Jump to content
rpr

KES10 под политикой: контроль активности не понимает внутренности cmd-файла.

Recommended Posts

На Windows 7 SP1 установлен
Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для windows (10.2.6.3733(mr3,mr4)).
Включен контроль активности программ.
Находится под управлением Kaspersky Security Center (10.2.2019).
Создана политика для программы Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows. Политика только одна.
В политике в "настройках правил контроля активности программ для политики" в групу доверенных программ добавлены все имеющиеся версии программы robocopy.exe.

При запуске "robocopy dir1 dir2 *.* /z /e /mir" из aaa.cmd файла (cmd /k aaa.cmd)  не выполняется копирование ни одного файла из тех, что помещены в перечень "Защищаемые ресурсы".

В Kaspersky EventLog для каждого не копируемого файла регистрируется:
Kaspersky Endpoint Security 10 для Windows (10.2.6.3733) (Контроль активности программ): Тип события:     Сработало правило Контроля активности программ
Программа\Название:     robocopy
Программа\Путь:     c:\windows\system32\
Программа\ID процесса:     3552
Пользователь:     DOMAIN\username (Активный пользователь)
Компонент:     Контроль активности программ
Результат\Описание:     Запрещено
Результат\Тип:     Доступ к файлам
Результат\Название:     *.txt
Результат\Степень угрозы:     Высокая
Результат\Точность:     Точно
Действие:     Создание
Объект:     dir2\filename.TXT
Объект\Тип:     Файл
Объект\Путь:     dir2
Объект\Название:     filename.TXT
Причина:     *.txt

!!! Название программы без расширения exe.

При запуске "robocopy dir1 dir2 *.* /z /e /mir" непосредственно в командной строке все работет без ошибок.

Подскажите, пожалуйста, как исправить.

Share this post


Link to post

Здравствуйте,

Пожалуйста, приложите к своему ответу экспорт активной политики.

Спасибо!

Share this post


Link to post

В личку отправил политику экспортированную из сервера администрирования.

Share this post


Link to post

Здравствуйте!

Перешлите политику пользователю KLCentralSupport

Спасибо!

Share this post


Link to post

Спасибо, переслал политику пользователю KLCentralSupport.

Share this post


Link to post

Добрый день.

Для диагностики проблемы выполните, пожалуйста, следующее:

1. Проблемную машину (или одну из них) переместите под действие временной политики, в которой отключены компоненты KES, кроме "Контроля активности программ".
2. Включите трассировку KES
3. Перезагрузите машину
4. Выполните интерактивный запуск упомянутой команды robocopy из командной строки, зафиксировав приблизительное время запуска
5. Выполните запуск robocopy с помощью батч-файла, зафиксировав время запуска. В результате должно произойти срабатывание KES
6. Остановите трейсы
7. Приложите полученные файлы, а также отчет GSI с хоста

Спасибо.

Share this post


Link to post

Здравствуйте.

Выполнил, результаты отправил в личку.

Спасибо.

Share this post


Link to post

Здравствуйте,

Пожалуйста, продублируйте ответ аличным сообщением пользователю KLCentralSupport

Спасибо!

Share this post


Link to post

Продублировал ответ личным сообщением пользователю KLCentralSupport.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.