it-nico Posted February 20, 2018 (edited) Здравствуйте! После установки на Windows 10 14393 бета-версии KES 11.0.0.5186 стали надоедать две неприятности: 1. Иногда не работает меню пуск (меню Win+X работает всегда) - причем, похоже, это связано с Поиском Windows (не раз видел такие проблемы - всегда это было из-за Поиска). Но четкой зависимости, при каком сценарии это происходит, пока не обнаружил. Кроме той, что переустановка KES на некоторое время (неделю-другую) как будто прекращает проблему. 2. По теме. Перестало срабатывать безопасное извлечение устройств. Сегодня удалось наконец-то вычислить компонент, который препятствует этому - Защита от файловых угроз. Записал трассировку и лог procmon (там видно, что проблемы с извлечением возникают после того, как в записи файлов участвует avp.exe): 1. Выключить Защиту от файловых угроз. Включить трассировку, лог procmon, извлечь флешку 2. Подсоединить флешку, скопировать на нее файл pass.pdf. Извлечь флешку через Безопасное извлечение устройств. Все срабатывает. 3. Снова подсоединить флешку. Включить Защиту от файловых угроз. Дождаться ее включения. Скопировать файл Безымянный.png на флешку. Сделать три попытки Безопасного извлечения устроств для флешки. "Windows не удалось остановить "Запоминающее устройства для USB"" 4. Остановить трассировку и лог procmon Пароль скинул KLCentralSupport log.zip P.S. Что характерно, если после записи файлов на флешку приостановить\выключить\удалить KES, безопасное извлечение для этой флешки все равно не сработает - до перезагрузки (или выдергивания-подсоединения) Edited February 20, 2018 by it-nico P.S. Share this post Link to post
it-nico Posted February 26, 2018 Дополнительная информация: Проблема возникает только при условии, что флеш-накопитель отформатирован в NTFS, при этом дескрипторы, которые ловит ProcessExplorer, одинаковы независимо от того, включена защита от Файловых угроз или нет (соответственно, извлекается флешка или нет) Спойлер В Fat32 таких дескрипторов уже нет и устройство извлекается безопасно. Данные о флешке Спойлер Volume: W: Controller: USBest UT163 A1B Possible Memory Chip(s): Samsung K9HBG08U1M Samsung K9LAG08U0M Memory Type: MLC Flash ID: ECD55525 68 Chip F/W: BM0669 VID: 3538 PID: 0054 Manufacturer: PQI Product: PQI USB Flash Drive Query Vendor ID: Generic Query Product ID: USB Flash Disk Query Product Revision: 0.00 Physical Disk Capacity: 4126146048 Bytes Windows Disk Capacity: 4103364608 Bytes Internal Tags: 29ZR-TH84 File System: NTFS Relative Offset: 1024 KB USB Version: 2.00 Declared Power: 80 mA ContMeas ID: FC2E-02-00 Microsoft Windows 10 x64 Build 14393 Пробовал другие утилиты Руссиновича, handle не видит флешку вовсе, sync не справляется без комментариев. USB Safely Remove выдает: Share this post Link to post
Evgeny_E Posted February 26, 2018 Добрый день. Уточните, пожалуйста, при включенной защите от файловых угроз, если подождать 5-10 минут после последней операции с устройством (копирование данных на съемный диск), будет ли работать "Безопасное извлечение устройства" ? Share this post Link to post
it-nico Posted February 27, 2018 (edited) Еще раз ради эксперимента выждал полчаса - не извлекается Поигрался также и с настройками файловой защиты, выводы: 1. технологии и методы проверки не влияют 2. влияет изменение режима проверки: 2.а в любом режиме проверки при доступе/выполнении/удалении файлов и папок безопасное извлечение работает 2.б в режиме При доступе и При выполнении безопасное извлечение работает в выше указанных случаях и при записи на флеш-накопитель, то есть всегда 3. при исключении съемных носителей из области проверки, естественно, безопасное извлечение работает. На всякий случай прилагаю полные логи procmon на момент извлечения при включенной и отключенной файловой защите, пароль тот же, что и в теме ProcMon.7z Edited February 27, 2018 by it-nico Share this post Link to post
Evgeny_E Posted February 27, 2018 Добрый день. Из приведенного описания в вашем последнем сообщении я к сожалению не понял когда не работает безопасное извлечение. Share this post Link to post
it-nico Posted February 28, 2018 7 часов назад, Evgeny_E сказал: Добрый день. Из приведенного описания в вашем последнем сообщении я к сожалению не понял когда не работает безопасное извлечение. не работает во всех остальных случаях, а именно: 1. на настройках Защиты от файловых угроз по умолчанию 2. при выборе Интеллектуального или При доступе и изменении режимов проверки 3. при любых изменениях настроек Защиты от файловых угроз, не касающихся областей проверки и режимов проверки, то есть не исключающих проверку записываемой на флеш-накопитель информации. Сбой безопасного извлечения происходит именно после операций записи под контролем Защиты от файловых угроз. Share this post Link to post
it-nico Posted March 12, 2018 (edited) 3 новых факта: 1. на версиях KES 10 SP2 и KES 10 SP2 MR1 безопасное извлечение работает стабильно. 2. первое безопасное извлечение после перезагрузки ПК и записи на флеш-накопитель, отформатированный в NTFS, 1 нового файла срабатывает, второе и последующие - уже нет! Защита от файловых угроз при этом работает в обоих случаях. Ссылка на архив с логами в обоих случаях (пароль на KLCentralSupport): https://yadi.sk/d/bgljKztz3TGWZr Спойлер Сценарий для трассировок одинаковый, важно только отсутствие перезагрузки перед вторым циклом: 1. включить трассировку и лог procmon 2. выполнить безопасное извлечение 3. вставить флешку, записать на нее 1 файл 4. выполнить попытку безопасного извлечения а) в первом случае после перезагрузки извлечение сработает б) во втором случае даже после третьей попытки - не срабатывает. 5. выключить трассировку и лог 3. перезагрузка ПК не устраняет проблему при извлечении флешки, если до нее запись выполнялась под присмотром KES и безопасное извлечение не срабатывало. Хотя если извлечь флешку до того, как все службы KES будут запущены, безопасное извлечение сработает. Самое любопытное - если из выключенного ПК вытащить такую флешку и вставить в порт на другой шине - безопасное извлечение после полной загрузки KES не сработает! Ну, чума! Даже если такую неизвлекающуюся флешку вытащить из выключенного ПК и вставить в другой выключенный (KES 10 SP2 MR1), включить его, дождаться полного запуска KES, безопасно извлечь, вставить в тот первый ПК, включить последний и, дождавшись полной загрузки KES, попытаться извлечь - no pasaran! Edited March 12, 2018 by it-nico Share this post Link to post
Evgeny_E Posted March 19, 2018 Добрый день. Уточните, пожалуйста, воспроизведение проблемы на последней сборке Kaspersky Endpoint Security 11 сборка 11.0.0.6485 Share this post Link to post
it-nico Posted March 30, 2018 Извините за долгий ответ, не приходят письма с уведомлениями (настройки - стандартные, сейчас поменял *@narod.ru на *@yandex.ru - уведомление о смене адреса пришло) Да, проблема на новой сборке не воспроизводится! Спасибо! Спойлер К слову, на той системе я поработал на KES10SP1->KES11->KES10SP2->KES11?->KES10SP2 - проблема была только с KES11, сейчас обновился ОС до 1709 Share this post Link to post
Evgeny_E Posted March 30, 2018 Добрый день. Спасибо за ваш ответ. Отмечу тему решенной. Share this post Link to post