Jump to content

Recommended Posts

kasperskyuser
Posted

В компании используются моноблоки с CD/DVD-приводами. Если политиками запретить данный тип шины, то после каждого включения ПК пользователь будет видеть уведомление о блокировке.

На текущий момент приходится убирать уведомление через KSC (политика kes 11--> общие параметры--> интерфейс--> уведомления--> настройка--> контроль устройств--> операция с устройством запрещена). Но при отключенных уведомлениях службе техподдержки ИТ сложнее определить неполадку в случае блокировки других типов устройств (и пользователям тоже).

Идентичная ситуация c VDI и floppy/CD.

К сожалению, в KSC 11 не предусмотрено отключение уведомлений для разного типа шин. А было бы неплохо это реализовать.

А как вы, коллеги, справляетесь с данной ситуацией?

Posted

Здесь же тогда стоит рассказать про параметр DeviceControlEventsCachePeriod 

https://support.kaspersky.ru/15298

 

@kasperskyuser , либо вариант скрыть NT AUTHORITY\СИСТЕМА  из отчёта.

В любом случае статистика переполнена не пользовательскими действиями и смотреть её невозможно.

kasperskyuser
Posted

@Demiad,  какое время (минут), по истечении которых информация о событиях в Контроле устройств удалится, считать оптимальным?

 

Вы не тестировали, небудут ли доступны устройства, если добавить в исключение пользователей NT AUTHORITY\СИСТЕМА  и NT AUTHORITY\​LOCAL SERVICE?

Posted

@kasperskyuser , сколько не ставь, всё равно будут события появляться, которые не относятся к попытке пользователя зайти на запрещённый носитель. За счёт прореживания получаем не 100 событий за полчаса (дефолтное значение того параметра), а одно.

По второй части, нет, не пробовал. Мне достаточно скрыть.

Posted

@Demiad,  какое время (минут), по истечении которых информация о событиях в Контроле устройств удалится, считать оптимальным?

 

Вы не тестировали, небудут ли доступны устройства, если добавить в исключение пользователей NT AUTHORITY\СИСТЕМА  и NT AUTHORITY\​LOCAL SERVICE?

У нас добавлена учетка NT AUTHORITY\СИСТЕМА на право записи на флэшки.

Это сделано для того, чтобы лечить/удалять вредоносы с USB носителей с правами Системы (т.е. Агентом администрирования в автоматическом режиме). Иначе, при ограниченных правах (нет доступа или только чтение) вредоносы не удалялись. 

NT AUTHORITY\​LOCAL SERVICE не добавлял

 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...