Jump to content
Sign in to follow this  
subcontracting

Конфликт с защитником Windows.

Recommended Posts

Странная история, при попытке проверить работоспособность клиента KES через eicar почему то сам файл eicar съел не KES а защитник Windows, в итоге получил такую вот картину (см. скриншот), в результате выпал в осадок explorer.exe и весь интерфейс, помогло только выключение\включение системы. Отчет GSI:

https://yadi.sk/d/36Yo3CEd3PXCiK

RU-W-0000001-2017-11-08-18-39-21.png

Edited by subcontracting

Share this post


Link to post

Добрый день!

Нужно собрать трассировки продукта при воспроизведении совместно с логами process monitor'а.

Логи мне в личку.

Сможете собрать логи прокмона, или нужна инструкция?

Спасибо!

Share this post


Link to post

Да, прошу вас, скиньте инструкцию на сбор логов для процесс монитора и, на всякий, случай инструкцию по трассировке (делал я это очень давно), попробую воспроизвести проблему.

Share this post


Link to post

Добрый день!

Для начала давайте вы нам сценарий подробный пришлете. Потому как мы сейчас пробовали воспроизвести проблему - не получиось.

Распишите пожалуйста что вы делали по шагам. Откуда брали eicar? Как его скачивали? Проводились ли какие-нибудь дополнительные манипуляции с Windows Defender?

Заранее спасибо!

Share this post


Link to post

Нет проблем!

Есть тестовый домен на Windows Server 2012 R2, в его составе контроллер домена и две рабочие станции, вся информация собранная по ним находится в логах которые собраны через GSI. На сервере установлен KSC и на каждой рабочей станции под политиками (вложены) работают два клиента, один - первая бета, второй - вторая бета. Вся эта система работает на базе VmWare Workstation, без доступа к интернет (иногда переключаю локальные сети для обновления клиентов напрямую, но в целом это изолированная система работающая только в локале).

Дальше - включаю обе рабочие станции, дожидаюсь пока стартанет клиент KES, потом на хосте (не виртуальном, а там где хостится VmWare) захожу на сайт EICAR (http://www.eicar.org/86-0-Intended-use.html) копирую оттуда опубликованную там последовательность ASCII, внутри виртуальных систем создаю на рабочем столе новый текстовый файл, открываю его, вставляю туда символы и жму сохранить. Сразу после этого происходит то, что видно на скриншотах, попробуйте, очень любопытно получится ли у вас аналогичный результат. Windows 8.1 Pro и Windows 10 Pro установлены с настройками по умолчанию, никаких манипуляций с Windows Defender насколько я помню я не проводил, но я перепроверю это, домен изначально создавался для тестирования групповых политик на Windows 10, потом я начал его использовать для тестирования бета-версий, поскольку планирую внедрения в первые дни появления финальной версии KSC и KES.

Edited by subcontracting

Share this post


Link to post

Если я ничего не путаю все есть в отчетах GSI, если верить отчету то версия Windows 10 Pro 10.0.15063.0, доступ к самой системе получу только к концу дня смогу, там сказать наверняка. Сейчас я начал сомневаться по настройкам групповых политик, судя по тому, что обе системы имеют аналогичные симптомы, вечером проверю детали, опубликую каким были изменения в групповых политиках отличные от настроек по умолчанию.

Edited by subcontracting

Share this post


Link to post

Версии продуктов:
Windows Server 2012 R2: 6.3 (Build 9600)
Kaspersky Security Center: ksc_10sp3_10.5.1393_full_ru.exe

Windows 8.1 Pro: 6.3 (Build 9600)
Kaspersky Endpoint Security: kes_win_11.0.0.5156_ru_aes56.exe

Windows 10 Pro: 1703 (15063.483)
Kaspersky Endpoint Security: kes_win_11.0.0.5186_ru_aes56.exe

Что же касается групповых политик:

можно грешить только на выделенный элемент, но вроде он относится только к браузеру Edge (Windows 10), после того как я вернул все политики по умолчанию все вернулось в норму, причем очень странным образом, я по своему сценарию дождался загрузки системы, скопировал внутрь пустого текстового файла знаки EICAR и сохранил его, его тут же обработал Windows Defender, я открыл Windows Defender уже в процессе его обработки в самой программе (Windows Defender) отключилась защита в реальном времени, а когда я указал ему (нажал кнопку) "Устранить угрозу" программа ответила что "Служба Защитник Windows не может быть запущена" и закрылась. Судя по всему службу закрыл Kaspersky. Медленную реакцию могу списать на задержку виртуальной машины. Теперь угрозу регулярно обрабатывает Enpoint Security, раз за разом, осталось понять какая именно политика допускает работу обеих программ одновременно!

Безымянный.jpg

RU-W-0000002-2017-11-09-18-17-01.png

Edited by subcontracting

Share this post


Link to post

Так, разобрался! Вообщем я вижу ситуацию так: во первых я нашел вторую политику, (скриншот), которая могла повлиять на работу Windows Defender, судя по всему как я снял эту политику Kaspersky отключил Windows Defender, а когда включил назад уже не дает ему активироваться. В свою очередь Enpoint Security изначально устанавливался при активной политике, поэтому ему не удавалось погасить Windows Defender. Или как-то так! Сейчас все работает отлично, EICAR раз за разом вычещается при помощи KES. Спасибо, наверное вопрос можно закрыть, ситуацию будет непросто проэмулировать еще раз. Однако можно иметь в виду такие вещи - в групповых политиках не должно быть активных политик по отношению к Windows Defender, а если они и есть их нужно отключать на момент установки KES, думаю мораль приблизительно такова.

Безымянный.png

Share this post


Link to post

Здравствуйте!

Спасибо за подробный отчет!

Получается, что в продукте ошибки нет, дело в политиках.

С Уважением,

Виталий Кравцов.  

 

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.