Jump to content

Recommended Posts

добрый день.есть сервер, группы с открытыми usb и закрытыми, хочу спросить есть ли такая возможность в ksc 10, при обнаружении вирусов на флешке, автоматом переносить из группы открытых USB в закрытые. и отправлять отчет сис.админу или хранить на сервере.

 

Share this post


Link to post

К сожалению такой функционал или настройка поведения отсутствует, вы можете попробовать создать такой сценарий самостоятельно с помощью klakaut.

Спасибо!

Share this post


Link to post

На форуме предоставляется поддержка по проблемам связанных с функционированием продукта, к сожалению мы не предоставляем услуги по индивидуальной настройке продукта.

https://support.kaspersky.ru/support/rules#ru_ru.block2

Спасибо!

Share this post


Link to post

еще вопрос по этой теме. в свойствах сервера администрирования в разделе вирусная атака, есть кнопка настройки активации политик по событию вирусная атака. я создал группу и добавил туда политику нужную мне. теперь вопрос работает ли эта фича? то есть при обнаружении вирусной атаки устройство применяет нужную мне политику я правильно понял?

 

Share this post


Link to post

Должно быть превышено кол-во срабатываний в минуту. Тоесть одновременно должно быть найдено два и более.

Спасибо!

Share this post


Link to post

Не вижу смысла в таком сценарии блокировки флешек.
Если антивирус найдет на флешке какой-то уже извесный вирус, значит он его и так автоматически удалит, и тогда уже нет необходимости блокировать флешку, т.к. она уже чистая.
А если на флешке был какой-то новый неизвестный вирус, то антивирус на него и так не среагирует, и соответственно ваш сценарий все равно не сработает.

А еще при разрешенных флешках помогает запрет запуска исполняемых файлов непосредственно с флешки при помощи контроля запуска (запрещающее правило с условием по внешнему носителю), чтобы с флешки случайно не запустилась какая-нибудь шняга.

image.png.5d556b204352c78cfb962b1620e1ef5f.png

Edited by aigir

Share this post


Link to post

видите  в чем дело. у нас в конторе всем кому не лень открывают флешки. несут всякую ерунду на рабочие места. я хочу немного сократить этот список. пользователи попадаются одни и те же, начальство сказало выбирать кто несет вирусы на флешке и блокировать им доступ. поэтому хочу как то автоматизировать.

Share this post


Link to post

Этот вопрос решается еще проще: запрещаем доступ всем , а кому надо - пусть пишут заявки с обоснованием и согласовывают с руководством.
Когда я закрыл доступ, у нас сначала тоже все ныли, как же они будут работать, но через неделю все привыкли и оказалось, что флешки вообще не нужны.

Из 300 человек реально пользуются флешками только 2-3, а остальные кому надо - ходят ко мне 2-3 раза в неделю, когда нужно что-то скопировать.

Share this post


Link to post

так уже решили )) теперь все идут пишут служебки и всем открывают. я так понимаю начальству надоедает смотреть отчеты о вирусах и откуда они приходят, и чтобы не парится в очередной раз сделали регламент и теперь в соответствии с регламентом я могу закрывать на основании присутствия вирусов на флехе. но искать влом

 

Share this post


Link to post

Вот вы закроете, а пользователь просто напишет очередную служебку и опять придется открывать.. лишняя работа, бумага.
Надо закрыть и все.. кому надо - пусть ходят к вам и перекидывают файлы через вас.
Вот увидите - через неделю всем надоест бегать и народ привыкнет работать без флешек.
У нас даже ГенДир без флешек работает (ко мне ходит).. несколько раз приносил из дома заразу, потом сам попросил отключить.

Share this post


Link to post

пользователя накажут на премию, ко мне не надо ходить, что проходной двор устраивать. я спросил есть такая возможность или нет. она как бы есть но не срабатывает нужным мне образом. а там пусть хоть оппишутся своими бумагами.)))

 

Share this post


Link to post

Обоснуйте что флешки - канал утечки информации. Отрубите у всех (само собой себя любимого отрубать можно только документально). Если нужно постоянно кому-то флешки, то я делал что через руководителя подразделения (т.е. открыто у руководителя и он контролирует). Что такого можно постоянно на флешках таскать? Я могу понять фотки скидывать для отчетности, но не поголовно же.

Edited by Kommunist7304

Share this post


Link to post
3 минуты назад, Сергей Наследов сказал:

у меня работа компы починять) а не инфу с флешек скидывать) считаю имеено ЭТО лишняя работа

 

Обеспечение безопасности информационной инфраструктуры - более важная работа, чем починять компы.
А для безопасности чем меньше каналов информационно обмена внутренней сетки с внешним миром, тем лучше.
К примеру мы и интернет везде на рабочих местах отрубили.. для интернета отдельный WiFi, не связанный с рабочей сеткой, и терминальные сервера в изолированной ДМЗ.

Share this post


Link to post

я это и имел ввиду. просто не хочу это сидеть и мониторить, хочу закрывать автоматом если попался и формировать об этом отчет всего то делов. не могу понять как. 

 

Share this post


Link to post
5 минут назад, aigir сказал:

Обеспечение безопасности информационной инфраструктуры - более важная работа, чем починять компы.
А для безопасности чем меньше каналов информационно обмена внутренней сетки с внешним миром, тем лучше.
К примеру мы и интернет везде на рабочих местах отрубили.. для интернета отдельный WiFi, не связанный с рабочей сеткой, и терминальные сервера в изолированной ДМЗ.

не хочу вдаваться в спор, но мне кажется чтобы пользователи бегали к вам каждый раз чтобы скинуть что то с флехи это прошлый век(если говорить о безопасности). конечно это надежно, но я так не хочу) 

Share this post


Link to post

я специально заставил бегать ко мне для того, чтобы пользователи задумались, действительно ли им так нужны флешки, чтобы таскаться каждый раз через все здание
сейчас приходят от силы 2-3 раза в неделю, т.е. окзалось, что в действительности флешки никому для работы не нужны (сначала тоже все возмущались).. а раньше копировали в основном всякую хрень, свои личные фотки и другой мусор... ну и естественно всякие служебные файлы наружу через флешки утекали.
зато теперь я спокоен, что в сеть никакая шняга с флешек не пролезет, т.к. я сам лично все копирую

можно конечно замутить какую-нибудь DLP, но это отдельный геморой и отдельные бабки

А по сути - вопрос конечно интересный. Например в какой момент KES будет считать, что вирусная атака закончилась? В этой ситуации он автоматически активирует обычную политику?
Т.е. сначала по зараженной флешке детектится вирусная атака, KSC переключает на другую политику, затем антивирус лечит флешку, после чего KSC считает что атака закончилась, и возвращает комп на прежнюю политику.

Edited by aigir

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.