С целью повышения безопасности решил настроить сетевой экран Kaspersky Endpoint Security по принципу белого списка, открыть только используемые порты, а остальные закрыть.
После создания и распространения политики я столкнулся с тем, что пропала возможность печатать на принтеры с общим доступом, хотя порт 445 (SMB) был открыт. Используя wireshark и netstat я выяснил, что помимо 445 порта при печати используются различные порты из динамического диапазона, открывает эти порты %SystemRoot%\system32\spoolsv.exe, причем эти порты периодически меняются.
Я предполагаю, что если разрешить %SystemRoot%\system32\spoolsv.exe открывать нужные ему порты, то проблема с печатью будет решена, но я не нашел возможности настроить это через политики.
Прикладываю файл политики.
Версия Kaspersky Security Center 11.0.0.1131
Версия Kaspersky Endpoint Security 11.1.0.15919
Версия агента 11.0.0.1131
