Jump to content
Kaspersky Support Forum

Некорректное определение типа устройства

Dema
 Share
Go to solution Solved by Demiad,

Recommended Posts

Dema

Dema

Posted
  • Author
Posted

Добрый день!

Столкнулся с проблемой при использования Контроля устройств KES 11.5. В организации используются принтеры HP со встроенным виртуальным CD с драйверами. С недавних пор при печати на них начали появляться сообщения антивируса о блокировке, прерывающие печать после первой страницы.

Ошибка:

Имя события  Операция с устройством запрещена
Важность:  Предельный
Программа:  Kaspersky Endpoint Security для Windows (11.5.0)
Номер версии:  11.5.0.590
Название задачи:  Контроль устройств
Устройство: ХХХ
Группа:  ХХХ
Время:  9 февраля 2021 г. 15:55:18
Имя виртуального Сервера администрирования:  
Описание:  Тип события: Операция с устройством запрещена
Категория устройства: Устройство
Тип устройства/Тип шины: Съемные диски
Идентификатор устройства: USBSTOR\CDROM&VEN_HP&PROD_SMART_INSTALL&REV_1.0\000000000QJ4DT6WSI1C&0
VID/PID устройства: VEN_HP&PROD_SMART_INSTALL
Пользователь: ХХХ (Активный пользователь)
Результат\Решение: Запрещать
Результат\Операция: Отключение
 

Как видно из текста Контроль устройств считает виртуальный CD-привод Съемным диском и блокирует его согласно правилу. Однако попытка добавить устройство в исключения наталкивается на проблему. Сервер KSC относит его к CD/DVD-устройствам, которые и так политикой разрешены (рис.1, 2). Соответственно, добавление устройства в исключения проблему не решает и KES продолжает его блокировать.

Была предпринята попытка обмануть KSC. В исключения CD/DVD-устройств по маске USBSTOR\CDROM&VEN_HP&PROD_SMART_INSTALL добавлены все подобные девайсы. Путем экспорта/импорта и ручного редактирования файла сменил тип устройства на Съемный диск (рис. 3) . Фокус не удался, KES продолжил блокировать принтер.

Добавление в политику разрешение использовать Съемные диски проблему с принтером решает, но разрешать флешки на данных компьютерах крайне не желательно.

Может быть кто-то уже сталкивался с похожей проблемой и смог ее решить?

Link to comment
Share on other sites
  • Solution
Demiad

Demiad

Posted
  • Solution
Posted

Правильный способ:

Отключить виртуальный DVD-привод на всех МФУ и делать это в дальнейшем перед выставлением пользователям.

Производится отключение привода через утилиту SIUtility.exe 

Пример обсуждения на форуме HP:

https://h30434.www3.hp.com/t5/Printer-Setup-Software-Drivers/How-to-disable-smartinstall-on-windows-10-p1102w/td-p/6262621

 

Альтернативный вариант:

В доверенные устройства Вы пытались добавить сам виртуальный привод - PROD_SMART_INSTALL, мне кажется это неправильным.
проверьте остальные события блокировок на хосте, там ещё могут быть события с указанием кода конкретной модели или будет написано “PROD_HP_OFFICEJET”. Попробуйте их использовать в маске. 

Link to comment
Share on other sites
Dema

Dema

Posted
  • Author
Posted

Добрый день, посмотрите данную тему:

Link

 


Разрешение на запись, которое помогло автору темы, уже стояло для CD/DVD-устройств и на работу не влияет. Ссылка на старый форум уже не открывается.

Правильный способ:

Отключить виртуальный DVD-привод на всех МФУ и делать это в дальнейшем перед выставлением пользователям.

Все же трудно назвать правильным способом блокирование штатных функций устройства из-за ошибок в работе антивируса. Вероятно, если не получится справиться средствами KSC, придется отключать виртуальный привод, но таких устройств много и придется отслеживать, когда и где они включатся.

Альтернативный вариант:

В доверенные устройства Вы пытались добавить сам виртуальный привод - PROD_SMART_INSTALL, мне кажется это неправильным.
проверьте остальные события блокировок на хосте, там ещё могут быть события с указанием кода конкретной модели или будет написано “PROD_HP_OFFICEJET”. Попробуйте их использовать в маске. 

Событий блокировок для принтера в логах найти не удалось, только для виртуального привода.

Может есть еще идеи?

Link to comment
Share on other sites
Demiad

Demiad

Posted
Posted

> из-за ошибок в работе антивируса

При включённой блокировке CD/DVD смонтируйте образ, получите запрет на устройство. Всё работает штатно. Блокировка по типу, которое определила ОС.

 

Насколько помню, МФУ определяется как привод, пока для принтера не установлено драйвера. После установки драйвера оно не будет подключаться как DVD-привод. Как с 3G/LTE-модемами сценарий, после установки драйверов на модем больше не показывает его как DVD-привод.

Отсюда думаю и причина:

> Событий блокировок для принтера в логах найти не удалось

 

>  таких устройств много и придется отслеживать, когда и где они включатся.

Смотрите отчёт “Отчет о событиях Контроля устройств”, в его параметрах настройте фильтры, чтоб находить блокировки только МФУ. Либо оповещения в почту по событиям блокировок для оперативности. Но тут внимательно, стоит ограничить получение оповещений в почту. Либо лучше выборку по событиям сделайте и смотрите её иногда в течение дня.

 

 

Link to comment
Share on other sites
Dema

Dema

Posted
  • Author
Posted

> из-за ошибок в работе антивируса

При включённой блокировке CD/DVD смонтируйте образ, получите запрет на устройство. Всё работает штатно. Блокировка по типу, которое определила ОС.

 

Насколько помню, МФУ определяется как привод, пока для принтера не установлено драйвера. После установки драйвера оно не будет подключаться как DVD-привод. Как с 3G/LTE-модемами сценарий, после установки драйверов на модем больше не показывает его как DVD-привод.

Отсюда думаю и причина:

> Событий блокировок для принтера в логах найти не удалось

 

Ошибка в работе антивируса это:

“ Как видно из текста Контроль устройств считает виртуальный CD-привод Съемным диском и блокирует его согласно правилу. Однако попытка добавить устройство в исключения наталкивается на проблему. Сервер KSC относит его к CD/DVD-устройствам, которые и так политикой разрешены ”

Т.е. локальный KES относит устройство к одному типу - Съемный диск (они блокируются), а KSC к другому - CD/DVD-устройству (разрешены), что препятствует назначению его в исключения антивируса. CD\DVD разрешены политикой и их блокировка это не штатное поведение антивируса. Данные принтеры работают в организации уже длительное время и раньше не блокировались.

Справиться с проблемой можно либо разрешением Съемных дисков, либо отключением функционала принтера, который много лет исправно работал. Оба варианта имеют серьезные минусы. Я надеялся услышать, имелся ли у коллег опыт исправления ситуации именно средствами антивирус?

 

Link to comment
Share on other sites
  • 2 months later...
Guest
This topic is now closed to further replies.
 Share
Go to topic listing


×
×
  • Create New...