Jump to content

Recommended Posts

Добрый день!

Подскажите, есть ли возможность в KSC 10.5.1781 настроить правило или политику на запрет запуска файла по хэш сумме?

Можно ли создать задачу на поиск определенных файлов по хэш?

В наличии: KSC 10.5.1781 на серверах: KSWS 10.1

Share this post


Link to post

Добрый день.

Вы можете управлять запуском программ из на защищаемых KSWS 10.1 серверах. 

Информацию о настройке вы можете получить из руководства администратора https://products.s.kaspersky-labs.com/file_servers/kswinserver10/10.1.1.746/russian-20181102_181007/4a7dc6c6/ks4ws_admin_guide_ru.pdf . Описание настройки работы компонента начинается со страницы 225 

Share this post


Link to post

Данную инструкцию изучал, там нет настройки которая запрещает запуск по хэш новых файлов. 

Там есть вариант указать конкретный файл и он с него берет и сумму и путь, но это не то...

Задача заключается в том, что есть список файлов вредоносного ПО, которое в случае обнаружения должно блокироваться, для этого есть предоставили хэш, md5 и названия файлов. Как это прописать в политике или правиле? 

Share this post


Link to post

Укажите пожалуйста, что за вредоносное ПО, наши стандартные компоненты защиты не подходят для его обнаружения?

Спасибо!

Share this post


Link to post

тут дело не в вас, дело в том что с вышестоящей организации прилетело указание, в котором говорится:

- Добавить указанный в письме список контрольных сумм файлов ВПО в запрещающую запуск категорию

И приложен файл с наименованием самого файла + хэш сумма.

Требуется в политике указать эту хэш сумму, чтобы касперский при обнаружении блокировал.

Связанно с вирусом "LoJax". 

Может вы что то иное подскажите как ответить или что можно сделать....можно ли такое в принципе сделать через политику в KSC?

Edited by DmitriyProk

Share this post


Link to post
56 минут назад, DmitriyProk сказал:

... Требуется в политике указать эту хэш сумму, чтобы касперский при обнаружении блокировал....

Создаете новую пользовательскую категорию программ с вашими индикаторами IOC https://support.kaspersky.ru/12769 , его заполняете хеш-суммами, именами и т.п. Категорию указываете в блокировках в компоненте "Контроль запуска программ" в политике.

upd: вам на серверах только блокировка нужна ? В KSWS 10.1 хеш действительно указать нельзя....

Edited by dvz

Share this post


Link to post
7 минут назад, dvz сказал:

Создаете новую пользовательскую категорию программ с вашими индикаторами IOC https://support.kaspersky.ru/12769 , его заполняете хеш-суммами, именами и т.п. Категорию указываете в блокировках в компоненте "Контроль запуска программ" в политике.

отлично, попробую, спасибо!!

Если есть еще какие нить варианты, буду благодарен за помощь!

Share this post


Link to post
Только что, DmitriyProk сказал:

отлично, попробую, спасибо!!

Если есть еще какие нить варианты, буду благодарен за помощь!

это для рабочих станций с KES. Для серверов с KSWS10.1 тоже не нашел как хеш самому указать.

Share this post


Link to post
8 минут назад, dvz сказал:

это для рабочих станций с KES. Для серверов с KSWS10.1 тоже не нашел как хеш самому указать.

сейчас попробую этот вариант для серверов, может тоже съест такие настройки...

Share this post


Link to post

он не умеет с категориями работать. Надо Oleg Bykov спросить, когда он на форуме появится.

Share this post


Link to post
1 минуту назад, dvz сказал:

он не умеет с категориями работать. Надо Oleg Bykov спросить, когда он на форуме появится.

я ему в лс постучусь, скину ссылку на ветку... спасибо за наводку :)

Share this post


Link to post

Здравствуйте,

Если у Вас в распоряжении только хеши MD5 для этих файлов, то через KSWS сейчас это не реализовать. Если есть ещё и хеши SHA256 или полный путь/имя запрещаемого файла, то реализовать можно. 

Ниже опишу, как это сделать на примере хешей SHA256. Если нужно именно MD5, то заведите инцидент на это через Company Account - может, патчем добавим такую возможность. Итак, описание.

Если Вы уже используете его компонент Application Control в режиме Default Deny, то специально настраивать ничего и не надо - всё неразрешённое отдельными правилами уже будет запрещено. Можно для выполнения задания и запрещающие правила позадавать, если требуют - хуже не будет.

Если же компонент AppControl сейчас в KSWS никак не используется, то самое простое, что можно сделать - перевести его в режим Default Allow (вот так: https://support.kaspersky.ru/13981 ), после чего добавить запрещающих правил на хеши, которые Вам прислали. Добавлять хеши через наш UI не получится напрямую - это поле сделано нередактируемым, но можно добавить одно какое-нибудь правило, после чего экспортировать список правил на диск в виде файла XML и руками поправить этот XML.

Правила там будут видны в таком виде:

    <HashRule Name="D:\5\POLICY_KSWS10.1.0.656_CORE13.KLP" Description="" Origin="User" Target="Binary" UserOrGroupSid="S-1-1-0" Action="Deny">
      <HashRuleCondition Type="SHA256" Hash="0xCB1CE58C4A35168C876FD26CADA31F8DCA04BC874570CD7B90C15922739DAC04" />
    </HashRule>

Вот таких блоков наделайте руками, заполняя поле Name именем файла (просто чтобы самому ориентироваться, для чего какое правило), и заполняя Hash собственно хешем SHA256. Следите за тем, чтобы Action было равно "Deny".

Share this post


Link to post
8 минут назад, Oleg Bykov сказал:

Если есть ещё и хеши SHA256 или полный путь/имя запрещаемого файла, то реализовать можно. 

Олег, не до конца понимаю, тут путь имеется ввиду название файла или путь - это место где лежит файл?

Если место где находится, то вопрос, это делается привинтивное правило, т.е. при нахождении такого файла, делать такие то действия... или нет?

 

Edited by DmitriyProk

Share this post


Link to post
21 минуту назад, DmitriyProk сказал:

Олег, не до конца понимаю, тут путь имеется ввиду название файла или путь - это место где лежит файл?

Можно название файла - тогда будет блокироваться файл с таким названием, где бы он ни находился. Можно имя файла с путём - это зависит от Ваших требований.

23 минуты назад, DmitriyProk сказал:

Если место где находится, то вопрос, это делается привинтивное правило, т.е. при нахождении такого файла, делать такие то действия... или нет?

Правило AppControl запретит запуск файла из заданного пути (или с заданным именем) или загрузку модуля на исполнение из заданного пути - если это DLL.

 

Share this post


Link to post
5 часов назад, DmitriyProk сказал:

буду пробовать, спасибо!!

Будут вопросы - пишите в этой теме, обязательно решим.

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.