Jump to content
Jinx02

KES11 Accès Webcam et micro interdits

Recommended Posts

Bonjour,

J'utilise une solution de visio (StarLeaf) et visiblement KES11 sur un WIndows 10 1803 bloque l'accès :

07/09/2018 14:48	Déclenchement de la règle du contrôle de l'activité des applications	StarLeafc.exe	C:\Users\xxx\AppData\Local\StarLeaf\StarLeaf\2\	Interdit	Accès aux paramètres de sécurité	Accès à l'enregistreur audio	Elevé	Exactement	Accès à l'enregistreur audio
07/09/2018 14:48	Déclenchement de la règle du contrôle de l'activité des applications	StarLeafc.exe	C:\Users\xxx\AppData\Local\StarLeaf\StarLeaf\2\	Interdit	Accès aux paramètres de sécurité	Accès à l'enregistreur audio	Elevé	Exactement	Accès à l'enregistreur audio
07/09/2018 14:48	Déclenchement de la règle du contrôle de l'activité des applications	StarLeafc.exe	C:\Users\xxx\AppData\Local\StarLeaf\StarLeaf\2\	Interdit	Accès aux paramètres de sécurité	Accès à l'enregistreur audio	Elevé	Exactement	Accès à l'enregistreur audio
07/09/2018 14:48	Déclenchement de la règle du contrôle de l'activité des applications	StarLeaf.exe	C:\Users\xxx\AppData\Local\StarLeaf\StarLeaf\2\	Interdit	Accès aux paramètres de sécurité	Accès à la webcam	Elevé	Exactement	Accès à la webcam

 

L'accès fonctionne correctement avec l'application Camera de Windows.

J'ai donc tenté d'adapter la stratégie depuis mon KSC :

1. Dans les paramètres généraux, j'ai ajouté 2 applications de confiance :

%LOCALAPPDATA%\StarLeaf\StarLeaf\*\StarLeaf.exe et %LOCALAPPDATA%\StarLeaf\StarLeaf\*\StarLeaf.exec

J'ai des "*" car les 2 .exe se retrouvent dans 2 répertoires différents :  C:\Users\xxx\AppData\Local\StarLeaf\StarLead\1\ et C:\Users\xxx\AppData\Local\StarLeaf\StarLead\2\

2. Dans la prévention des intrusions, j'ai ajouté tous les StarLeaf dans la zone de confiance (cf attachement)

Mais ma webcam ne fonctionne toujours pas dans mon application de visio...

Je loupe quelque chose ??? Si je désactive le module "Prévention des intrusions" dans la protection avancée, ma webcam fonctionne normalement dans mon application de visio... Mais j'aimerai conservé ce module actif.

Merci d'avance.

KasperskySC.jpg

 

Edited by Jinx02

Share this post


Link to post

Il semblerait que côté KSC, dans ma stratégie, la classification des exécutables StarLeaf soit correcte par rapport à mes attentes en zone de confiance.
Par contre, côté client, KES11 et ses rapports indiquent qu'ils sont en zone avec restrictions faibles mais dans cette zone, par défaut, l'accès à la webcam et au micro est interdit...
Incohérence entre serveur et client. 

J'ai remarqué dans la définition de la stratégie "Les applications lancées avant Kaspersky Endpoint Security for Windows sont automatiquement placées dans le groupe de confiance : restrictions faibles"... 
Après test (Les applications lancées avant Kaspersky Endpoint Security for Windows sont automatiquement placées dans le groupe de confiance : de confiance), ça ne fonctionne pas.

Quand j'autorise l'accès à la webcam et au micro dans les privilèges des restrictions faibles, ça fonctionne mais ce n'est pas satisfaisant.

Edited by Jinx02

Share this post


Link to post

Si vous  allez dans les propriétés de chaque exécutable (Prévention des intrusions), Onglet "Privilèges", l'accès à la webcam et audio sont autorisés ?

2018-09-11_113223.png

Share this post


Link to post

Oui :

image.png.82dde663095f33b631d69119b39016c6.png

 

Mais visiblement l'exe ne passe pas en zone de confiance et reste en zone restreinte où webcam et micro sont interdits...

Share this post


Link to post

Salut Jinx02,

tu as souligné une chose importante plus haut :

Il semblerait que côté KSC, dans ma stratégie, la classification des exécutables StarLeaf soit correcte par rapport à mes attentes : en zone de confiance.
Par contre, côté client, KES11 et ses rapports indiquent qu'ils sont en zone avec restrictions faibles mais dans cette zone, par défaut, l'accès à la webcam et au micro est interdit...
Incohérence entre serveur et client.  

Il semble qu'il y ait une incohérence entre ce qui est configuré dans ta policy et ce qui est appliqué sur le client.

Es-tu certains que le poste est bien derrière cette policy et que celle ci n'est pas écrasée par une stratégie parent par exemple ?

En bonne pratique je te conseille d'utiliser la section "Informations sur le support technique" qui te permettra d'ajouter une description afin de confirmer que la policy reçue est bien la bonne.

policy.thumb.PNG.a3b0855b93e669fe1bb59ff652cabc2c.PNG

Sinon, si tu sors ton poste de la stratégie (Icone K de la barre des tâches > clic-droit > désactiver la stratégie) et que tu regardes localement la classification de ton exécutable, est-il toujours dans le groupe de confiance ? Si tel n'est pas le cas, ajoute-le manuellement et effectue de nouveau tes tests.

Bon courage !

Share this post


Link to post

Ou je suis certain de l'application de la stratégie : quand je désactive la prévention des intrusions de la stratégie mes PC KES11 ont bien accès aux webcams et micros...

Edited by Jinx02

Share this post


Link to post

Si tu sors ton poste de la stratégie (Icone K de la barre des tâches > clic-droit > désactiver la stratégie) et que tu regardes localement la classification de ton exécutable,

est-il toujours dans le groupe de confiance du composant prévention des intrusions ?

Si tel n'est pas le cas, ajoute-le manuellement et effectue de nouveau tes tests.

Tiens nous informés du résultat. :)

Share this post


Link to post

"Désactiver la stratégie est grisé" :) 

Mais je ne vais pas pouvoir passer sur toutes les machines si ça fonctionne...

Share this post


Link to post

Scal,

Je ne vois même pas comment faire pour le faire manuellement à vrai dire...

Et le tweak sur la section "Informations support technique", on le retrouve où côté KES11 car je ne vois rien (j'ai fait ton test pour être sûr...)

Edited by Jinx02

Share this post


Link to post

Jinx02,

cela est tout à fait normal, le module de contrôle de l'activité des applications s'appuie sur la base de réputation KSN pour une classification automatique des applications dans ses groupes de filtrages (de confiance, restrictions faibles ...).

Si tu n'actives pas la technologie KSN, il faudra définir les règles pour tes applications à la main, ce qui complique grandement la tâche sachant qu'il peut exister plusieurs versions de ton application métier et par conséquent plusieurs MD5 potentiels en fonction de la version de ton application.

Tu peux te référer à ce lien afin de vérifier la réputation d'un exécutable par exemple : https://whitelisting.kaspersky.com/advisor

Je ne vois même pas comment faire pour le faire manuellement à vrai dire... 

Afin de sortir ton poste de la policy, il faut tout d'abord positionner un login / mot de passe de protection sur ta policy. (Paramètres généraux > Interface > Mot de passe de protection )

Puis localement :

policy2.PNG.e139da8425f0172b1ab54872b65a3f6f.PNG

Et le tweak sur la section "Informations support technique", on le retrouve où côté KES11 car je ne vois rien (j'ai fait ton test pour être sûr...) 

policy1.thumb.PNG.deaa5eec35c205dfed837f4d1aabe349.PNG

 

 

Share this post


Link to post

Je ne suis pas forcément fan de KSN car je ne sais pas réellement ce qui sort... Ni s'il y a un impact significatif sur la bande passante.

Pour le tweak "support technique", je me doutais un peu mais voilà ce que j'ai de mon côté :

image.thumb.png.0089882265e2ba29409529f6c226fbc9.png

Edited by Jinx02

Share this post


Link to post

Bonjour Jinx02,

en ce qui concerne la technologie KSN, je t'offre ici un peu de lecture, ça devrait te rassurer sur le sujet :

https://www.kaspersky.fr/about/data-protection

https://support.kaspersky.com/fr/9464

https://support.kaspersky.com/fr/9365#block0

https://support.kaspersky.com/fr/14325

Je te recommande vivement d'utiliser cette technologie au quotidien, avec le recul je peux te dire qu'elle a sauvé la mise à beaucoup clients lors de phases d'attaques virales.

Pour le tweak "support technique", je me doutais un peu mais voilà ce que j'ai de mon côté :

Ta capture illustre manifestement qu'aucune mention n'a été spécifié dans la section "Informations sur le Support Technique" de ta policy.

As-tu ajouté un commentaire dans la section "Assistance aux utilisateurs > Informations sur le Support Technique" de ta policy ? voir ci-dessous :

image.png.9087398443ef9cfbe13d41226f9bb3c1.png

En espérant t'avoir apporté toute l'aide nécessaire ! :)

Bonne journée.

Share this post


Link to post

Merci pour les liens Scal.

Si si, j'ai renseigné la zone en question et même tenté un lien :  

image.png.972409421229ea5a1665086aa2385e3e.png

Mais rien de flagrant côté client.

Merci de ton aide.

Share this post


Link to post

Du coup, ton souci de conflit avec l'application StarLeaf s'est-il réglé de lui même après activation de la technologie KSN ?

Share this post


Link to post

Parfait, il y avait manifestement un souci avec l'application des règles prédéfinies manuellement.

Je te conseille vraiment de conserver KSN actif à l'avenir pour la classification auto de tes exécutables, ça te facilitera grandement l'administration.

Bonne journée.

Share this post


Link to post

Merci, oui pour le moment je vais conserver le KSN mais je suis en période bientôt de renouvellement et je vais regarder Sentinel One et Trend...

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.