Jump to content
Kaspersky Support Forum

Предоставление прав на управление исключениями KES

iuvarov97

By iuvarov97
in Kaspersky Endpoint Security для бизнеса

 Share
Go to solution Solved by mike 1,

Recommended Posts

iuvarov97

iuvarov97

Posted
Posted

Добрый день!

Хочу дать возможность региональным админам кидать в исключения определенные папки или файлы на компах, но не могу понять как это реализовать. Через политику KES в пункте "Защита паролем" выдал тестовой AD группе админов всевозможные права, но изменение настроек приложения не работает. Как я понимаю, мне нужно именно включить возможность изменять настройки KES, чтобы была возможность менять исключения...

image.png.69bf3dd650092771e63b7bb1e94cdbe1.png

Если же я включаю параметр "Разрешить использование локальных исключений", то их сможет сделать любой пользователь.

Тут я не понимаю, мне необходимо этой же группе предоставить еще и роль Администратора KES на группу управляемых устройств внутри одного региона? И можно ли как-то ограничить для всех пользователей, кроме админов, возможность делать локальные исключения? Или как это вообще можно реализовать? (Если вообще можно)

 

Заранее спасибо!

mike 1

mike 1

Posted
Posted

Вопросы:

1. Используется ли иерархия серверов KSC?

2. Имеют ли региональные админы доступ к KSC? 

 

  On 8/25/2022 at 1:00 PM, iuvarov97 said:

И можно ли как-то ограничить для всех пользователей, кроме админов, возможность делать локальные исключения?

Expand  

Это сделано по умолчанию. Для того чтобы сохранить изменения нужно обладать правом "Настройка приложения". Права задаются в политике KES. Доступ от учетки KLAdmin лучше вообще никому не давать. 

iuvarov97

iuvarov97

Posted
  • Author
Posted (edited)
  On 8/25/2022 at 8:49 PM, mike 1 said:

1. Используется ли иерархия серверов KSC?

Expand  

Нет, используется один сервер. Внутри него группа управляемых устройств делится на 2 группы: рабочие станции и сервера, группа рабочих станций делится на регионы, в которых выданы права для местных админов.

  On 8/25/2022 at 8:49 PM, mike 1 said:

2. Имеют ли региональные админы доступ к KSC? 

Expand  

Да, имеют доступ именно к своей региональной группе.

  On 8/25/2022 at 8:49 PM, mike 1 said:

Для того чтобы сохранить изменения нужно обладать правом "Настройка приложения". Права задаются в политике KES.

Expand  

Я как раз на скриншоте указал, что выдал права на все через политику KES, но возможности делать исключения у админа не появилось, как и в принципе менять какие-то настройки KES. Поэтому и думаю, нужны ли еще какие-то права для этого админа?

И я правильно понимаю, что для моего сценария включать параметр "Разрешить использование локальных исключений" не нужно?

Edited by iuvarov97
mike 1

mike 1

Posted
Posted
  On 8/26/2022 at 6:36 AM, iuvarov97 said:

Я как раз на скриншоте указал, что выдал права на все через политику KES, но возможности делать исключения у админа не появилось, как и в принципе менять какие-то настройки KES. Поэтому и думаю, нужны ли еще какие-то права для этого админа?

Expand  

Правильно, т.к. параметр использования "локальных исключений" подразумевает, что администратор подключится к удаленной машине, где действует этот параметр и вручную через интерфейс антивируса задаст нужные исключения. Если стоит задача чтобы дать возможность администраторам через политику задавать исключения, то потребуется в политике верхнего уровня открыть замок у параметров, связанных с исключениями, а в нижестоящей политике закрыть замок у этих параметров.    

iuvarov97

iuvarov97

Posted
  • Author
Posted
  On 8/26/2022 at 6:36 PM, mike 1 said:

параметр использования "локальных исключений" подразумевает, что администратор подключится к удаленной машине, где действует этот параметр и вручную через интерфейс антивируса задаст нужные исключения

Expand  

Прошу прощения, не указал в самом первом сообщении, что я хочу, чтобы у админов была возможность добавлять исключения через KES, то есть нужны те самые локальные исключения. Только проблема в том, что любой пользователь (не только администратор) может изменять список исключений, если я включаю этот параметр. И где найти, как включить всем, кроме определенной группы пользователей, ограничение на этот функционал, я так и не понял....

 

  On 8/26/2022 at 6:36 PM, mike 1 said:

Если стоит задача чтобы дать возможность администраторам через политику задавать исключения, то потребуется в политике верхнего уровня открыть замок у параметров, связанных с исключениями, а в нижестоящей политике закрыть замок у этих параметров. 

Expand  

А в этом случае получается, управление исключениями осуществляется только через web/mmc-консоль?

  • Solution
mike 1

mike 1

Posted
  • Solution
Posted
  On 8/29/2022 at 6:12 AM, iuvarov97 said:

И где найти, как включить всем, кроме определенной группы пользователей, ограничение на этот функционал, я так и не понял....

Expand  

Да, внести изменения может любой пользователь, но сохранить внесенные изменения сможет только пользователь с правом "Изменение настроек программы". Кстати, через консоль видны локальные исключения. 

 

  On 8/29/2022 at 6:12 AM, iuvarov97 said:

А в этом случае получается, управление исключениями осуществляется только через web/mmc-консоль?

Expand  

Да. 

  • Thanks 1
iuvarov97

iuvarov97

Posted
  • Author
Posted
  On 8/29/2022 at 10:14 AM, mike 1 said:

сохранить внесенные изменения сможет только пользователь с правом "Изменение настроек программы"

Expand  

О! Никогда бы не додумался! Проверял только возможность добавлять исключения, а кнопку "Сохранить" не тыкал....

Спасибо огромное за помощь)))

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...