Jump to content

Recommended Posts

Rasim Valiev
Posted

Как правильно запретить USB устройства хранения информации? 

 

Задача: не позволить пользователю подключить Flash USB устройства к компьютеру.

  • Solution
Posted

Привет.

 

В KSC в политике для KES через правую кнопку мыши заходишь в свойства\контроль безопасности\контроль устройств и среди списка устройств выбираешь то что необходимо заблокировать, в частности “Съемные диски”

Скрин взят из темы 

https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/blokirovka-portov-usb-6245

Обрати внимание что политика должна распространяться на необходимые группы управлеия и замок должен быть закрыт.

 

Posted

Главное не включайте в соседней вкладке запрет Шины USB,  так заблокируете множество различных устройств, использующих эту шину.

Ещё данный функционал стоит внедрять на актуальных версиях KES (сейчас KES 11.2.0.2254 патч Critical Fix 1), его значительно доработали после KES10 (долгожданный импорт/экспорт доверенных устройств!, изменены возможности ограничений для MTP-устройств).


Если правила для всех хостов не едины, то сразу делайте исключения параметров через Профили политик, намного удобнее чем отдельные группы с политиками:https://help.kaspersky.com/KSC/11/ru-RU/165778.htm

Rasim Valiev
Posted

Главное не включайте в соседней вкладке запрет Шины USB,  так заблокируете множество различных устройств, использующих эту шину.

Ещё данный функционал стоит внедрять на актуальных версиях KES (сейчас KES 11.2.0.2254 патч Critical Fix 1), его значительно доработали после KES10 (долгожданный импорт/экспорт доверенных устройств!, изменены возможности ограничений для MTP-устройств).


Если правила для всех хостов не едины, то сразу делайте исключения параметров через Профили политик, намного удобнее чем отдельные группы с политиками:https://help.kaspersky.com/KSC/11/ru-RU/165778.htm

Сейчас Политики настроены через Группы Администрирования.

Как создать Профиль Политики?

Posted

 

 

 

Как создать Профиль Политики?

Вот:

 

Posted

Rasim Valiev

Напишу чуть глубже. Через правую кнопку политики главной для KES жмешь свойства, далее профили политик.

Так же рекомендую прочитать это

https://help.kaspersky.com/ksc/11/ru-ru/177128.htm

Прекрасно дано пояснение на ютубе от Антона, сертифицированного специалиста касперского, если такие ссылки не запрещены - посмотри, 10 минут и все будет понятно…

Link

 

А так же смотри скрин ниже из моей же темы.

Главное - это опции будущей политики и правила активации - тоесть триггер по которому политика будет вступать в силу.

 

 

 

 

 

 

Rasim Valiev
Posted

По подразделениям из Active Directory добавить получилось, но не нашел как отдельную учетную запись компьютера выбрать

Posted

А зачем учетную запись компьютера? На компьютере же пользователь работает, вот его и добавить.
Например у нас сделано так:
в настройках доступа удалили группу Все, и добавили только тех доменных пользователей, которым разрешено.

Rasim Valiev
Posted

А зачем учетную запись компьютера? На компьютере же пользователь работает, вот его и добавить.
Например у нас сделано так:
в настройках доступа удалили группу Все, и добавили только тех доменных пользователей, которым разрешено.

 

Мы ориентируемся на компьютер. Посмотрел способы активация, не обнаружил где можно выбрать доменную учетную запись.

По тегам:

Если тегов два, Профиль политики сработает при обязательном наличии этих двух тегов у компьютера? Если у компьютера три тега установлено, сработает ли Профиль политики с установленными двумя тегами?

Posted

Rasim Valiev

Если позволяет ситуация - можешь учетки ПК добавить в отдельную OU и ее добавить как триггер политики. Но делай как удобно и как требуется по задаче. По комп. учетке с ходу не скажу.. не помню.

По тегам - если не ошибаюсь политика срабатывает по первому условию (тегу). Тоесть если у тебя 3  или n-тегов то политика применится как только будет положительный первый из тегов по списку…. Первый - значит применится сразу на остальные пофиг, последний из трех - значит сработает по нему. Все три не подходят - не сработает. Тоесть логическое ИЛИ на срабатывание.

Посмотрел - да , учетки AD компьтера нельзя явно указать… но есть Членство в группе безопасности либо размещение в подорезделении AD, воспользуйся чем то из этого.

Опять таки - либо создаешь в KSC отдельную группу управления и в нее кидаешь измененную политику KES без наследования. Не лучший вариант, но он тоже имеет право на жизнь.

  • 4 years later...
Posted

День добрый, коллеги! Развернул у себя KSC 15 на Linux. Не получается красиво блокировать usb-съёмные устройства. Т.е. полность заблокировать получается, а вот делать доверенные нет.
Первый непонятный момент если пользователь из окна блокировки делает запрос о добавлении и нажимает отправить, то это сообщение не видно в самом KSC, вообще нигде его нет. 
Второе, если я копирую ИД устройства из этого сообщения и добавляю в доверенные хоть по доменной записи, хоть по имени ПК - доступа нет.
Это если у меня стоит режим Запрещать съёмные диски. Если ставлю по правилам - то доступ есть также без какого-либо управления(
Как же сделать разрешение под конкретного доменного пользователя и конкретного устройства? Помогите пожалуйста!
image.thumb.png.eca2dc72805e2acba4f5f625d59fa852.png

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...