Jump to content
Kaspersky Support Forum

Предоставление прав на управление исключениями KES

iuvarov97
 Share
Go to solution Solved by mike 1,

Recommended Posts

iuvarov97

iuvarov97

Posted
Posted

Добрый день!

Хочу дать возможность региональным админам кидать в исключения определенные папки или файлы на компах, но не могу понять как это реализовать. Через политику KES в пункте "Защита паролем" выдал тестовой AD группе админов всевозможные права, но изменение настроек приложения не работает. Как я понимаю, мне нужно именно включить возможность изменять настройки KES, чтобы была возможность менять исключения...

image.png.69bf3dd650092771e63b7bb1e94cdbe1.png

Если же я включаю параметр "Разрешить использование локальных исключений", то их сможет сделать любой пользователь.

Тут я не понимаю, мне необходимо этой же группе предоставить еще и роль Администратора KES на группу управляемых устройств внутри одного региона? И можно ли как-то ограничить для всех пользователей, кроме админов, возможность делать локальные исключения? Или как это вообще можно реализовать? (Если вообще можно)

 

Заранее спасибо!

Link to comment
Share on other sites
mike 1

mike 1

Posted
Posted

Вопросы:

1. Используется ли иерархия серверов KSC?

2. Имеют ли региональные админы доступ к KSC? 

 

7 часов назад, iuvarov97 сказал:

И можно ли как-то ограничить для всех пользователей, кроме админов, возможность делать локальные исключения?

Это сделано по умолчанию. Для того чтобы сохранить изменения нужно обладать правом "Настройка приложения". Права задаются в политике KES. Доступ от учетки KLAdmin лучше вообще никому не давать. 

Link to comment
Share on other sites
iuvarov97

iuvarov97

Posted
  • Author
Posted (edited)
9 часов назад, mike 1 сказал:

1. Используется ли иерархия серверов KSC?

Нет, используется один сервер. Внутри него группа управляемых устройств делится на 2 группы: рабочие станции и сервера, группа рабочих станций делится на регионы, в которых выданы права для местных админов.

9 часов назад, mike 1 сказал:

2. Имеют ли региональные админы доступ к KSC? 

Да, имеют доступ именно к своей региональной группе.

9 часов назад, mike 1 сказал:

Для того чтобы сохранить изменения нужно обладать правом "Настройка приложения". Права задаются в политике KES.

Я как раз на скриншоте указал, что выдал права на все через политику KES, но возможности делать исключения у админа не появилось, как и в принципе менять какие-то настройки KES. Поэтому и думаю, нужны ли еще какие-то права для этого админа?

И я правильно понимаю, что для моего сценария включать параметр "Разрешить использование локальных исключений" не нужно?

Edited by iuvarov97
Link to comment
Share on other sites
mike 1

mike 1

Posted
Posted
8 часов назад, iuvarov97 сказал:

Я как раз на скриншоте указал, что выдал права на все через политику KES, но возможности делать исключения у админа не появилось, как и в принципе менять какие-то настройки KES. Поэтому и думаю, нужны ли еще какие-то права для этого админа?

Правильно, т.к. параметр использования "локальных исключений" подразумевает, что администратор подключится к удаленной машине, где действует этот параметр и вручную через интерфейс антивируса задаст нужные исключения. Если стоит задача чтобы дать возможность администраторам через политику задавать исключения, то потребуется в политике верхнего уровня открыть замок у параметров, связанных с исключениями, а в нижестоящей политике закрыть замок у этих параметров.    

Link to comment
Share on other sites
iuvarov97

iuvarov97

Posted
  • Author
Posted
В 26.08.2022 в 21:36, mike 1 сказал:

параметр использования "локальных исключений" подразумевает, что администратор подключится к удаленной машине, где действует этот параметр и вручную через интерфейс антивируса задаст нужные исключения

Прошу прощения, не указал в самом первом сообщении, что я хочу, чтобы у админов была возможность добавлять исключения через KES, то есть нужны те самые локальные исключения. Только проблема в том, что любой пользователь (не только администратор) может изменять список исключений, если я включаю этот параметр. И где найти, как включить всем, кроме определенной группы пользователей, ограничение на этот функционал, я так и не понял....

 

В 26.08.2022 в 21:36, mike 1 сказал:

Если стоит задача чтобы дать возможность администраторам через политику задавать исключения, то потребуется в политике верхнего уровня открыть замок у параметров, связанных с исключениями, а в нижестоящей политике закрыть замок у этих параметров. 

А в этом случае получается, управление исключениями осуществляется только через web/mmc-консоль?

Link to comment
Share on other sites
  • Solution
mike 1

mike 1

Posted
  • Solution
Posted
3 часа назад, iuvarov97 сказал:

И где найти, как включить всем, кроме определенной группы пользователей, ограничение на этот функционал, я так и не понял....

Да, внести изменения может любой пользователь, но сохранить внесенные изменения сможет только пользователь с правом "Изменение настроек программы". Кстати, через консоль видны локальные исключения. 

 

4 часа назад, iuvarov97 сказал:

А в этом случае получается, управление исключениями осуществляется только через web/mmc-консоль?

Да. 

  • Thanks 1
Link to comment
Share on other sites
iuvarov97

iuvarov97

Posted
  • Author
Posted
1 час назад, mike 1 сказал:

сохранить внесенные изменения сможет только пользователь с правом "Изменение настроек программы"

О! Никогда бы не додумался! Проверял только возможность добавлять исключения, а кнопку "Сохранить" не тыкал....

Спасибо огромное за помощь)))

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...