Операция с устройством запрещена: уведомление для разных типов устройств

[kasperskyuser]

В компании используются моноблоки с CD/DVD-приводами. Если политиками запретить данный тип шины, то после каждого включения ПК пользователь будет видеть уведомление о блокировке.

На текущий момент приходится убирать уведомление через KSC (политика kes 11--> общие параметры--> интерфейс--> уведомления--> настройка--> контроль устройств--> операция с устройством запрещена). Но при отключенных уведомлениях службе техподдержки ИТ сложнее определить неполадку в случае блокировки других типов устройств (и пользователям тоже).

Идентичная ситуация c VDI и floppy/CD.

К сожалению, в KSC 11 не предусмотрено отключение уведомлений для разного типа шин. А было бы неплохо это реализовать.

А как вы, коллеги, справляетесь с данной ситуацией?

[kasperskyuser]

Также советуют дать доступ системной учетной записи  NT AUTHORITY\СИСТЕМА https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/pomoshch-po-nastroyke-kontrolya-ustroystv-6246#post30124

[Demiad]

Здесь же тогда стоит рассказать про параметр DeviceControlEventsCachePeriod 

https://support.kaspersky.ru/15298

 

@kasperskyuser , либо вариант скрыть NT AUTHORITY\СИСТЕМА  из отчёта.

В любом случае статистика переполнена не пользовательскими действиями и смотреть её невозможно.

[kasperskyuser]

@Demiad,  какое время (минут), по истечении которых информация о событиях в Контроле устройств удалится, считать оптимальным?

 

Вы не тестировали, небудут ли доступны устройства, если добавить в исключение пользователей NT AUTHORITY\СИСТЕМА  и NT AUTHORITY\​LOCAL SERVICE?

[Demiad]

@kasperskyuser , сколько не ставь, всё равно будут события появляться, которые не относятся к попытке пользователя зайти на запрещённый носитель. За счёт прореживания получаем не 100 событий за полчаса (дефолтное значение того параметра), а одно.

По второй части, нет, не пробовал. Мне достаточно скрыть.

[kasperskyuser]

@Demiad , спасибо за советы.

[Dejavu72]

@Demiad,  какое время (минут), по истечении которых информация о событиях в Контроле устройств удалится, считать оптимальным?

 

Вы не тестировали, небудут ли доступны устройства, если добавить в исключение пользователей NT AUTHORITY\СИСТЕМА  и NT AUTHORITY\​LOCAL SERVICE?

У нас добавлена учетка NT AUTHORITY\СИСТЕМА на право записи на флэшки.

Это сделано для того, чтобы лечить/удалять вредоносы с USB носителей с правами Системы (т.е. Агентом администрирования в автоматическом режиме). Иначе, при ограниченных правах (нет доступа или только чтение) вредоносы не удалялись. 

NT AUTHORITY\​LOCAL SERVICE не добавлял