Jump to content
Ask questions on the new Community portal! || Задавай вопросы на новом комьюнити-портале! ×
Ask questions on the new Community portal! || Задавай вопросы на новом комьюнити-портале!
SPopov

Не работает исключение для файла. [В процессе]

By SPopov, in Защита для корпоративных пользователей

Recommended Posts

SPopov   

SPopov
Posted

Не работает исключение для файла.

В политике KSC добавил для файла %USERPROFILE%\Desktop\AMMYY.exe правила в доверенной зоне и как Исключения из проверки и как Доверенные программы.

Убивает на лету всё равно.

KSC 10.3.407

KES 10.3.0.6294

Share this post

Link to post

Demiad   

Demiad
Posted

Процитирую свой кейс:

INC000007764312 Пользовательские переменные

Добрый день, Андрей.

Я уточнил информацию в экспертном отделе, к сожалению, переменная %userprofile% , применяемая из политики, не поддерживается в KES10SP2. Исключения необходимо добавлять по абсолютному пути.

Share this post

Link to post

SPopov   

SPopov
Posted

Убиться апстену... Это на каждого пользователя придется сделать по правилу, жесть. Но спасибо, знать бы что ещё у них там не работает блин.

Share this post

Link to post

Demiad   

Demiad
Posted

Как вариант после релиза SP1MR4 даунгрейдить, если у вас SP2, до него и воспользоваться новым функционалом в масках исключений:

 

ЧТО НОВОГО В KASPERSKY ENDPOINT SECURITY 10 SERVICE PACK 1 MAINTENANCE RELEASE 4 ДЛЯ WINDOWS

• В исключениях проверки добавлена поддержка использования масок «*» (соответствует произвольному количеству символов в пределах одного уровня иерархии), «**» (соответствует произвольному количеству символов) и «?» (соответствует одному символу).

 

Либо продолжать когда в линейке SP2 появился это же (логично предположить что будет).

Share this post

Link to post

Romeo91   

Romeo91
Posted (edited)

А такой вариант вас не устроит? Или это как раз после релиза MR4 будет работать?

C:\Users\*\Desktop\AMMYY.exe

 

Просто в исключениях никогда не пользовался переменными кроме указания на системные файлы и "програмфайлс"

Edited by Romeo91

Share this post

Link to post

aigir   

aigir
Posted
А такой вариант вас не устроит? Или это как раз после релиза MR4 будет работать?

C:\Users\*\Desktop\AMMYY.exe

 

Просто в исключениях никогда не пользовался переменными кроме указания на системные файлы и "програмфайлс"

 

А если просто указать AMMYY.exe без пути?

Или например закинуть этот файл в папку C:\USERS\AllUsers\Desktop или сразу в Program Files?

Share this post

Link to post

frankas1   

frankas1
Posted

Надо ли понимать что в версии 10.3.0.6294 исключение с использованием символа * НЕ РАБОТАЕТ ?

 

Например сработает ли:

 

C:\Windows\SoftwareDistribution\Datastore\Logs\Res*.log ?

C:\Windows\System32\sru\SRU*.log

 

или

 

C:\Windows\Security\Database\*.edb

 

 

 

Share this post

Link to post

aigir   

aigir
Posted (edited)
Надо ли понимать что в версии 10.3.0.6294 исключение с использованием символа * НЕ РАБОТАЕТ ?

 

Например сработает ли:

 

C:\Windows\SoftwareDistribution\Datastore\Logs\Res*.log ?

C:\Windows\System32\sru\SRU*.log

 

или

 

C:\Windows\Security\Database\*.edb

 

могу предположить, что работает

после установки KES 10.3.0.6294 в стандартных дефолтных исключениях присутствуют например такие записи:

%windir%\SoftwareDistribution\Datastore\Logs\Res*.log

%windir%\SoftwareDistribution\Datastore\Logs\Edb*.jrs

Edited by Aigir

Share this post

Link to post

frankas1   

frankas1
Posted
могу предположить, что работает

после установки KES 10.3.0.6294 в стандартных дефолтных исключениях присутствуют например такие записи:

%windir%\SoftwareDistribution\Datastore\Logs\Res*.log

%windir%\SoftwareDistribution\Datastore\Logs\Edb*.jrs

 

Записи то присутствуют но отрабатываютса ли ? У меня есть подозрение что нет. По крайне мере с переменными типа %windir%.

 

О чем свиделтельсвуeт пример. В Windows Event Log'e постояхно появлялись записи типа:

 

svchost (1512) SRUJet: An attempt to open the file "C:\WINDOWS\system32\SRU\SRUDB.dat" for read / write access failed with system error 32 (0x00000020):

"The process cannot access the file because it is being used by another process. ". The open file operation will fail with error -1032 (0xfffffbf8).

 

Количество которых уменьшилось после замены в иключении %windir%\system32\SRU\SRUDB.dat, %windir% на C:\Windows. И еще раз уменьшилось после добавления в список записи C:\Windows\System32\sru\SRU.log к уже имевшейся C:\Windows\System32\sru\SRU*.log.

 

И еще - правило срабатывало, только после перезагрузки PC.

 

Может это совпадение а может нет....

 

Может, кто из тех. суппорта может уточнит ?

 

Share this post

Link to post

Konstantin Antonov   

Konstantin Antonov
Posted
Записи то присутствуют но отрабатываютса ли ? У меня есть подозрение что нет. По крайне мере с переменными типа %windir%.

 

О чем свиделтельсвуeт пример. В Windows Event Log'e постояхно появлялись записи типа:

 

svchost (1512) SRUJet: An attempt to open the file "C:\WINDOWS\system32\SRU\SRUDB.dat" for read / write access failed with system error 32 (0x00000020):

"The process cannot access the file because it is being used by another process. ". The open file operation will fail with error -1032 (0xfffffbf8).

 

Количество которых уменьшилось после замены в иключении %windir%\system32\SRU\SRUDB.dat, %windir% на C:\Windows. И еще раз уменьшилось после добавления в список записи C:\Windows\System32\sru\SRU.log к уже имевшейся C:\Windows\System32\sru\SRU*.log.

 

И еще - правило срабатывало, только после перезагрузки PC.

 

Может это совпадение а может нет....

 

Может, кто из тех. суппорта может уточнит ?

Здравствуйте!

 

На какой версии было такое поведение? Установили ли вы версию SP2?

 

Спасибо!

Share this post

Link to post

frankas1   

frankas1
Posted
Здравствуйте!

 

На какой версии было такое поведение? Установили ли вы версию SP2?

 

Спасибо!

 

ver 10.3.0.6294 = sp2

 

 

Share this post

Link to post

Konstantin Antonov   

Konstantin Antonov
Posted
ver 10.3.0.6294 = sp2

Уменьшилось после добавления в список записи C:\Windows\System32\sru\SRU.log к уже имевшейся C:\Windows\System32\sru\SRU*.log из-за того что эти два типа записи исключения различаются. SRU.log не равно SRU*.log

 

Спасибо!

Share this post

Link to post

frankas1   

frankas1
Posted
Уменьшилось после добавления в список записи C:\Windows\System32\sru\SRU.log к уже имевшейся C:\Windows\System32\sru\SRU*.log из-за того что эти два типа записи исключения различаются. SRU.log не равно SRU*.log

 

Спасибо!

 

1. Подтверждаете ли что * отрабатываетса коректно ?

2. Значит ли, что * = это любые символы, количеством больше 0 ?

3. Может есть ссылка на описание где можно почитать про использование маск символов в 10.3.0.6294.

 

Share this post

Link to post

Dmitry Eremeev   

Dmitry Eremeev
Posted
1. Подтверждаете ли что * отрабатываетса коректно ?

2. Значит ли, что * = это любые символы, количеством больше 0 ?

3. Может есть ссылка на описание где можно почитать про использование маск символов в 10.3.0.6294.

 

Ознакомьтесь, пожалуйста, со статьёй - http://support.kaspersky.ru/8244

 

 

Share this post

Link to post

SPopov   

SPopov
Posted

ОК, статья про маски, если статья про использование системных переменных в путях к файлам и папкам?

Share this post

Link to post

Kirill Tsapovsky   

Kirill Tsapovsky
Posted
ОК, статья про маски, если статья про использование системных переменных в путях к файлам и папкам?

 

Здравствуйте.

 

К сожалению, посвященной этому статьи на данный момент нет.

Пожалуйста, опишите актуальную связанную с ними проблему, и мы постараемся помочь.

 

Спасибо.

Share this post

Link to post

frankas1   

frankas1
Posted
Здравствуйте.

 

К сожалению, посвященной этому статьи на данный момент нет.

Пожалуйста, опишите актуальную связанную с ними проблему, и мы постараемся помочь.

 

Спасибо.

 

Имеетса политика с исключениями

 

post-337527-1495467282.png

 

Но почему то avp.exe все равно пытаетса получить доступ к фаилу c:\windows\system32\sru\sru.log

 

post-337527-1495467276.png

 

Почему ?

Share this post

Link to post

Romeo91   

Romeo91
Posted
Имеетса политика с исключениями

 

post-337527-1495467282.png

 

Но почему то avp.exe все равно пытаетса получить доступ к фаилу c:\windows\system32\sru\sru.log

 

post-337527-1495467276.png

 

Почему ?

Однократное обращение к файлу еще не означает что происходит его проверка. Это вызов функций операционки чтобы получить свойства файла, в том числе имени и т.д., а уже потом обращаем внимание что есть исключение и пропускаем файл. По вашему логу на первый взгляд не увидел ничего криминального.

У вас больше обращений от svchost к файлу, т.е какой-то службы.

 

Share this post

Link to post

frankas1   

frankas1
Posted
Однократное обращение к файлу еще не означает что происходит его проверка. Это вызов функций операционки чтобы получить свойства файла, в том числе имени и т.д., а уже потом обращаем внимание что есть исключение и пропускаем файл. По вашему логу на первый взгляд не увидел ничего криминального.

У вас больше обращений от svchost к файлу, т.е какой-то службы.

 

В том и суть вопроса - могу ли я быть уверен что исключение отрабатываетса правильно. И когда (или после которого обращения) исключение вступает в силу.

Share this post

Link to post

aigir   

aigir
Posted (edited)
В том и суть вопроса - могу ли я быть уверен что исключение отрабатываетса правильно. И когда (или после которого обращения) исключение вступает в силу.

 

Логика работы исключений не в том, что антивирус не обращается к указанным ресурсам, а в том, что он не применяет к указанным ресурсам (исключениям или доверенным программам) заданные (или любые) компоненты защиты.

Т.е. антивирус в любом случае сначала перехватывает запрос на обращение к какому-либо объекту, и уже потом определяет что с ним делать - сразу передать дальше в систему или сначала проверить.

Edited by Aigir

Share this post

Link to post

frankas1   

frankas1
Posted
Логика работы исключений не в том, что антивирус не обращается к указанным ресурсам, а в том, что он не применяет к указанным ресурсам (исключениям или доверенным программам) заданные (или любые) компоненты защиты.

Т.е. антивирус в любом случае сначала перехватывает запрос на обращение к какому-либо объекту, и уже потом определяет что с ним делать - сразу передать дальше в систему или сначала проверить.

 

Если логика такая. как вы изложили то она, опровергает исключение как таковое.

Я предпологал что исключение значит: что антивирус не будет перехватывать запрос на указанные в исключениях фаилы.

 

Share this post

Link to post

aigir   

aigir
Posted (edited)
Если логика такая. как вы изложили то она, опровергает исключение как таковое.

Я предпологал что исключение значит: что антивирус не будет перехватывать запрос на указанные в исключениях фаилы.

 

настройка называется "Исключение из проверки" т.е. исключаются именно указанные компоненты проверки, а не само отслеживание обращений к файлам

для того, чтобы KES в принципе мог работать, он должен отслеживать все обращения к файловым ресурсам, и уже потом на основании имеющихся настроек и исключений решает что с этими запросами делать: проверять или сразу отдать дальше на обработку системой.

Если KES не будет видеть запрос к ресурсу, соответственно он не сможет принять определенное настройками решение. А чтобы он мог видеть, он должен пропускать все через себя.

Edited by Aigir

Share this post

Link to post

SPopov   

SPopov
Posted
Здравствуйте.

 

К сожалению, посвященной этому статьи на данный момент нет.

Пожалуйста, опишите актуальную связанную с ними проблему, и мы постараемся помочь.

 

Спасибо.

Мне кажется что в начале топика всё написано.

Share this post

Link to post

Konstantin Antonov   

Konstantin Antonov
Posted
Мне кажется что в начале топика всё написано.

А почему бы не разместить у всех пользователей данный .exe файл не на рабочем столе а по одному пути и сделать для него ярлык.

 

Спасибо!

Share this post

Link to post

SPopov   

SPopov
Posted

Ну придется так и сделать, придется писать пользователям инструкцию как это сделать. Они не все в домене.

Share this post

Link to post
Go To Topic Listing
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.

  I accept