Jump to content
Kaspersky Support Forum

Как правильно запретить USB устройства хранения информации?

Rasim Valiev
 Share
Go to solution Solved by Alexey,

Recommended Posts

Rasim Valiev

Rasim Valiev

Posted
  • Author
Posted

Как правильно запретить USB устройства хранения информации? 

 

Задача: не позволить пользователю подключить Flash USB устройства к компьютеру.

Link to comment
Share on other sites
  • Solution
Alexey

Alexey

Posted
  • Solution
Posted

Привет.

 

В KSC в политике для KES через правую кнопку мыши заходишь в свойства\контроль безопасности\контроль устройств и среди списка устройств выбираешь то что необходимо заблокировать, в частности “Съемные диски”

Скрин взят из темы 

https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/blokirovka-portov-usb-6245

Обрати внимание что политика должна распространяться на необходимые группы управлеия и замок должен быть закрыт.

 

Link to comment
Share on other sites
Demiad

Demiad

Posted
Posted

Главное не включайте в соседней вкладке запрет Шины USB,  так заблокируете множество различных устройств, использующих эту шину.

Ещё данный функционал стоит внедрять на актуальных версиях KES (сейчас KES 11.2.0.2254 патч Critical Fix 1), его значительно доработали после KES10 (долгожданный импорт/экспорт доверенных устройств!, изменены возможности ограничений для MTP-устройств).


Если правила для всех хостов не едины, то сразу делайте исключения параметров через Профили политик, намного удобнее чем отдельные группы с политиками:https://help.kaspersky.com/KSC/11/ru-RU/165778.htm

Link to comment
Share on other sites
Rasim Valiev

Rasim Valiev

Posted
  • Author
Posted

Главное не включайте в соседней вкладке запрет Шины USB,  так заблокируете множество различных устройств, использующих эту шину.

Ещё данный функционал стоит внедрять на актуальных версиях KES (сейчас KES 11.2.0.2254 патч Critical Fix 1), его значительно доработали после KES10 (долгожданный импорт/экспорт доверенных устройств!, изменены возможности ограничений для MTP-устройств).


Если правила для всех хостов не едины, то сразу делайте исключения параметров через Профили политик, намного удобнее чем отдельные группы с политиками:https://help.kaspersky.com/KSC/11/ru-RU/165778.htm

Сейчас Политики настроены через Группы Администрирования.

Как создать Профиль Политики?

Link to comment
Share on other sites
Alexey

Alexey

Posted
Posted

Rasim Valiev

Напишу чуть глубже. Через правую кнопку политики главной для KES жмешь свойства, далее профили политик.

Так же рекомендую прочитать это

https://help.kaspersky.com/ksc/11/ru-ru/177128.htm

Прекрасно дано пояснение на ютубе от Антона, сертифицированного специалиста касперского, если такие ссылки не запрещены - посмотри, 10 минут и все будет понятно…

Link

 

А так же смотри скрин ниже из моей же темы.

Главное - это опции будущей политики и правила активации - тоесть триггер по которому политика будет вступать в силу.

 

 

 

 

 

 

Link to comment
Share on other sites
Aigir

Aigir

Posted
Posted

А зачем учетную запись компьютера? На компьютере же пользователь работает, вот его и добавить.
Например у нас сделано так:
в настройках доступа удалили группу Все, и добавили только тех доменных пользователей, которым разрешено.

Link to comment
Share on other sites
Rasim Valiev

Rasim Valiev

Posted
  • Author
Posted

А зачем учетную запись компьютера? На компьютере же пользователь работает, вот его и добавить.
Например у нас сделано так:
в настройках доступа удалили группу Все, и добавили только тех доменных пользователей, которым разрешено.

 

Мы ориентируемся на компьютер. Посмотрел способы активация, не обнаружил где можно выбрать доменную учетную запись.

По тегам:

Если тегов два, Профиль политики сработает при обязательном наличии этих двух тегов у компьютера? Если у компьютера три тега установлено, сработает ли Профиль политики с установленными двумя тегами?

Link to comment
Share on other sites
Alexey

Alexey

Posted
Posted

Rasim Valiev

Если позволяет ситуация - можешь учетки ПК добавить в отдельную OU и ее добавить как триггер политики. Но делай как удобно и как требуется по задаче. По комп. учетке с ходу не скажу.. не помню.

По тегам - если не ошибаюсь политика срабатывает по первому условию (тегу). Тоесть если у тебя 3  или n-тегов то политика применится как только будет положительный первый из тегов по списку…. Первый - значит применится сразу на остальные пофиг, последний из трех - значит сработает по нему. Все три не подходят - не сработает. Тоесть логическое ИЛИ на срабатывание.

Посмотрел - да , учетки AD компьтера нельзя явно указать… но есть Членство в группе безопасности либо размещение в подорезделении AD, воспользуйся чем то из этого.

Опять таки - либо создаешь в KSC отдельную группу управления и в нее кидаешь измененную политику KES без наследования. Не лучший вариант, но он тоже имеет право на жизнь.

Link to comment
Share on other sites
  • 4 years later...
Demong

Demong

Posted
Posted

День добрый, коллеги! Развернул у себя KSC 15 на Linux. Не получается красиво блокировать usb-съёмные устройства. Т.е. полность заблокировать получается, а вот делать доверенные нет.
Первый непонятный момент если пользователь из окна блокировки делает запрос о добавлении и нажимает отправить, то это сообщение не видно в самом KSC, вообще нигде его нет. 
Второе, если я копирую ИД устройства из этого сообщения и добавляю в доверенные хоть по доменной записи, хоть по имени ПК - доступа нет.
Это если у меня стоит режим Запрещать съёмные диски. Если ставлю по правилам - то доступ есть также без какого-либо управления(
Как же сделать разрешение под конкретного доменного пользователя и конкретного устройства? Помогите пожалуйста!
image.thumb.png.eca2dc72805e2acba4f5f625d59fa852.png

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...