Jump to content

Recommended Posts

Сергей Изместьев
Posted

Здравствуйте. Подскажите, пожалуйста, как активировать добавление доверенных адресов непосредственно в свойствах машины в KSC 13.2. Сейчас ни на одной машине предприятия эти свойства неактивны, добавляется только через групповую политику. Спасибо.

image.thumb.png.b35482616e51d9015acbfbfbb35fd6a8.png

Goddeimos13
Posted

Приветствую!
А других вариантов нет. Либо через политику либо вручную на машине.

Отключите применение политики и сможете вносить изменения на машине.

Сергей Изместьев
Posted
5 минут назад, Goddeimos13 сказал:

Приветствую!
А других вариантов нет. Либо через политику либо вручную на машине.

Отключите применение политики и сможете вносить изменения на машине.

А как сделать политику на одно устройства без выбора группы?

То есть, чтобы вносить изменения на машине надо отключать все общие политики?

Goddeimos13
Posted

Такое лучше разруливать профилями политик.

Создаёте профиль для конкретной машины и в ней отключаете применение (замочек) для этих исключений.

Сергей Изместьев
Posted
20 минут назад, Goddeimos13 сказал:

Такое лучше разруливать профилями политик.

Создаёте профиль для конкретной машины и в ней отключаете применение (замочек) для этих исключений.

Прошу извинить, можно ссылку на инструкцию?

И правильно ли мы друг друга поняли, что через Security Center нельзя настроить исключения для отдельной машины при включенной политики через свойства отдельного компьютера (то, что на самом компьютере пункт доверенных ресурсов недоступен для изменения это понятно)

Posted
1 час назад, Сергей Изместьев сказал:

Прошу извинить, можно ссылку на инструкцию?

https://support.kaspersky.com/KSC/14.2/ru-RU/165778.htm

настроить  исключение для одной машины можно, но необходимо для этой машин создать свою политику, например поместив это устройство в группу и задав группе свою отдельную политику НЕ наследуемую от родительской группы, либо как предлагает @Goddeimos13 использовать профили политик, который будет применяться только к этому устройству или группе устройств, если свойства этой группы устройств будут удовлетворять правилу активации профиля.

 

Сергей Изместьев
Posted
25 минут назад, ElvinE5 сказал:

https://support.kaspersky.com/KSC/14.2/ru-RU/165778.htm

настроить  исключение для одной машины можно, но необходимо для этой машин создать свою политику, например поместив это устройство в группу и задав группе свою отдельную политику НЕ наследуемую от родительской группы, либо как предлагает @Goddeimos13 использовать профили политик, который будет применяться только к этому устройству или группе устройств, если свойства этой группы устройств будут удовлетворять правилу активации профиля.

 

Спасибо за ответ. Получается, что гипотетически, если на каждой машине из 1500 нужен свой разрешенный сайт, Касперский предлагает создать 1500 подгрупп, в каждой по одному устройству, и для каждого этого устройства сделать свой профиль политики. При этом, не наследуя политику от родительской группы, в которой могут быть запрещенные сайты. Соответственно, в каждом из 1500 профилей надо указывать свой разрешенный сайт и заново общие запрещенные?) 

  • Solution
Posted
14 часов назад, Сергей Изместьев сказал:

Получается, что гипотетически, если на каждой машине из 1500 нужен свой разрешенный сайт, Касперский предлагает создать 1500 подгрупп, в каждой по одному устройству, и для каждого этого устройства сделать свой профиль политики.

Нет ? ... не обязательно ? ... давайте попробую объяснить ...

 

1. На вашем скрине, раздел с исключениями для проверки зашифрованного трафика, именно сюда вносятся сайты которые НЕ поддерживают подмену сертификата ... например Гос.органы, банки, некоторые внутренние ресурсы (само подписанные) итд- персонализация именно этого списка не совсем уместна, предполагается что ресурс доступен для пользователей, просто ресурс отвергает подключение из за работы механизма подмены необходимой KES для расшифровки трафика - используется такими компонентами как Веб-контроль, Защит от веб-угроз, Защита от почтовых угроз итд, всех кому нужно заглядывать во внутрь и проверять - а что же это у нас там делается ...

 

2. Веб-контроль

14 часов назад, Сергей Изместьев сказал:

если на каждой машине из 1500 нужен свой разрешенный сайт

больше похоже именно на веб контроль - когда администратор решает - куда пользователи в интернете могут ходить а куда нет. Тут администратор может персонализировать все что ему хочется НЕ создавая отдельных политик и профилей. По пользователям, Группам, времени (например соц сети только в обед с 14 до 15)... и все это из одного раздела в одной общей политике ...

Спойлер

image.thumb.png.b5839be4ca96c0bf3b0f49b2b4e3eb66.pngimage.thumb.png.68e61bb794dbca71be985182f8dc02e4.png

 

3. Профили политик - https://support.kaspersky.com/KSC/14.2/ru-RU/165778.htm

тема интересная и не заслужена игнорируемая :) некоторыми администраторами.

Рассмотрим некую компанию на 1500 устройств, ОС 7-8-10, железо разное ... все работают под одной утвержденной политикой. Администратор заметил что на некоторых устройствах после установки KES система начала "тормозить" и пользователи постоянно жалуются. Изучив проблему администратор понял что она присутствует только на тех устройствах где размер память 2 гб и менее, увеличить объем не представляется возможным ... в тех поддержке администратору посоветовали на данных устройствах изменить уровень безопасности защиты от файловых угроз.

Спойлер

image.thumb.png.73518e3be101812aaa69cf90f4660f4c.png

Протестировав решение, администратор убедился что это снимает проблему, теперь ему нужно решить несколько вопросов, как применить настройку только для этих устройств, не изменяя ее на остальном парке.

классический вариант

1. Создать отдельную группу и поместит в нее необходимые устройства

2. Создать и настроить политику изменить только эту настройку (предположим что механизмы наследования не используются)

с какими проблемами столкнется администратор.

1. Найти все подобные устройства и переместить в группу

2. постоянно следить за появлением новых подобных устройств

3. контролировать что ни кто из админов не "вытащит" устройства из этой группы и не перемести под другую политику

это можно сделать правилами перемещения однако ...

4. необходимо контролировать две политики - при внесении глобальных изменений их нужно вносить в две политики.

5. При добавлении памяти на устройства (тех отдел проводит обновление), настройку для этого устройства нужно вернуть в прежнее положение.

 

в принципе все решаемо но потребует постоянного контроля, автоматизировать этот процесс можно при помощи профилей политики.

1. Профиль - это политика в политике,  вам нужна только одна политика. В одной политике может быть несколько профилей.

Спойлер

image.thumb.png.363253af7972bfd0da48a19b934ef3ef.png

 

2. Профиль будет примерятся только к тем устройствам которые удовлетворяют правилу активации (памяти меньше чем 3 гб)... нет необходимости искать устройства вручную и куда-то их перемещать.

Спойлер

image.thumb.png.16879f39132ec9161ba03ede87adf6c8.png

при этом когда тех отдел добавит памяти на устройство, профиль на него уже не будет действовать и настройка вернется в состояние родительской политики.

 

3. профили содержат все те же настройки что и базовая политика, но будет применять только то что вы отметите закрытым "замком"

Спойлер

image.thumb.png.431149f27a72a5ef2f7889a270c87ec5.png

все остальные настройки ...берутся из родительской политике, если вы захотите для всех устройств изменить например реагирования на угрозу изменив с "Лечит" на "Блокировать" ... он измениться на всех устройствах.

 

это все ... ни каких новых групп и дублирования политик, ни какого поиска и перемещения устройств в группу ?

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...