Jump to content
Sign in to follow this  
aigir

Контроль запуска программ.

Recommended Posts

Не нашел в каком разделе написать, поэтому пишу здесь.

В KES10SP2 (10.3.0.6294) были созданы правила контроля в режиме "белый список", все работало.

При обновлении до KES11 все правила подхватились, но выяснилось, что для части системных утилит не определяются метаданные, они не попадают в соответствующие "золотые" категории и поэтому их запуск блокируется. Для этих-же утилит в KES10SP2 метаданные считывались и соответствующие категории определялись корректно.
В частности:
wermgr.exe
sppsvc.exe
conhost.exe
consent.exe
taskhost.exe
hkcmd.exe
dwm.exe
lsass.exe

image.png.7d65d8d65a20a7ecca6a7b047d50f986.png

Так-же не читаются метаданные и не определяются категории у отдельных известных программ

image.thumb.png.cacc4a31b3f5b43a68f5dc34cf07385a.png

И по-прежнему не хватает возможности импорта-экспорта правил и условий контроля запуска программ.

Edited by aigir

Share this post


Link to post

в дополнение:
еще неопознанные системные файлы:
winlogon.exe
wudfhost.exe

В некоторых неопознанных файлах присутствует корректная подпись (например в firefox.exe, фирменные утилиты DELL), но KES11 ее не видит.
Для разрешения запуска таких-вот неопознанных  файлов приходится добавлять для них условия по хешам,
но это будет работать только до ближайшего обновления, после чего опять придется обновлять все хеши

Гипотетически может случиться ситуация, когда при обновлении поменяются какие-нибудь системные файлы (из тех, которые не идентифицируются), и после этого вообще винда не запустится

Edited by aigir

Share this post


Link to post

Здравствуйте,

Пожалуйста, соберите трассировки по следующему сценарию:

-включите трассировки

-перезапустите продукт (и/или запустите задачу инвентаризации)

-запустите один из назаванных вами exe файлов.

 Убедитесь в том, что категория файлам не присвоена, выключите трассировки.

 

Спасибо!

Share this post


Link to post

сегодня еще утилиты заблокировались, в частности diagtrackrunner.exe
в самой утилите присутствуют и метаданные, и цифровая подпись
image.png.cfc285697e4f6348ff5cf5ab190cb885.pngimage.png.a83a713645464368bb7e93f5de2561c5.png

 KES10SP2 все это видит и определяет его в категорию "Золотая категория\Операционные системы и утилиты\Компоненты ОС"

но KES11 это не видит, и никаких категорий не назначает, соответственно запуск данной утилиты блокируется

image.png.47ed2d38f5999f64400b85d208066f5c.png

image.thumb.png.936e3863cb7ade89f4df07812c47e16f.png

включил трассировку
перезапустил службу KES (KES11 установлен на автономном несетевом компе, поэтому инвентаризации нет)
попытался запустить утилиту - вышло сообщение о блокировке
отключил трассировку

архив с трассировкой прилагается

уточнение: комп с Win7 x64, но c KES10SP2 все работало корректно, метаданные считывались, категории назначались, системные утилиты не блокировались

kes11trace.7z

Edited by aigir

Share this post


Link to post

еще shell32.dll периодически блокируется (вылезают аллерты)
в файле тоже есть метаданные,

image.png.679022045e6275ebcb0e442f5407ef60.png

в KES10 тоже классифицировалась по "золотой" категории

Share this post


Link to post

Здравствуйте,

укажите точные сборки KSC сервера, консолей и агентов.

Приложите экспорт плагинов управления.

Только на win 7 тестировали ?

Были тесты на win 10 ?

Спасибо.

 

Share this post


Link to post

Я же написал выше - комп автономный, т.е. без KSC и агентов. Win7 x64. До этого на нем стоял KES10SP2, все работало нормально. Для всех перечисленных выше файлов корректно определялись KL-категории и файлы не блокировались.
KES11 был установлен поверх KES10SP2.
Просто это единственный комп, который не используется в работе и поэтому его можно использовать для тестирования.
На других компах KES11 не ставил, т.к. они все в работе, и какие-либо проблемы и косяки на них недопустимы.

Share this post


Link to post

сегодня еще раз заглянул в Контроль программ - Список программ и обнаружил, что у части системных файлов, у которых до этого не определялись метаданные и не назначались KL-категории, вдруг появились и метаданные и категории
в частности из ранее перечисленных:
sppsvc.exe
taskhost.exe
dwm.exe
winlogon.exe
diagtrackrunner.exe

image.png.9282b2e757c62459dd31c3d4fc4ace04.png

Edited by aigir

Share this post


Link to post

Еще обнаружились непонятки с Firefox.
Сам Firefox запускается, не блокируется. И в отчете при этом фиксируются интересные разрешающие записи:
image.thumb.png.cd074b920fbd8ec0955868ec743de663.png

И это при том, что Контроль запуска работает в режиме "Белый список", и "Запрет по умолчанию" по логике должен все запрещать, а не разрешать.

При обновлении с KES10SP2 на KES11 в Контроле запуска остались все используемые ранее правила и условия.
Среди разрешающих правил было правило с условием для Firefox по метаданным, и ранее на KES10SP2 оно работало.
image.png.e4f3a85aaefdca11df3d8d2bbc1c4d66.png

Но при этом сам Firefox в KES11 зафиксировался без метаданных.

image.thumb.png.fe8b169aad892a9b11299095ec348ede.png

Попробовал удалить это условие - Firefox все равно запускается.
По логике, т.к. KES11 не увидел метаданные, данное условие и так не работало.
Но тогда почему запуск Firefox оказался разрешен, если по логике работы "белого списка" должен был блокироваться?

Edited by aigir

Share this post


Link to post

Вобщем надоело париться с постоянной блокировкой системных утилит и другого софта.
Снес KES11 подчистую, включая конфигурацию, установил заново - проблема вроде исчезла. Т.е. системные файлы не блокируются, метаданные считываются, KL-категории вроде назначились корректно практически на всех запущеных файлах.
Вот только почему-то в файлах 7zip по-прежнему не читаются метаданные и не назначается KL-категория, хотя метаданные там присутствуют и KES10SP2 все корректно читает и определяет категорию.

Share this post


Link to post

KES 11.0.0.5186, установлен на изолированном компе (без KSC)

С сегодняшнего дня KES11 вдруг начал блокировать запуск программ, прописанных в правилах  по хешу.
Стал разбираться и увидел, что KES11 с какого-то перепугу вместо SHA256 стал вычислять MD5, и соответственно все правила, в которых был прописан хеш SHA256, не работают

Вот так теперь выглядит локальный список запускаемых файлов при добавлении условия "из свойств запускавшихся программ". Т.е. видно, что часть файлов с SHA256 (файлы, которые запускались до сегодняшнего дня), а часть файлов уже с MD5. Скорее всего это файлы, которые запускались сегодня.

image.png.0ca6fa3ac771c6271e50ed9856676de1.png

 

Edited by aigir

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.