Jump to content
Bigtower

Идентификация подключаемых флешек

Recommended Posts

Добрый день!

Есть необходимость фиксировать vid/pid флешек, подключаемых к компьютеру. Может ли контроль устройств Kaspersky Endpoint Security 11 фиксировать в логе эти сведения? При включении информационных событий "Подключение устройств", "Отключение устройств" в логе появляются сообщения о подключении/отключении, но без vid/pid, что не позволяет идентифицировать устройства. Есть ли какие-то дополнительные настройки, возможно ли это в принципе?

Share this post


Link to post

Здравствуйте,

Уточните, пожалуйста, речь идет о локальном логе KES?

Пожалуйста, приложите к своему ответу скриншот лога, где не отображается эта информация.

Спасибо!

Share this post


Link to post

Добрый день!

Попробовал на другом компьютере - все, что нужно отображается:

Тип события:     Устройство подключено
Устройство\Категория устройства:     Устройство
Устройство\Тип устройства/Тип шины:     Съемные диски
Устройство\Идентификатор устройства:     USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_FIT&REV_1.26\4C532000060517108374&0
Устройство\VIDPID устройства:     VEN_SANDISK&PROD_CRUZER_FIT
Пользователь:     BG202\Admin (Не определено)
Результат\Решение:     Разрешать
Результат\Операция:     Подключение.

В настройках включил события "Операция с устройством разрешена",  "Устройство подключено", "Устройство отключено". События фиксируются и в логе ОС компьютера и в журнале событий KSC (как и настроено в событиях). Но есть странности:

- В журнале на клиенте никаких событий нет, но, правда, нам это и не нужно, не актуально.

- При вставке флешки практически одновременно фиксируются события "Устройство подключено" и следом "Устройство отключено", хотя флешка остается вставленной и с ней идет работа. При реальном удалении флешки никакие события не фиксируются. Странно, но не очень актуально;

KES11_1.thumb.jpg.c33ce13708ac20d4ab66d8d5cc7d1fa6.jpg

- События фиксируются для каждой флешки только один раз. При повторном подключении флешки никакие события в логе не появляются. Вот это все портит. Фактически, повторные использования тех же флешек в журнале не фиксируются. Возможно, до перезагрузки - не пробовал.

Спасибо!

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, данное поведение проявляется только на одной машине или на всех? 

Спасибо!

Share this post


Link to post

Добрый день!

Проверка на других машинах займет некоторое время, там сейчас стоит версия 10.3, будем обновлять до 11 для чистоты эксперимента.

Заметил, что повторно вставляемые флешки не регистрируются до перезапуска клиента Касперского (без перезагрузки системы). После перезапуска первое включение снова регистрируется. Заодно проверим зависит ли поведение от операционной системы.

Share this post


Link to post
56 минут назад, Bigtower сказал:

Добрый день!

Проверка на других машинах займет некоторое время, там сейчас стоит версия 10.3, будем обновлять до 11 для чистоты эксперимента.

Заметил, что повторно вставляемые флешки не регистрируются до перезапуска клиента Касперского (без перезагрузки системы). После перезапуска первое включение снова регистрируется. Заодно проверим зависит ли поведение от операционной системы.

Добрый день!

Спасибо за информацию.

Держите нас в курсе.

 

Share this post


Link to post

Добрый день!

По результатам экспериментов:

KES 10.3 на Windows 7 - работает как и задумано, регистрирует идентификаторы флешек, записывает сообщения в журнал при каждом подключении и отключении (в момент подключения или отключения).

KES 11.0 на Windows 7 - регистрирует идентификаторы флешек, записывает сообщения в журнал только при первом подключении и отключении (в момент подключения или отключения). Последующие подключения не регистрирует до перезапуска KES.

KES 11.0 на Windows 10 - регистрирует идентификаторы флешек, записывает сообщения в журнал только при первом подключении. Причем при подключении в журнале одновременно появляются два события - "Устройство подключено" и "Устройство отключено". При реальном отключении никакие события в журнал не пишутся. Как и при последующих подключениях/отключениях до перезапуска KES.

Если есть возможность, проверьте, пожалуйста, у вас 11-я версия работает как и должна? Это только у меня такие глюки?

Владислав 

Share this post


Link to post

Спасибо за информацию!

Пожалуйста, соберите трассировки KES в момент подключения флешки и регистрации 2х указанных событий.

Спасибо!

Share this post


Link to post

Добрый день!

Прилагаю файлы трассировок. В архиве 2 папки - первое после перезапуска клиента KES подключение флешки, когда события регистрируются (10:47 физическое подключение, 10:48 физическое отключение) и второе подключение без перезапуска KES, когда события вообще не регистрируются (в 10:50 подключение, в 10:51 отключение).

Спасибо!

Владислав

KES_Trace.rar

Share this post


Link to post

Добрый день!

Удалось ли найти причину по которой события не регистрируются? Может быть нужно открыть официальный запрос в службу поддержки?

С уважением,

Владислав

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.