Про контроль устройств

[Aftalik]

Приветствую

Контроль устройств сводит меня с ума, документация по этому вопросу малоинформативна!

Возьмем к примеру доступ к флешкам.
В AD у меня есть группа "доступ к флешкам разрешен на чтение и запись"
В Свойствах политики (на KSC) контроль устройств, пункт "съемные диски" по умолчанию там одна запись - everyone (удаляю ее)
Добавляю разрешение для AD-группы "доступ к флешкам разрешен на чтение и запись", расписание - всегда чтение\запись
Пользователь из AD-группы "доступ к флешкам разрешен на чтение и запись" вставляет флешку, пробует ее открыть в проводнике, а Касперский ругается:

Тип события: Операция с устройством запрещена
Категория устройства: Устройство
Тип устройства/Тип шины: Съемные диски
Идентификатор устройства: xxx
VID/PID устройства: xxx
Пользователь: NT AUTHORITY\система (Инициатор)
Результат\Решение: Запрещать
Результат\Операция: Чтение

Хорошо, даю доступ для SYSTEM.
Пользователь пробует открыть - та же самая ошибка, только теперь ругается не на NT AUTHORITY\система, а на DOMAIN\USER
Вопрос - а откуда каспер вообще знает, что DOMAIN\USER состоит в группе "доступ к флешкам разрешен на чтение и запись"? он это знает просто по умолчанию, либо эти знания к нему приходят при сканировании AD?
Но ведь совсем не вариант добавлять DOMAIN\USER в свойства политики KES.

[mike 1]

Здравствуйте, пришлите экспорт вашей политики KES. 

[Aftalik]

21 минуту назад, mike 1 сказал:

дравствуйте, пришлите экспорт вашей политики KES. 

отправил ссылку в личку

[Aftalik]

Я просто обязан узнать как оно происходит:

5 часов назад, Aftalik сказал:

откуда каспер вообще знает, что DOMAIN\USER состоит в группе "доступ к флешкам разрешен на чтение и запись"? он это знает просто по умолчанию, либо эти знания к нему приходят при сканировании AD?

 

И это я еще не затронул профиля политики. Сервак, который я сейчас поддерживаю имеет следующую схему:

политика KES c 5 профилями политики.

Внутри профилей есть список устройств, куда попадают ПК (устройства) в зависимости от наличия той или иной группы AD у пользователя (или владельца?) данного ПК.

Так вот этот процесс живет совершенной своей жизнью. Я могу назначить пользователю группу в AD, а в соответствующий профиль политики его устройство может попасть через неделю, а может вообще не попасть.

Нет никакой кнопочки для актуализации ПК -> Пользователь -> Группа AD -> Профиль политики.

И сканирование AD в KSC это совсем не оно.

У меня просто взрывается мозг от этой непрозрачной ситуации ?

 

 

 

[mike 1]

2 часа назад, Aftalik сказал:

отправил ссылку в личку

Посмотрел. Приоритеты выполнения правил неправильно настроили. 

0 - самый высокий приоритет у правила

100 - самый низкий приоритет у правила

Цитата

группа "доступ к флешкам разрешен на чтение и запись"

0 приоритет должен быть. 

[mike 1]

2 часа назад, Aftalik сказал:

Внутри профилей есть список устройств, куда попадают ПК (устройства) в зависимости от наличия той или иной группы AD у пользователя (или владельца?) данного ПК.

Правила опроса AD в KSC и перемещения надо смотреть. 

[Aftalik]

9 часов назад, mike 1 сказал:

Посмотрел. Приоритеты выполнения правил неправильно настроили. 

В настройках "флешек" у меня только разрешающие группы - какая разница, какой у них приоритет? у меня  отсутствует такой вариант, что у меня пользователь в двух группах - полный доступ к флешкам и только чтение флешек.

9 часов назад, mike 1 сказал:

0 - самый высокий приоритет у правила

100 - самый низкий приоритет у правила

Кто-то из вас ошибается.

 

9 часов назад, mike 1 сказал:

Правила опроса AD в KSC и перемещения надо смотреть. 

Вот не надо сюда коней и людей мешать, при всем моем уважении, потому как это совсем разные вещи. То о чем вы говорите, это

То о чем говорю я:

 

Edited October 14, 2022 by Aftalik

[Goddeimos13]

12 часов назад, Aftalik сказал:

Так вот этот процесс живет совершенной своей жизнью. Я могу назначить пользователю группу в AD, а в соответствующий профиль политики его устройство может попасть через неделю, а может вообще не попасть.

Нет никакой кнопочки для актуализации ПК -> Пользователь -> Группа AD -> Профиль политики.

И сканирование AD в KSC это совсем не оно.

По-моему это как раз таки исключительно опрос AD.

Если я правильно понял, то логика применения профиля зависит от того, находится ли владелец устройства в группе "доступ к флешкам разрешен на чтение и запись".

В свою очередь KSC об это узнаёт только через опрос AD. Насколько я знаю дельта по AD прилетает согласно вашего расписания опроса AD, а полное сканирование происходит раз в 2 дня.

Как вариант можно закинуть юзера в группу, запустить опрос AD, а по окончании проверить в KSC появилась ли у него эта группа:

А теперь самый главный вопрос.

А кто собственно является тем самым владельцем устройства?

В моём понимании это тот, кто прописан в свойствах компьютера в AD на вкладке "Managed By". Но это не точно. Не проверял.

[mike 1]

55 минут назад, Aftalik сказал:

Кто-то из вас ошибается.

А вы проверяли прежде чем сделать такой вывод?) 

 

1 час назад, Aftalik сказал:

То о чем вы говорите, это

Так мы не знаем какие у вас правила перемещения и какой опрос AD по таймауту. 

[Aftalik]

42 минуты назад, Goddeimos13 сказал:

В свою очередь KSC об это узнаёт только через опрос AD. Насколько я знаю дельта по AD прилетает согласно вашего расписания опроса AD, а полное сканирование происходит раз в 2 дня.

период опроса 420 минут.

Я же писал выше - устройство (с нормально установленным владельцем) и через неделю может не появиться там где положено. А может и появиться в течении дня. По этому это какой-то неконтролируемый процесс.

Собственно говоря именно из-за этого я хочу перейти на другую схему - без профилей политики, а доступ к устройствам по группам AD текущего пользователя (боль первого сообщение темы). Тем более так даже безопасней - в старой схеме залогинившийся не-владелец ПК так же имеет доступ к флешкам, потому как профиль политики действует целиком на устройство (пк)

Вот этот вопрос так и остался без ответа

18 часов назад, Aftalik сказал:

Вопрос - а откуда каспер вообще знает, что DOMAIN\USER состоит в группе "доступ к флешкам разрешен на чтение и запись"? он это знает просто по умолчанию, либо эти знания к нему приходят при сканировании AD?

По идее он должен это знать без сканирования AD в принципе. Условно, при попытке доступа, KES-ом должен выполняться какой-то процесс аналогичный whoami /groups для проверки в нужной ли группе AD текущий пользователь или нет.

 

45 минут назад, Goddeimos13 сказал:

А кто собственно является тем самым владельцем устройства?

Отталкиваемся от того, что на каспере в свойствах ПК (устройства) есть владелец. Значит каспер проверяет по нему.

 

44 минуты назад, mike 1 сказал:

А вы проверяли прежде чем сделать такой вывод?) 

Ваши слова идут в разрез того, что написано в настройках. Если вы правы - значит надпись о том, что чем БОЛЬШЕ ЗНАЧЕНИЕ приоритета, тем выше приоритет правила - ошибка в ПО и ее надо исправлять.

 

47 минут назад, mike 1 сказал:

Так мы не знаем какие у вас правила перемещения и какой опрос AD по таймауту. 

опрос 420 минут.

А правила перемещения устройств не важны в данном контексте - я могу ими вообще не пользоваться, т.к. это влияет только на перемещение в группы администрирования, но никак не влияет на профиль применяемой политики KES.

[mike 1]

9 часов назад, Aftalik сказал:

Ваши слова идут в разрез того, что написано в настройках. Если вы правы - значит надпись о том, что чем БОЛЬШЕ ЗНАЧЕНИЕ приоритета, тем выше приоритет правила - ошибка в ПО и ее надо исправлять.

Когда я игрался с этим на KES 11.6 у меня было так, допускаю, что в более новых версиях могли что-то поменять, но сильно в этом сомневаюсь. У вас есть возможность это проверить. 

[mike 1]

9 часов назад, Aftalik сказал:

но никак не влияет на профиль применяемой политики KES.

Устройство может быть в группе нераспределенных устройств и ваша политика на эту группу работать не будет. 

[Aftalik]

23 часа назад, mike 1 сказал:

Устройство может быть в группе нераспределенных устройств и ваша политика на эту группу работать не будет. 

Ковыряю политику, а ПК в нераспределенных, а я этого просто не заметил?

То что вы написали - эта ситуация невозможна в принципе, т.к. я выше приводил отрывки из событий на ПК, а если бы ПК находился в нераспределенных - я бы не смог их посмотреть.

Судя по всему, "контролем устройств" участники форума не балуются. Печально. Не хотел в CA обращаться.

В 14.10.2022 в 09:21, Goddeimos13 сказал:

 

Интересный скрин. У меня нет пункта user accounts.

 

 

[ElvinE5]

В 13.10.2022 в 16:33, Aftalik сказал:

Добавляю разрешение для AD-группы "доступ к флешкам разрешен на чтение и запись", расписание - всегда чтение\запись
Пользователь из AD-группы "доступ к флешкам разрешен на чтение и запись" вставляет флешку, пробует ее открыть в проводнике, а Касперский ругается:

вернемся к истокам ?

тоже столкнулся с данным вопросом, решается добавлением в политику разрешения пользователю СИСТЕМА прав на чтение запись. если только чтение то предупреждение блокировки все равно появляется.

Спойлер

проверите ... у меня работает сейчас без этого окна ..

[ElvinE5]

В 15.10.2022 в 21:02, Aftalik сказал:

Интересный скрин. У меня нет пункта user accounts.

тут

Спойлер

 

 

Edited December 15, 2022 by ElvinE5

[ElvinE5]

В 14.10.2022 в 09:52, Aftalik сказал:

То о чем говорю я:

в свойствах машины ... вот тут у вас задан владелец ?

Спойлер

проверти изменится ли ситуация если задать владельца тут ... или как выше говорил @Goddeimos13

[Aftalik]

47 минут назад, ElvinE5 сказал:

в свойствах машины ... вот тут у вас задан владелец ?

да

1 час назад, ElvinE5 сказал:

решается добавлением в политику разрешения пользователю СИСТЕМА прав на чтение запись.

в первом же сообщении пишу, что SYSTEM так же добавлен:

В 13.10.2022 в 15:33, Aftalik сказал:

Хорошо, даю доступ для SYSTEM.
Пользователь пробует открыть - та же самая ошибка, только теперь ругается не на NT AUTHORITY\система, а на DOMAIN\USER

Вопрос не особо актуален, ИБшники опять что-то переиграли и теперь доступ только для разрешенных устройств, вне зависимости от групп AD.

[ElvinE5]

1 час назад, Aftalik сказал:

Вопрос не особо актуален, ИБшники опять что-то переиграли и теперь доступ только для разрешенных устройств, вне зависимости от групп AD.

терпения вам ... в другой теме где вы подымали этот же вопрос, уже отписал свой опыт. посмотрите. Может поможет ?