Отключение политики

[Anna Zelenova]

Добрый день! Подскажите, пожалуйста, есть ли возможность установки персональных паролей для отключения KES (т.е. возможность установки не одного пароля, я нескольких)? Хотелось бы понимать, кто и когда отключает KES на устройствах.

[dvz]

-"Хотелось бы понимать, кто и когда отключает KES на устройствах." Можно в политике, в настройках уведомлений включить "Ввод имени пользователя и пароля" с отправкой на электронную почту. Вам тогда будут приходить события с такими попытками.

[Anna Zelenova]

Проблема в том, что по этим уведомлениям нельзя понять, кто ввел пароль.

[Hydrargyrum]

Проблема в том, что по этим уведомлениям нельзя понять, кто ввел пароль.

У вас учетные записи пользователей не персонифицированы? Пользователь указывается в сообщении.

[dvz]

Anna Zelenova ну там будет ip адрес ПК. По нему можно установить, кто из сотрудников был в этот момент. Таких инцидентов будет все меньше и меньше, когда узнают о контроле.

[Anna Zelenova]

dvz Там имя ПК на котором был произведен ввод пароля. Данный пароль знают только определенный круг пользователей. И из этого круга мне необходимо понимать, кто именно вводит пароль.

[Anna Zelenova]

Hydrargyrum Учетные записи персонифицированные, но в сообщении указывается имя пользователя, который залогинен на ПК. А зная пароль и логин для КЕСа, его можно отключить залогинившись под любой УЗ. Эта информация мне дает только факт ввода пароля и всё

[Sir_Freeze]

Anna Zelenova Так Вы заранее ставите невыполнимое условие. При таких условиях выход только один: ходить и спрашивать кто садился за ПК и кто вводил пароль. И проблема у Вас не в том, что по уведомлениям нельзя понять, кто ввел пароль, а в том, что пароль к KLAdmin и учетным записям пользователей знает неопределенный круг лиц. Ограничьте этот круг и станет проще найти виновника.

[Anna Zelenova]

Sir_Freeze Так я и спрашиваю, есть ли возможность поставить несколько разных паролей на отключение КЕСа :) В большей части, это бы решило мою проблему. Круг лиц ограничить сложно. Их и так не очень много...

[Sir_Freeze]

Anna Zelenova К сожалению, при защите паролем отключать KES может только администратор КL (по умолчанию это KLAdmin).

[Nikolay Arinchev]

Здравствуйте, В KES 11.1 появилась возможность добавлять несколько разных пользователей, которым разрешено отключать политику и для каждого из них отпределять, какие конкретно действия они могут выполнить.

[serbernar]

Anna Zelenova К сожалению, при защите паролем отключать KES может только администратор КL (по умолчанию это KLAdmin).

Как вариант сменить пароль УЗ KLAdmin и добавить персонализированным УЗ AD права KLAdmin (а может всё же лучше KLOperators?) - пользователь будет выключать политику от СВОЕГО имени. profit.

[Anna Zelenova]

serbernar, Nikolay arinchev Sir_Freeze Коллеги, я не написала ключевой момент ситуации. Не предполагала такого развития диалога. Прошу прощения :) Политика отключается локально на ПК, не через консоль. В политике, в разделе "Защита паролем" у меня установлен логин, отличный от KLAdmin. Соответственно, KLAdmin у меня никак не задействован в отключении. Мне бы как раз в политике хотелось бы установить несколько логинов для отключения, потому что доступа к KSC, кроме меня и коллеги, ни у кого нет. А вот этот круг лиц, который может отключить политику локально, надо как-то контролировать... P.S.: Коллеги, я так понимаю, что выдача прав KLAdmin и/или KLOperators подразумевает использование консоли. Если я не права, поправьте, пожалуйста. Но доступ к KSC никому давать не хочется.

[serbernar]

Anna Zelenova Выдача прав KLAdmin и/или KLOperators подразумевает, но не обязывает использование KSC.

Но доступ к KSC никому давать не хочется.

Полностью поддерживаем! Логичный вопрос: а зачем какому-то неопределенному кругу лиц знать пароль и мочь отключать политику?

А вот этот круг лиц, который может отключить политику локально, надо как-то контролировать...

Ага, запретить! Вы, как администратор безопасности не можете по запросу (при наличии объективной необходимости) временно отключать политику через KSC?

[Anna Zelenova]

serbernar К сожалению, не могу не дать пароль. Знание пароля помогает ускорить процесс решения проблем. Пользователей много, а у меня всего две руки. Если я буду реагировать на все запросы с просьбой временно отключить KES, я в них утону... Поэтому было принято решение, что на ПК рядовых юзеров можно отключать KES локально для тестирования. Естественно, это не касается привилегированных пользователей. Кст, круг лиц определен. Не пофамильно, правда. Такая возможность есть у конкретного отдела.

[serbernar]

И называется что-то типа "Отдел Поддержки Пользователей" (они же мальчики-зайчики с картриджем, они же эникеи). Что именно у вас такого в политиках что может мешать их работе? Может можно ослабить общую политику под их нужды? Или есть возможность выделить ПК для тестов в отдельную группу и НЕ паролить локальную политику?

[Sir_Freeze]

Anna Zelenova Николай дал единственный подходящий для Вас вариант:

Здравствуйте, В KES 11.1 появилась возможность добавлять несколько разных пользователей, которым разрешено отключать политику и для каждого из них отпределять, какие конкретно действия они могут выполнить.