Jump to content
  • Announcements

    • Rodion Nagornov

      Долгое сохранение сообщений || Delays while posting (click here to read the full text RU/EN)   09/20/2017

      Due to some technical reasons visual delays are possible while message sending. Actually your message is published immediately - just interface works long. In such case, please, do not re-send your message immediately! Press F5 to reload the page and check if your message/topic is published. || По техническим причинам возможно визуально долгое отправление сообщений на форуме. Фактически ваше сообщение публикуется мгновенно - долго отрабатывает графика. В случае подобной ситуации, пожалуйста, сначала обновите страницу (F5) и проверьте, появилось ли ваше сообщение. Не пытайтесь сразу отправить его заново.
Sign in to follow this  
ank0l0g

Контроль запуска программ

Recommended Posts

День добрый.

Хочу настроить Контроль запуска программ через KSC v10.4.343
Захожу в активную политику. Вижу одно включенное правило "Разрешить все".
Нажимаю на "+" для добавления правила. Открываю выпадающий список "Категория" вижу его пустым.
Подскажите, каким образом добавить новое правило?

kzp-1.JPG

kzp-2.jpg

Share this post


Link to post

Если включено "разрешить все" - это значит работа в режиме "черный список",
Т.е. все разрешено кроме того, что явно запрещено.
А вот что в данном случае будет запрещено - это вы определяете в своих правилах.
Категории вы должны создать сами в разделе "Управление программами - Категории программ", и уже потом на основе этих категорий создавать правила.
К тому-же следует учесть, что для каждой используемой версии KES (KES10SP2 и выше и до KES10SP2) необходимо будет создавать отдельные категории, поскольку критерии в контроле программ в разных версиях различаются (например используются разные типы хешей)

Подробнее смотрите в Руководстве администратора KSC на стр.211 и Руководстве администратора вашей версии KES

Edited by aigir

Share this post


Link to post

Создал правило. Но оно оказалось в самом низу списка.

Как сделать его первым в списке или необходимо отключить самое первое "Разрешить все"?

Share this post


Link to post

В контроле запуска программ последовательность расположения правил не имеет значения, они работают все сразу по принципу "разрешено все, что не запрещено"
т.е. запуск любого приложения проверяется по всем правилам, и если в любом из них есть запрет на его запуск - оно заблокируется.


в режиме "черный список" (когда включено правило "разрешить все") если хоть в каком-то из правил данное приложение блокируется - оно не будет запущено.

в режиме "белый список" (когда отключено правило "разрешить все") будут блокироваться все приложения (в том числе и системные), и вам придется создавать правила для того, чтобы разрешить запуск чего-либо.

Edited by aigir

Share this post


Link to post

Хм. На локальном ПК настроил блокировку через KL-категорию, как нашел на сайте https://www.osp.ru/winitpro/2015/06/13046185/

Т.е. к приведенным выше правилам добавилось мое, локальное.

Блокировал запуск приложения.

Запускаю приложение. Запускается.

Отключил "разрешить все". Приложение блокируется. Любые другие, которые не запрещены, не блокируются.

Share this post


Link to post

Если у вас включена политика, и на контроле запуска и на правилах замок закрыт, значит локальные правила отключаются и работает только то, что в политике.
Если локально на компе отключаете политику , работают все правила, которые есть на данном компе - как те, которые остались от политики, так и локальные

Киньте скриншоты правил контроля непосредственно на данном компе (скриншоты, на которых видно сами условия)

Share this post


Link to post

В данный момент времени сделать скриншоты не могу.

Решил переустановить KES на клиенте. Снес утилитой kavremvr.

Установил новый через KSC. Установился, KSC видит его как не запущенный.

На клиенте работает без ошибок но не подтягивает политики. Пробовал утилитой klmover привязать к серверу KSC. Не помогло.

Сейчас переставлю и скину.

Share this post


Link to post

Здравствуйте,

укажите, пожалуйста, точную версию KES, версию политики KES и версию агента.

Спасибо.

 

Share this post


Link to post

День добрый.

Создал новую политику для новой версии KES 10 v10.3.0.6294 это KES 10 Service Pack 2 для Windows.
Создал категорию программ:

Условия:
Критерий условия    Значение условия
KL-категория    Браузеры

Исключения:
Критерий условия    Значение условия
Метаданные    Имя файла: "chrome.exe";Программа: "Google Chrome";Производитель: "Google Inc.";

Политики:
Политика    Группа    Виртуальный Сервер
Kaspersky Endpoint Security 10 Service Pack 2 для Windows

Настроил "Контроль запуска программ"
Политика на клиенте применилась. Программы что не должны запускаться, запускаются.

kzp-3.JPG

Share this post


Link to post

А теперь посмотрите, по каким KL-категориям на самом деле классифицируются ваши файлы, которые не должны были запускаться, но запускаются.
Локально на компе в KES:  Контроль запуска программ - Запущеные программы (может ошибаюсь).

Share this post


Link to post

"Список программ" на скриншоте внизу  - это перечень исполняемых файлов, запускавшихся на данном компьютере
Там-же по каждому исполняемому файлу отображаются метаданные (если они есть в файле) и KL-категории (если файл был классифицирован)
Эта информация передается в KSC и там отображается в "Исполняемых файлах"

Edited by aigir

Share this post


Link to post

Я наверное ни так настроил блокировку.
Я хотел что бы нельзя было закускать установщик и блокировать работу браузера Yandex.
Выставил KL-категории "браузер". Наверное нужно что-то другое на блокировку запуска установщика.
В "Список программ" установщик Yandex не попадает.

Share this post


Link to post

Подправил политику теперь yandex попадает в список програм, но не блокируется.
Попадает в KL-категорию "Некатегоризированные программы".

Share this post


Link to post

Ну значит установщик не определяется как браузер, что вполне логично.
Попробуйте заблокировать по метаданным, если они есть у данного файла.

Share this post


Link to post

Здравствуйте,

отключите KES от политики и настройте категорию и правила локально.

Какой будет результат ?

Приложите скриншоты настроек категории и контроля запуска програм.

Спасибо.

 

Share this post


Link to post

Здравствуйте,

Для этогонужно кликнуть правой кнопкой мышки на иконке KES в трее и выбрать соответствующий пункт.

Спасибо!

Share this post


Link to post

День добрый.

Разобрался со всем.

Все получилось.

Вопрос можно закрывать.

 

Share this post


Link to post
2 hours ago, ank0l0g said:

День добрый.

Разобрался со всем.

Все получилось.

Вопрос можно закрывать.

 

Здравствуйте,

можете поделиться решением ?

Спасибо.

 

Share this post


Link to post
1 минуту назад, Dmitry Eremeev сказал:

Здравствуйте,

можете поделиться решением ?

Спасибо.

 

Отключил ПК от политики KSC.

Еще раз все внимательно изучил в настройках политики "Контроль запуска программ".

 

Share this post


Link to post
2 hours ago, ank0l0g said:

Отключил ПК от политики KSC.

Еще раз все внимательно изучил в настройках политики "Контроль запуска программ".

 

Так как вы разрешили проблему ?

On 10/10/2017 at 1:58 PM, ank0l0g said:

Я хотел что бы нельзя было закускать установщик и блокировать работу браузера Yandex.
Выставил KL-категории "браузер".

Спасибо.

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×