Jump to content
EnZo Smile

Не работает запрет запуска по KL-категориям [Решено]

Recommended Posts

Обновил KES и KSC на всех компьютерах, как советовали в этой теме. Проблема решилась. Однако через какое-то время (конкретно - сегодня) внезапно обнаружилось, что не применяются запреты на запуск программ, которые у меня настроены по KL-категориям.

 

KSN включил и в политике, и в свойствах сервера администрирования (при конвертировании политики со старой версии был выключен почему-то, причём сам раздел с контролем запуска программ не сконвертировался со старой политики) - не помогло.

 

Пересоздавал политику заново - не помогло.

 

Переустанавливал KES на клиенте - не помогло.

 

Отключал клиента от политики и настраивал всё локально - не помогло. Т. е. проблема, как я понимаю, не от сервера администрирования идёт.

 

Боюсь, как бы чего ещё не обнаружилось, что по каким-то непонятным причинам не работает, хотя всё настроено правильно.

 

Трассировки клиента, GSI-отчёт, политика - всё тут: https://yadi.sk/d/L82oGOMo3JKYBL

Share this post


Link to post
Обновил KES и KSC на всех компьютерах, как советовали в этой теме. Проблема решилась. Однако через какое-то время (конкретно - сегодня) внезапно обнаружилось, что не применяются запреты на запуск программ, которые у меня настроены по KL-категориям.

 

KSN включил и в политике, и в свойствах сервера администрирования (при конвертировании политики со старой версии был выключен почему-то, причём сам раздел с контролем запуска программ не сконвертировался со старой политики) - не помогло.

 

Пересоздавал политику заново - не помогло.

 

Переустанавливал KES на клиенте - не помогло.

 

Отключал клиента от политики и настраивал всё локально - не помогло. Т. е. проблема, как я понимаю, не от сервера администрирования идёт.

 

Боюсь, как бы чего ещё не обнаружилось, что по каким-то непонятным причинам не работает, хотя всё настроено правильно.

 

Трассировки клиента, GSI-отчёт, политика - всё тут: https://yadi.sk/d/L82oGOMo3JKYBL

 

у KES10SP2 другая логика работы контроля запуска программ, и соответственно другие правила.. их необходимо создать заново

скорее всего и категории придется пересоздать заново, поскольку для разных версий KES используется разный набор критериев

 

 

 

 

Share this post


Link to post
у KES10SP2 другая логика работы контроля запуска программ, и соответственно другие правила.. их необходимо создать заново

скорее всего и категории придется пересоздать заново, поскольку для разных версий KES используется разный набор критериев

 

Это не помогает.

Share this post


Link to post
Это не помогает.

А вы проверьте на примере какой-нибудь проги, которая должна блокироваться, но не блокируется, какая у ней определилась KL-категория непосредственно на конкретном компе (KES - Контроль запуска программ - Настройки - Список программ)

 

Share this post


Link to post
А вы проверьте на примере какой-нибудь проги, которая должна блокироваться, но не блокируется, какая у ней определилась KL-категория непосредственно на конкретном компе (KES - Контроль запуска программ - Настройки - Список программ)

 

Например, надо запретить браузеры. Все они попадают в категорию "Браузеры\Веб-браузеры". Я указывал как её, так и корневую "Браузеры" и все подкатегории отмечал - не работает.

Share this post


Link to post
Например, надо запретить браузеры. Все они попадают в категорию "Браузеры\Веб-браузеры". Я указывал как её, так и корневую "Браузеры" и все подкатегории отмечал - не работает.

 

А на компах эти изменения применяются? В локальных настройках KES на компах ваши правила видно?

Может замок на данных настройках в политике забыли закрыть?

Share this post


Link to post
А на компах эти изменения применяются? В локальных настройках KES на компах ваши правила видно?

Может замок на данных настройках в политике забыли закрыть?

 

Всё применяется. И я в заглавном посте написал, что и без политик при локальной работе ситуация та же.

Share this post


Link to post
up

 

Здравствуйте!

 

А Вы проводили заново инвентаризацию программ?

 

Спасибо!

Share this post


Link to post
Здравствуйте!

 

А Вы проводили заново инвентаризацию программ?

 

Спасибо!

 

Каким образом? Я думал, KES сам на лету всё проверяет и определяет принадлежность к категории. Раньше я вроде специально для этого ничего не запускал.

Share this post


Link to post
Каким образом? Я думал, KES сам на лету всё проверяет и определяет принадлежность к категории. Раньше я вроде специально для этого ничего не запускал.

 

Так как логика вычисления хеша программ была изменена, то стоит после обновления запустить инвентаризацию программ, чтобы хеш программ был посчитан заново.

 

Спасибо!

Share this post


Link to post
Так как логика вычисления хеша программ была изменена, то стоит после обновления запустить инвентаризацию программ, чтобы хеш программ был посчитан заново.

 

Спасибо!

 

Запускал инвентаризацию несколько раз. Запускал полную проверку. Галка информирования сервера администрирования о запускаемых программах стоит. Категорию с браузерами по нескольку раз удалял-создавал. В "Реестре" программ есть "Yandex" (Яндекс.Браузер), и там в числе устройств значится мой компьютер (правда, если зайти в него - в "Исполняемых файлах пусто"). В разделе "Исполняемые файлы" есть browser.exe с моего компьютера.

 

Нет эффекта. Запускается и Яндекс.Браузер, и IE, и Chrome. Политики применяются остальные вроде нормально.

Share this post


Link to post
Запускал инвентаризацию несколько раз. Запускал полную проверку. Галка информирования сервера администрирования о запускаемых программах стоит. Категорию с браузерами по нескольку раз удалял-создавал. В "Реестре" программ есть "Yandex" (Яндекс.Браузер), и там в числе устройств значится мой компьютер (правда, если зайти в него - в "Исполняемых файлах пусто"). В разделе "Исполняемые файлы" есть browser.exe с моего компьютера.

 

Нет эффекта. Запускается и Яндекс.Браузер, и IE, и Chrome. Политики применяются остальные вроде нормально.

Здравствуйте!

 

Пришлите klnagchk c проблемного компьютера. Или же данной проблеме подвержены также компьютеры у которых в списке отображаются исполняемые файлы?

 

Спасибо!

Share this post


Link to post
Здравствуйте!

 

Пришлите klnagchk c проблемного компьютера. Или же данной проблеме подвержены также компьютеры у которых в списке отображаются исполняемые файлы?

 

Спасибо!

 

Проблема имеет место быть на всех компьютерах в сети. Вот klnagchk с моего компьютера, например:

 

C:\Program Files (x86)\Kaspersky Lab\NetworkAgent>klnagchk
Запуск утилиты klnagchk...
Проверка параметров командной строки...OK
Инициализация базовых библиотек...OK
Текущее устройство 'FACTORY\RAZMANOV-PC'
Версия Агента администрирования '10.4.343'


Чтение параметров...OK
Проверка параметров...OK
Параметры Агента администрирования:
  Адрес Сервера администрирования: 'SERVICES-VS.factory.almash.ru'
  Использовать SSL-соединение: 1
  Сжимать трафик: 1
  Номера SSL-портов Сервера администрирования: '13000'
  Номера портов Сервера администрирования: '14000'
  Использовать прокси-сервер: 0
  Сертификат Сервера администрирования: есть в наличии
  Открывать UDP-порт: 1
  Номера UDP-портов: '15000'

  Период синхронизации (мин): 15
  Тайм-аут соединения (с): 30
  Тайм-аут отправки/приема (с): 180
  Идентификатор устройства: 0612cc54-5cd5-4c51-812e-0ea97da0cc11


Попытка соединения с Сервером администрирования...OK

Попытка соединения с Агентом администрирования...OK
Агент администрирования запущен
Получение статистики Агента администрирования...OK
  Статистика Агента администрирования:
  Всего запросов на синхронизацию: 68
  Успешных запросов на синхронизацию: 68
  Всего синхронизаций: 1
  Успешных синхронизаций: 1
  Дата/время последнего запроса на синхронизацию:24.05.2017 3:05:52 GMT (24.05.2017 10:05:52)


Деинициализация базовых библиотек...OK

Share this post


Link to post
Проблема имеет место быть на всех компьютерах в сети. Вот klnagchk с моего компьютера, например:

 

C:\Program Files (x86)\Kaspersky Lab\NetworkAgent>klnagchk
Запуск утилиты klnagchk...
Проверка параметров командной строки...OK
Инициализация базовых библиотек...OK
Текущее устройство 'FACTORY\RAZMANOV-PC'
Версия Агента администрирования '10.4.343'
Чтение параметров...OK
Проверка параметров...OK
Параметры Агента администрирования:
  Адрес Сервера администрирования: 'SERVICES-VS.factory.almash.ru'
  Использовать SSL-соединение: 1
  Сжимать трафик: 1
  Номера SSL-портов Сервера администрирования: '13000'
  Номера портов Сервера администрирования: '14000'
  Использовать прокси-сервер: 0
  Сертификат Сервера администрирования: есть в наличии
  Открывать UDP-порт: 1
  Номера UDP-портов: '15000'

  Период синхронизации (мин): 15
  Тайм-аут соединения (с): 30
  Тайм-аут отправки/приема (с): 180
  Идентификатор устройства: 0612cc54-5cd5-4c51-812e-0ea97da0cc11
Попытка соединения с Сервером администрирования...OK

Попытка соединения с Агентом администрирования...OK
Агент администрирования запущен
Получение статистики Агента администрирования...OK
  Статистика Агента администрирования:
  Всего запросов на синхронизацию: 68
  Успешных запросов на синхронизацию: 68
  Всего синхронизаций: 1
  Успешных синхронизаций: 1
  Дата/время последнего запроса на синхронизацию:24.05.2017 3:05:52 GMT (24.05.2017 10:05:52)
Деинициализация базовых библиотек...OK

 

Здравствуйте!

 

Уточните, у Вас есть возможность собрать трассировки сервера администрирования во время сохранения и применения политики?

 

Спасибо!

Share this post


Link to post
Здравствуйте!

 

Уточните, у Вас есть возможность собрать трассировки сервера администрирования во время сохранения и применения политики?

 

Спасибо!

 

Теперь уже только завтра, но заметил, что фиксируются вот такие события:

 

Тип события:     Запуск программы запрещен в тестовом режиме
Объект\Название файла:     browser.exe
Объект\Версия файла:     17.4.1.758
Объект\Название программы:     Yandex
Объект\Путь к файлу:     C:\Users\Разманов\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
Объект\Источник:     C:\Users\Разманов\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
Объект\Производитель:     YANDEX LLC
KL-категория\Название:     Браузеры\Веб-браузеры
KL-категория\Источник:     Локальные базы
Пользователь:     FACTORY\Разманов (Инициатор)
Правило\Категория:     Браузеры 2
Правило\Тип правила:     Тестовое

 

и вот такое (сразу после добавление категории и применения политики):

 

Тип события:     Ошибка в параметрах задачи. Параметры задачи не применены

 

Как написано выше, тип правила "тестовое". Но я нигде не нашёл, где это регулируется.

 

Share this post


Link to post
Это не помогает.

 

Здравствуйте.

 

Пожалуйста, уточните, как именно пересоздавалась и настраивалась политика.

В ряде случаев проблема проявляется при использовании категорий для прошлой версии или содержащие в качестве критериев хэш MD5: если хотя бы в одном правиле используется такая категория, весь компонент переходит в тестовый режим. В случае, если все правила и категории в настройках компонента валидны для версии SP2, такой проблемы не наблюдается.

 

Спасибо.

 

UPD: Проблема может быть не в ошибочной работе продукта, а действительно в том, что компонент работает в тестовом режиме. У черного и белого списков Контроля программ по два режима работы — "Предупреждать" и "Блокировать", и по умолчанию выбран первый. Это и есть тестовый режим (см. скриншот).

Screenshot_174.png

Share this post


Link to post
Как написано выше, тип правила "тестовое". Но я нигде не нашёл, где это регулируется.

 

тестовое - это если в настройках контроля запуска выбрано действие "Уведомлять"

Edited by Aigir

Share this post


Link to post
У черного и белого списков Контроля программ по два режима работы — "Предупреждать" и "Блокировать", и по умолчанию выбран первый. Это и есть тестовый режим (см. скриншот).

 

Да. Дело было в одной этой настройке. Всем спасибо.

Share this post


Link to post

Проблема теперь другая - Контроль запуска запрещает вообще всё, что под руку попадётся:

 

n091o32954s419o9.png

 

Вернее, не запрещает, а уведомляет - программы всё равно запускаются.

 

Сравнил с политикой предыдущей версии KES - там по умолчанию было правило, разрешающее всё. В новой политике его нет, создал вручную:

 

80B1n3C9T465r0j0.png

 

Не помогло.

 

Запрещающих правил, как видно, нет вообще.

 

Что я делаю не так?

Share this post


Link to post
Запрещающих правил, как видно, нет вообще.

 

Что я делаю не так?

В новом KES два режима работы белый список и черный список. Работате что-то одно.

У вас стоит режим белый список, т.е запрещено все кроме, того что указано в правилах.

Отдельных правил разрешающих все делать не надо, просто разберитесь как вам удобнее будет работать.

Либо запрещать кокретные программы (черный список) либо разрешать кокретные программы, а остальное запрещать (белый список)

 

Share this post


Link to post
В новом KES два режима работы белый список и черный список. Работате что-то одно.

У вас стоит режим белый список, т.е запрещено все кроме, того что указано в правилах.

Отдельных правил разрешающих все делать не надо, просто разберитесь как вам удобнее будет работать.

Либо запрещать кокретные программы (черный список) либо разрешать кокретные программы, а остальное запрещать (белый список)

 

уточнение - в обоих режимах можно использовать одновременно и разрешающие, и запрещающие правила

но естественно конечный результат будет зависеть от выбранного режима

 

например я работаю в режиме белого списка, т.е. правилами разрешаю запуск определенного софта, но при этом я на всякий случай для подстраховки запрещающими правилами запрещаю запуск любого софта с внешних носителей и из временных папок и кешей браузеров и почтовых клиентов.. одно другому не мешает

это позволяет защититься от запуска разрешенного софта из нетипичных или потенциально опасных мест, например как-то попадался шифровальщик, использующий для вредоносного шифрования разрешенный pgp, но запускал его не из папки установки, а из временной папки, и хотя сам PGP у нас был разрешен, его запуск из временной папки был заблокирован

 

фактически режим "черный список" в новом KES соответствует включенному правилу "разрешить все" в прежних версиях KES

а "белый список" в новом KES соответствует отключенному правилу "разрешить все" в прежних версиях KES

Edited by Aigir

Share this post


Link to post
В новом KES два режима работы белый список и черный список. Работате что-то одно.

У вас стоит режим белый список, т.е запрещено все кроме, того что указано в правилах.

 

Понял. Воспринимал эти настройки немного иначе - как закладки, параметры в которых работают одновременно.

 

Я, конечно, понимаю, что такие продукты не могут быть простыми, и понимаю, что надо от корки до корки читать руководство администрирования по новой версии - но ей-богу, ЛК надо бы проделать масштабный пересмотр настроек KSC и KES в плане юзабилити и их восприятия по возможности безо всякого чтения мануалов, чтобы их смысл был понятен сразу.

 

При этом такое деление на чёрные и белые списки становится непонятным, раз и там, и там можно указывать запрещающие/разрешающие правила - зачем есть возможность в режиме Белого списка указывать запрещающие правила, если и так всё запрещено, что в нём не указано? Точно так же и наоборот - с разрешающими правилами в чёрном списке. Это мне и помешало понять логику настроек. Ну и плюс этот "тестовый режим" выше - пойди пойми что это означает.

 

В общем, без поллитры форума - никак.

 

Ещё раз, всем спасибо за помощь.

Share this post


Link to post

Здравствуйте,

 

Спасибо за информацию!

 

Можно ли считать, что проблема решена?

Share this post


Link to post
Здравствуйте,

 

Спасибо за информацию!

 

Можно ли считать, что проблема решена?

 

Да

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.