SPopov Posted May 18, 2017 Не работает исключение для файла. В политике KSC добавил для файла %USERPROFILE%\Desktop\AMMYY.exe правила в доверенной зоне и как Исключения из проверки и как Доверенные программы. Убивает на лету всё равно. KSC 10.3.407 KES 10.3.0.6294 Share this post Link to post
Demiad Posted May 18, 2017 Процитирую свой кейс: INC000007764312 Пользовательские переменные Добрый день, Андрей. Я уточнил информацию в экспертном отделе, к сожалению, переменная %userprofile% , применяемая из политики, не поддерживается в KES10SP2. Исключения необходимо добавлять по абсолютному пути. Share this post Link to post
SPopov Posted May 18, 2017 Убиться апстену... Это на каждого пользователя придется сделать по правилу, жесть. Но спасибо, знать бы что ещё у них там не работает блин. Share this post Link to post
Demiad Posted May 18, 2017 Как вариант после релиза SP1MR4 даунгрейдить, если у вас SP2, до него и воспользоваться новым функционалом в масках исключений: ЧТО НОВОГО В KASPERSKY ENDPOINT SECURITY 10 SERVICE PACK 1 MAINTENANCE RELEASE 4 ДЛЯ WINDOWS • В исключениях проверки добавлена поддержка использования масок «*» (соответствует произвольному количеству символов в пределах одного уровня иерархии), «**» (соответствует произвольному количеству символов) и «?» (соответствует одному символу). Либо продолжать когда в линейке SP2 появился это же (логично предположить что будет). Share this post Link to post
Romeo91 Posted May 19, 2017 (edited) А такой вариант вас не устроит? Или это как раз после релиза MR4 будет работать? C:\Users\*\Desktop\AMMYY.exe Просто в исключениях никогда не пользовался переменными кроме указания на системные файлы и "програмфайлс" Edited May 19, 2017 by Romeo91 Share this post Link to post
aigir Posted May 19, 2017 А такой вариант вас не устроит? Или это как раз после релиза MR4 будет работать? C:\Users\*\Desktop\AMMYY.exe Просто в исключениях никогда не пользовался переменными кроме указания на системные файлы и "програмфайлс" А если просто указать AMMYY.exe без пути? Или например закинуть этот файл в папку C:\USERS\AllUsers\Desktop или сразу в Program Files? Share this post Link to post
frankas1 Posted May 19, 2017 Надо ли понимать что в версии 10.3.0.6294 исключение с использованием символа * НЕ РАБОТАЕТ ? Например сработает ли: C:\Windows\SoftwareDistribution\Datastore\Logs\Res*.log ? C:\Windows\System32\sru\SRU*.log или C:\Windows\Security\Database\*.edb Share this post Link to post
aigir Posted May 19, 2017 (edited) Надо ли понимать что в версии 10.3.0.6294 исключение с использованием символа * НЕ РАБОТАЕТ ? Например сработает ли: C:\Windows\SoftwareDistribution\Datastore\Logs\Res*.log ? C:\Windows\System32\sru\SRU*.log или C:\Windows\Security\Database\*.edb могу предположить, что работает после установки KES 10.3.0.6294 в стандартных дефолтных исключениях присутствуют например такие записи: %windir%\SoftwareDistribution\Datastore\Logs\Res*.log %windir%\SoftwareDistribution\Datastore\Logs\Edb*.jrs Edited May 19, 2017 by Aigir Share this post Link to post
frankas1 Posted May 19, 2017 могу предположить, что работает после установки KES 10.3.0.6294 в стандартных дефолтных исключениях присутствуют например такие записи: %windir%\SoftwareDistribution\Datastore\Logs\Res*.log %windir%\SoftwareDistribution\Datastore\Logs\Edb*.jrs Записи то присутствуют но отрабатываютса ли ? У меня есть подозрение что нет. По крайне мере с переменными типа %windir%. О чем свиделтельсвуeт пример. В Windows Event Log'e постояхно появлялись записи типа: svchost (1512) SRUJet: An attempt to open the file "C:\WINDOWS\system32\SRU\SRUDB.dat" for read / write access failed with system error 32 (0x00000020): "The process cannot access the file because it is being used by another process. ". The open file operation will fail with error -1032 (0xfffffbf8). Количество которых уменьшилось после замены в иключении %windir%\system32\SRU\SRUDB.dat, %windir% на C:\Windows. И еще раз уменьшилось после добавления в список записи C:\Windows\System32\sru\SRU.log к уже имевшейся C:\Windows\System32\sru\SRU*.log. И еще - правило срабатывало, только после перезагрузки PC. Может это совпадение а может нет.... Может, кто из тех. суппорта может уточнит ? Share this post Link to post
Konstantin Antonov Posted May 19, 2017 Записи то присутствуют но отрабатываютса ли ? У меня есть подозрение что нет. По крайне мере с переменными типа %windir%. О чем свиделтельсвуeт пример. В Windows Event Log'e постояхно появлялись записи типа: svchost (1512) SRUJet: An attempt to open the file "C:\WINDOWS\system32\SRU\SRUDB.dat" for read / write access failed with system error 32 (0x00000020): "The process cannot access the file because it is being used by another process. ". The open file operation will fail with error -1032 (0xfffffbf8). Количество которых уменьшилось после замены в иключении %windir%\system32\SRU\SRUDB.dat, %windir% на C:\Windows. И еще раз уменьшилось после добавления в список записи C:\Windows\System32\sru\SRU.log к уже имевшейся C:\Windows\System32\sru\SRU*.log. И еще - правило срабатывало, только после перезагрузки PC. Может это совпадение а может нет.... Может, кто из тех. суппорта может уточнит ? Здравствуйте! На какой версии было такое поведение? Установили ли вы версию SP2? Спасибо! Share this post Link to post
frankas1 Posted May 19, 2017 Здравствуйте! На какой версии было такое поведение? Установили ли вы версию SP2? Спасибо! ver 10.3.0.6294 = sp2 Share this post Link to post
Konstantin Antonov Posted May 19, 2017 ver 10.3.0.6294 = sp2 Уменьшилось после добавления в список записи C:\Windows\System32\sru\SRU.log к уже имевшейся C:\Windows\System32\sru\SRU*.log из-за того что эти два типа записи исключения различаются. SRU.log не равно SRU*.log Спасибо! Share this post Link to post
frankas1 Posted May 19, 2017 Уменьшилось после добавления в список записи C:\Windows\System32\sru\SRU.log к уже имевшейся C:\Windows\System32\sru\SRU*.log из-за того что эти два типа записи исключения различаются. SRU.log не равно SRU*.log Спасибо! 1. Подтверждаете ли что * отрабатываетса коректно ? 2. Значит ли, что * = это любые символы, количеством больше 0 ? 3. Может есть ссылка на описание где можно почитать про использование маск символов в 10.3.0.6294. Share this post Link to post
Dmitry Eremeev Posted May 19, 2017 1. Подтверждаете ли что * отрабатываетса коректно ? 2. Значит ли, что * = это любые символы, количеством больше 0 ? 3. Может есть ссылка на описание где можно почитать про использование маск символов в 10.3.0.6294. Ознакомьтесь, пожалуйста, со статьёй - http://support.kaspersky.ru/8244 Share this post Link to post
SPopov Posted May 20, 2017 ОК, статья про маски, если статья про использование системных переменных в путях к файлам и папкам? Share this post Link to post
Kirill Tsapovsky Posted May 20, 2017 ОК, статья про маски, если статья про использование системных переменных в путях к файлам и папкам? Здравствуйте. К сожалению, посвященной этому статьи на данный момент нет. Пожалуйста, опишите актуальную связанную с ними проблему, и мы постараемся помочь. Спасибо. Share this post Link to post
frankas1 Posted May 22, 2017 Здравствуйте. К сожалению, посвященной этому статьи на данный момент нет. Пожалуйста, опишите актуальную связанную с ними проблему, и мы постараемся помочь. Спасибо. Имеетса политика с исключениями Но почему то avp.exe все равно пытаетса получить доступ к фаилу c:\windows\system32\sru\sru.log Почему ? Share this post Link to post
Romeo91 Posted May 23, 2017 Имеетса политика с исключениями Но почему то avp.exe все равно пытаетса получить доступ к фаилу c:\windows\system32\sru\sru.log Почему ? Однократное обращение к файлу еще не означает что происходит его проверка. Это вызов функций операционки чтобы получить свойства файла, в том числе имени и т.д., а уже потом обращаем внимание что есть исключение и пропускаем файл. По вашему логу на первый взгляд не увидел ничего криминального. У вас больше обращений от svchost к файлу, т.е какой-то службы. Share this post Link to post
frankas1 Posted May 23, 2017 Однократное обращение к файлу еще не означает что происходит его проверка. Это вызов функций операционки чтобы получить свойства файла, в том числе имени и т.д., а уже потом обращаем внимание что есть исключение и пропускаем файл. По вашему логу на первый взгляд не увидел ничего криминального. У вас больше обращений от svchost к файлу, т.е какой-то службы. В том и суть вопроса - могу ли я быть уверен что исключение отрабатываетса правильно. И когда (или после которого обращения) исключение вступает в силу. Share this post Link to post
aigir Posted May 23, 2017 (edited) В том и суть вопроса - могу ли я быть уверен что исключение отрабатываетса правильно. И когда (или после которого обращения) исключение вступает в силу. Логика работы исключений не в том, что антивирус не обращается к указанным ресурсам, а в том, что он не применяет к указанным ресурсам (исключениям или доверенным программам) заданные (или любые) компоненты защиты. Т.е. антивирус в любом случае сначала перехватывает запрос на обращение к какому-либо объекту, и уже потом определяет что с ним делать - сразу передать дальше в систему или сначала проверить. Edited May 23, 2017 by Aigir Share this post Link to post
frankas1 Posted May 23, 2017 Логика работы исключений не в том, что антивирус не обращается к указанным ресурсам, а в том, что он не применяет к указанным ресурсам (исключениям или доверенным программам) заданные (или любые) компоненты защиты. Т.е. антивирус в любом случае сначала перехватывает запрос на обращение к какому-либо объекту, и уже потом определяет что с ним делать - сразу передать дальше в систему или сначала проверить. Если логика такая. как вы изложили то она, опровергает исключение как таковое. Я предпологал что исключение значит: что антивирус не будет перехватывать запрос на указанные в исключениях фаилы. Share this post Link to post
aigir Posted May 23, 2017 (edited) Если логика такая. как вы изложили то она, опровергает исключение как таковое. Я предпологал что исключение значит: что антивирус не будет перехватывать запрос на указанные в исключениях фаилы. настройка называется "Исключение из проверки" т.е. исключаются именно указанные компоненты проверки, а не само отслеживание обращений к файлам для того, чтобы KES в принципе мог работать, он должен отслеживать все обращения к файловым ресурсам, и уже потом на основании имеющихся настроек и исключений решает что с этими запросами делать: проверять или сразу отдать дальше на обработку системой. Если KES не будет видеть запрос к ресурсу, соответственно он не сможет принять определенное настройками решение. А чтобы он мог видеть, он должен пропускать все через себя. Edited May 23, 2017 by Aigir Share this post Link to post
SPopov Posted May 23, 2017 Здравствуйте. К сожалению, посвященной этому статьи на данный момент нет. Пожалуйста, опишите актуальную связанную с ними проблему, и мы постараемся помочь. Спасибо. Мне кажется что в начале топика всё написано. Share this post Link to post
Konstantin Antonov Posted May 23, 2017 Мне кажется что в начале топика всё написано. А почему бы не разместить у всех пользователей данный .exe файл не на рабочем столе а по одному пути и сделать для него ярлык. Спасибо! Share this post Link to post
SPopov Posted May 23, 2017 Ну придется так и сделать, придется писать пользователям инструкцию как это сделать. Они не все в домене. Share this post Link to post