR

nouveau test :

> C:\Windows\Temp\~nsuA.tmp\Un_A.exe est bloqué par le module "Contrôle du lancement des applications" avec la catégorie  "Protection cryptomalware"

> ce n'est plus au_.exe !

récupération des propriétés du fichier via KSC, catégorie "Protection cryptomalware", Obtenir les informations du fichier
- MD5 : 2f80993f6c6fab1236e36d7ca33d4c64
- SHA-256 : 812d0ef38ac984617d0bf88872888fa97009b4dc61c576b324fcf9096b493c87
- Nom du fichier : helper.exe
- Nom de l'application : Firefox

> l'installation est bloquée par le module "Contrôle de l'activité des applications"

> aucun événement sur le poste test ou dans KSC indiquant ce blocage alors que j'ai activé tous les événements dans la stratégie !!! :(d'ailleurs à mon avis il manque l'événement "Activité bloqué de l'application".... :blink: (dite moi si je me trompe)

> module "Contrôle de l'activité des applications" désactivé : installation OK

nouveau test :

Citation

Nom de l'événement        La règle de surveillance de l'activité des applications a fonctionné
Importance :        Message d'information
Application :        Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 for Windows
Numéro de version :        10.2.6.3733
Nom de tâche :        Contrôle de l'activité des applications
Appareil :        FORMATION-01
Groupe :        test installation firefox esr
Heure :        22/08/2017 12:31:24
Nom du Serveur virtuel :        
Description :        Type d'événement :     La règle de surveillance de l'activité des applications a fonctionné
Application\Nom :     Firefox
Application\Chemin :     c:\windows\temp\kav remote installations\20e799e4-23b5-4e40-8f7e-d8a64b736202c4bdfe17-accc-438b-87b0-06b2e5f3619e\exec\
Application\ID du processus :     1144
Module :     Contrôle de l'activité des applications
Résultat\Description :     Autorisé
Résultat\Type :     Accès aux fichiers
Résultat\Nom :     Inconnu
Résultat\Degré de menace :     Faible
Résultat\Exactitude :     Exactement
Action :     Création
Objet :     Application inconnue
Objet\Type :     Fichier
Objet\Nom :     Application inconnue
Raison :     Inconnu

Les PID 1144 sur le poste correspond à firefox-52.3.0x64-esr.exe

mais firefox-52.3.0x64-esr.exe n'apparait pas dans KSC (Fichiers exécutables) pour l'ajouter aux applications de confiance du module "Contrôle de l'activité des applications"

Comment faire !!!!!!

Une idée ???

Merci d'avance

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×