Jump to content
Anna.Zelenova

Сообщение о блокировке устройств

Recommended Posts

Добрый день!

 

На машинах с KES появляется сообщение о блокировке USB. Причем сообщения появляются у юзеров, которым USB разрешены. Также, сообщения появляются у юзеров, у которых USB закрыты, но никаких устройств в ПК нет, кроме USB-клавиатуры и мышки. Правила, контролирующие USB, настроены в политике KES. 

Я переношу ПК на новый сервер, где импортирована политика с предыдущего. Если ПК перенести обратно на старый, проблема исчезает.

До сегодняшнего дня подобных сообщений не было.

KES -10.3.3.275

KSC - 10.5.1781 стоит на win server 2016 (для справки, старый сервер с windows 2008 R2 standard, KSC - 10.4.343)

Агент - 10.5.1781

Помогите, пожалуйста, разобраться

Share this post


Link to post

CD/DVD случайно не заблокированы в политике?
В KES10SP2 была проблема, когда при блокировке CD/DVD при открытии файлов с локального диска появлялись сообщения о блокировке.
 

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, находится ли учетная запись системы (NT Authority\System) в списке пользователей, кому разрешены действия с устройством? 

Если нет, то нужно добавить, так как система также пытается взаимодействовать с устройствами, но из-за недостатка прав не может, а пользователи видят сообщение о блокировке. 

Спасибо!

Share this post


Link to post

Такая же беда всплыла после установки на SP2 патча mr3, до этого такого не было:

Пример:

Тип события:     Операция с устройством запрещена

Устройство\Категория устройства:     Устройство

Устройство\Тип устройства/Тип шины:     Съемные диски

Устройство\Идентификатор устройства:     USBSTOR\DISK&VEN_ISTORAGE&PROD_DISKASHUR&REV_0120\54454A353134344648593158&0

Устройство\VIDPID устройства:     VEN_ISTORAGE&PROD_DISKASHUR

Пользователь:     NT AUTHORITY\СИСТЕМА (Не определено)

Результат\Решение:     Запрещать

Результат\Название файла:     E:\R

Результат\Операция:     Запись

Пришлось в политику KES10SP2 добавить пользователя NT AUTHORITY\СИСТЕМА
 

Share this post


Link to post


При предоставлении индивидуального доступа к внешним дискам замечено следующее:
- При подключении флешек сообщения о блокировке появляются как для текущего пользователя, так и для System
- Сообщение о блокировке появляется только 1 раз при первом подключении носителя (флешки) в течение сеанса (до перезагрузки компа). При этом доступ к флешке пользователю предоставляется. При дальнейшем подключении этой-же флешки в течение сеанса сообщения о блокировке уже не появляются.
- Предоставление доступа для System проблему устраняет.

 

Share this post


Link to post
15 часов назад, aigir сказал:

CD/DVD случайно не заблокированы в политике?
В KES10SP2 была проблема, когда при блокировке CD/DVD при открытии файлов с локального диска появлялись сообщения о блокировке.
 

Нет, CD/DVD не заблокированы

Share this post


Link to post
8 часов назад, Ivan.Ponomarev сказал:

Здравствуйте!

Уточните пожалуйста, находится ли учетная запись системы (NT Authority\System) в списке пользователей, кому разрешены действия с устройством? 

Если нет, то нужно добавить, так как система также пытается взаимодействовать с устройствами, но из-за недостатка прав не может, а пользователи видят сообщение о блокировке. 

Спасибо!

Нет, такой учетной записи нет. В настройках правила добавлены группы AD, для которых настроено расписание доступа. Подскажите, пожалуйста, как мне добавить учетку NT Authority\System, если все УЗ проверяются в AD, а такой учетки в AD нет? Если в поле "Размещение" выбрать не каталог, а сервер, добавить ее тоже не получается 

Share this post


Link to post
2 часа назад, maximn сказал:

Такая же беда всплыла после установки на SP2 патча mr3, до этого такого не было:

Пример:

Тип события:     Операция с устройством запрещена

Устройство\Категория устройства:     Устройство

 

Устройство\Тип устройства/Тип шины:     Съемные диски

 

Устройство\Идентификатор устройства:     USBSTOR\DISK&VEN_ISTORAGE&PROD_DISKASHUR&REV_0120\54454A353134344648593158&0

 

Устройство\VIDPID устройства:     VEN_ISTORAGE&PROD_DISKASHUR

 

Пользователь:     NT AUTHORITY\СИСТЕМА (Не определено)

 

Результат\Решение:     Запрещать

 

Результат\Название файла:     E:\R

 

Результат\Операция:     Запись

 

Пришлось в политику KES10SP2 добавить пользователя NT AUTHORITY\СИСТЕМА
 

При переносе с сервера на сервер ничего не менялось и устанавливалось. Причем ПК был перенесен неделю или две назад, а проблема появилась только вчера. 

Share this post


Link to post

Здравствуйте,

Пожалуйста, приложите к своему ответу скриншот сообщения о блокировке и экспорт активной политики.

Спасибо!

Share this post


Link to post
48 минут назад, Anna.Zelenova сказал:

Подскажите, пожалуйста, как мне добавить учетку NT Authority\System, если все УЗ проверяются в AD, а такой учетки в AD нет?

System (Система) - это локальная учетка, имеется на любом компе/сервере.
При добавлении нужно смотреть локальные учетки того компа, на котором запускается консоль KSC

Share this post


Link to post

Спасибо за информацию!

Для дальнейшего исследования нам потребуются трассировки KES, собранные в момент появления сообщения о заблокированном устройстве.

Уточните, пожалуйста, есть ли какая-либо закономерность в появлении этого сообщения?

Спасибо!

Share this post


Link to post
17 минут назад, Nikolay Arinchev сказал:

Спасибо за информацию!

Для дальнейшего исследования нам потребуются трассировки KES, собранные в момент появления сообщения о заблокированном устройстве.

Уточните, пожалуйста, есть ли какая-либо закономерность в появлении этого сообщения?

Спасибо!

Трассировки отправила пользователю KLCentralSupport 

Нет, закономерности пока не увидела. На моем ПК сообщение появляется в момент подключения флешки. На ПК юзера, которому запрещены USB, сообщения появляются через разные промежутки времени (там постоянно подключены USB-клавиатура и мышка)

Share this post


Link to post

Уточните, пожалуйста, трассировки собраны на вашем ПК в момент подключения флешки или на ПК пользователя, который флешек не подключал?

Спасибо!

Share this post


Link to post
Только что, Nikolay Arinchev сказал:

Уточните, пожалуйста, трассировки собраны на вашем ПК в момент подключения флешки или на ПК пользователя, который флешек не подключал?

Спасибо!

На моем, в момент подключения флешки

Share this post


Link to post

Завели ISSUE 3083059.

Мы сообщим, как только получим ответ от разработчиков.

Спасибо!

 

Share this post


Link to post
On 11/8/2018 at 10:03 AM, Anna.Zelenova said:

Нет, такой учетной записи нет. В настройках правила добавлены группы AD, для которых настроено расписание доступа. Подскажите, пожалуйста, как мне добавить учетку NT Authority\System, если все УЗ проверяются в AD, а такой учетки в AD нет? Если в поле "Размещение" выбрать не каталог, а сервер, добавить ее тоже не получается 

Добрый день.

Учетная запись должна находиться в AD, если ввести в поле имени "System" и директорию AD в качестве размещения (см. скриншот). В списке она отображается просто как SYSTEM.

Спасибо.

d9cd1d39-762b-4e77-a7d1-bab4ec463f01.png

c470c4e2-0d2f-423d-8aed-d0bc043a7647.png

Share this post


Link to post
56 минут назад, Kirill Tsapovsky сказал:

Добрый день.

Учетная запись должна находиться в AD, если ввести в поле имени "System" и директорию AD в качестве размещения (см. скриншот). В списке она отображается просто как SYSTEM.

Спасибо.

d9cd1d39-762b-4e77-a7d1-bab4ec463f01.png

c470c4e2-0d2f-423d-8aed-d0bc043a7647.png

Добрый день!

 

Нет такой учетки в АД

image.png.70b4033b51a6417fe709b24fe9fa5df9.png

Share this post


Link to post

System - это локальная учетка, в AD ее нет.
Выберите в Размещении ваш компьютер, на котором стоит консоль KSC, нажмите Поиск и выберите из списка Система или System

Share this post


Link to post
1 час назад, aigir сказал:

System - это локальная учетка, в AD ее нет.
Выберите в Размещении ваш компьютер, на котором стоит консоль KSC, нажмите Поиск и выберите из списка Система или System

Нигде нет ни Системы, ни System.

Share this post


Link to post

Добрый день.

 

Поиск чувствителен к заглавным буквам попробуйте использовать:

 

Цитата

система

system.PNG

Share this post


Link to post

Здравствуйте!

Проблема решилась? Есть ли у Вас еще какие-либо вопросы? 

Спасибо!

Share this post


Link to post
Только что, Ivan.Ponomarev сказал:

Здравствуйте!

Проблема решилась? Есть ли у Вас еще какие-либо вопросы? 

Спасибо!

Да, проблема решилась. Вопросов больше нет

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.