Jump to content

rpr

Members
  • Content Count

    17
  • Joined

  • Last visited

About rpr

  • Rank
    Candidate
  1. KES10 под политикой: контроль активности не понимает внутренности cmd-файла. от 4 марта 2019 года.

    Проблема не решена, ответа нет.

    Будет ли решена проблема?

    Будет ответ по проблеме?

     

  2. На Windows 7 SP1 установлен Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для windows (10.2.6.3733(mr3,mr4)). Включен контроль активности программ. Находится под управлением Kaspersky Security Center (10.2.2019). Создана политика для программы Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows. Политика только одна. В политике в "настройках правил контроля активности программ для политики" в групу доверенных программ добавлены все имеющиеся версии программы robocopy.exe. При запуске "robocopy dir1 dir2 *.* /z /e /mir" из aaa.cmd файла (cmd /k aaa.cmd) не выполняется копирование ни одного файла из тех, что помещены в перечень "Защищаемые ресурсы". В Kaspersky EventLog для каждого не копируемого файла регистрируется: Kaspersky Endpoint Security 10 для Windows (10.2.6.3733) (Контроль активности программ): Тип события: Сработало правило Контроля активности программ Программа\Название: robocopy Программа\Путь: c:\windows\system32\ Программа\ID процесса: 3552 Пользователь: DOMAIN\username (Активный пользователь) Компонент: Контроль активности программ Результат\Описание: Запрещено Результат\Тип: Доступ к файлам Результат\Название: *.txt Результат\Степень угрозы: Высокая Результат\Точность: Точно Действие: Создание Объект: dir2\filename.TXT Объект\Тип: Файл Объект\Путь: dir2 Объект\Название: filename.TXT Причина: *.txt !!! Название программы без расширения exe. При запуске "robocopy dir1 dir2 *.* /z /e /mir" непосредственно в командной строке все работет без ошибок. Подскажите, пожалуйста, как исправить.
  3. Нет, не удалял. У меня была проблема с производительностью базы KAV.dbf (до настоящено времени был установлен Kaspersky Administration Kit 8.0.2048 ). Я обращался в форум. Помог мне Lashchenkov. По согласованию с ним и используя присланный мне скрипт я очистил события в таблице ev_event. После решения своей проблемы с производительностью обновил версию до Kaspersky Administration Kit версии 8.0.2090. Наличие какой таблицы мне необходимо проверить?
  4. http://83.229.252.227:8080/0002-$klserver-1093.zip - приблизительно 2Мбайта. Прикрепил к письму result2.zip. RESULT2.ZIP
  5. Простите, я не понял этой фразы. У меня всего один сервер администрирования на всю сеть. Я на нем (единственном) и должен запустить трассировку?
  6. ZIP-архив около 12Мбайт http://83.229.252.227:8080/KasperskyEventLog.20100409.zip result.xml и result.txt вложены в архив result.zip прикрепленный к этому сообщению. Спасибо! RESULT.ZIP
  7. Установлено: - Kaspersky Administration Kit версии 8.0.2090; - агенты администрирования на серверах и рабочих станциях версии 8.0.2090; - Антивирус Касперского 6.0 для Windows Servers MP4 версии 6.0.4.1424; - Антивирус Касперского 6.0 для Windows Workstations MP4 версии 6.0.4.1424. Проявление такое: - выборка компьютеров по критерию "Количество найденных вирусов=1-1000000" осуществляется успешно (отбираются компютеры на которых обнаружены вирусы); - выборка событий по критерию "За последние дни=30 и (События=Вирусная атака или События=Зараженный объект удален или События=Найден вирус или События=Объект не вылечен или События=Обнаружение вирусов, червей, троянских и хакерских программ или События=Лечение невозможно или События=Обнаружение программ-шпионов, программ-реклам и проч. или События=Удаление зараженных объектов или События=Объект помещен на карантин или События=Обнаружен зараженный объект или События=Лечение невозможно или События=Обнаружен потенциально нежелательный объект или События=Зараженный объект удален или События=Объект помещен на карантин или События=Обнаружение вирусов, червей, троянских и хакерских программ или События=Лечение невозможно или События=Обнаружение программ-шпионов, программ-реклам и проч. или События=Удаление зараженных объектов или События=Объект помещен на карантин или События=Обнаружен зараженный объект или События=Лечение невозможно или События=Обнаружен потенциально нежелательный объект или События=Зараженный объект удален или События=Объект помещен на карантин или События=Зараженный объект удален или События=Найден вирус или События=Объект не вылечен или События=Зараженный объект заблокирован или События=Зараженный объект пропущен)" осуществляется успешно (отбираются события об обнаруженных вирусах); - отчеты созданные по шаблонам: "Отчет о пользователях зараженных компьютеров", "Отчет о вирусах", "Отчет о наиболее зараженных компьютерах" пустые (хотя события регистрируются и комьютеры в выборке присутствуют). Помогите, пожалуйста, найти и устранить причину по которой отчеты получаются пустые.
  8. Я действовал так: 1. Остановил службу Сервера администрирования 2. Запустил скрипт (выполнялся 20 мин) от имени локального администратора (он является членом серверной роли sysadmin). 3. В результате работы были созданы два файла (result.txt, result2.txt), файлы result*.xml созданы не были. 4. Запустил службу Сервера администрирования. 5. Установил время хранения для событий "Зараженный объект вылечен" и "Лечение зараженных объектов" равное 30 дням. 5. Отсутствие result*.xml мне было не понятно. Создал r.bat и req.r.sql. 6. Запустил r.bat, правда, приблизительно через 3 часа после запуска Службы администрирования. 7. Получил result.r.txt, result.r.xml, result.r-1.xml. Возможно, эти результаты нужны были именно на тот момент когда выполнялся run.bat, но я не решился запускать его повторно. Все результаты я отослал Вам персональным сообщением. Спустя 3 ч 40 мин с момента запуска Сервера администрирования: - нагрузка чтений-записей на диск уменьшилась приблизительно в два раза; - почти сразу после запуска Сервера администрирования большую часть обращений к диску занимали операции записи; - в настоящее время наоборот, больше операций чтения, но интенсивная запись на диск продолжается. Большое спасибо Вам за помощь и подробные объяснения. Очень признателен Вам за отзывчивость и терпимость.
  9. Сейчас для всех всех серверов и рабочих станций я изменил срок хранения событий на сервере Администрирования на 30 дней за исключением следующих событий: Обнаружен защищенный паролем архив - отменена регистрация событий на Сервере администрирования Обнаружение запароленного архива - отменена регистрация событий на Сервере администрирования Обнаружен подозрительный объект - отменена регистрация событий на Сервере администрирования Обнаружение возможно зараженного объекта - отменена регистрация событий на Сервере администрирования Зараженный объект вылечен - отменена регистрация событий на Сервере администрирования Лечение зараженных объектов - отменена регистрация событий на Сервере администрирования Преследую цель создать условия при которыых база очистится от большего числа событий. После очистки планирую выбрать какой-нибудь приемлемый срок хранения не увеличивающий базу на много. Максимальное число хранимых в БД событий было выставлено 4 миллиона. Сейчас изменил на 400 тыс. Спасибо.
  10. Простите, в исходном посте допустил неточность. Удалил, как обнаружил только сейчас, не все уведомления. Для шести компьютеров с установленным KAV уведомления не были убраны, но теперь я их уже не стал убирать. Спасибо. EvStatEx.result.zip
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.