Сетевое правило

[QyzgaldaQ]

Добрый день, добавил такое сетевое правило на группу. Подскажите пожалуйста подходит ли данный функционал для записи в отчёт подключений по данному порту, и в какой отчёт правило записывает информацию? Можно ли как то сформировать после создания отчёт на сервере администрирования?

[tyazhelnikov]

День добрый.

Странное конечно у Вас правило для RDP. По моему указание удаленного порта лишнее.

Посмотрите как настроено встроенное запрещающее правило "Сетевая активность для работы технологии удаленного рабочего стола"

В политике включите сохранение события "Сетевая активность разрешена" и сможете формировать выборку на KSC.

[QyzgaldaQ]

1 час назад, tyazhelnikov сказал:

День добрый.

Странное конечно у Вас правило для RDP. По моему указание удаленного порта лишнее.

Посмотрите как настроено встроенное запрещающее правило "Сетевая активность для работы технологии удаленного рабочего стола"

В политике включите сохранение события "Сетевая активность разрешена" и сможете формировать выборку на KSC.

Создал выборку с такими условий но результат нулевой, сохранение событий включил

[tyazhelnikov]

День добрый.

А правило у Вас срабатывало? Оно же у Вас прописано только когда локальный порт 3389 клиента совпадет с удаленным портом сервера 3389..... Вероятность по моему нулевая.

[QyzgaldaQ]

18 минут назад, tyazhelnikov сказал:

День добрый.

А правило у Вас срабатывало? Оно же у Вас прописано только когда локальный порт 3389 клиента совпадет с удаленным портом сервера 3389..... Вероятность по моему нулевая.

удалённый порт убрал

[tyazhelnikov]

Если правило настроено правильно, то должны быть события вот такие фиксироваться на сервере, к которому подключаются и на который действует политика с этим правилом.

Попробуйте для начала удалить сетевый адаптеры из парвила и добейтесь его срабатывания

НО их будет ооооочень много. Для мониторинга подключений не самый лучший способ.

Имя события        Сетевая активность разрешена
Важность:        Информационное сообщение
Приложение:        Kaspersky Endpoint Security для Windows (12.7.0)
Номер версии:        12.7.0.533
Название задачи:        Сетевой экран
Устройство:        Сервер администрирования <>
Группа:        Защита сервера
Время:        26 декабря 2024 г. 11:47:32
Имя виртуального Сервера администрирования:        
Описание:        Тип приложения: Неизвестное приложение
Направление: Входящее
Протокол: TCP
Статус: Разрешено
Удаленный адрес:клиент
Удаленный порт: 5280
Локальный адрес: сервер
Локальный порт: 3389
Зона: Доверенная сеть
Правило: RDP admins
Тип правила: Пакетное правило
 

Edited 9 hours ago by tyazhelnikov

[QyzgaldaQ]

21 минуту назад, tyazhelnikov сказал:

Если правило настроено правильно, то должны быть события вот такие фиксироваться на сервере, к которому подключаются и на который действует политика с этим правилом.

Попробуйте для начала удалить сетевый адаптеры из парвила и добейтесь его срабатывания

НО их будет ооооочень много. Для мониторинга подключений не самый лучший способ.

Имя события        Сетевая активность разрешена
Важность:        Информационное сообщение
Приложение:        Kaspersky Endpoint Security для Windows (12.7.0)
Номер версии:        12.7.0.533
Название задачи:        Сетевой экран
Устройство:        Сервер администрирования <>
Группа:        Защита сервера
Время:        26 декабря 2024 г. 11:47:32
Имя виртуального Сервера администрирования:        
Описание:        Тип приложения: Неизвестное приложение
Направление: Входящее
Протокол: TCP
Статус: Разрешено
Удаленный адрес:клиент
Удаленный порт: 5280
Локальный адрес: сервер
Локальный порт: 3389
Зона: Доверенная сеть
Правило: RDP admins
Тип правила: Пакетное правило
 

Спасибо!

[QyzgaldaQ]

2 часа назад, tyazhelnikov сказал:

Если правило настроено правильно, то должны быть события вот такие фиксироваться на сервере, к которому подключаются и на который действует политика с этим правилом.

Попробуйте для начала удалить сетевый адаптеры из парвила и добейтесь его срабатывания

НО их будет ооооочень много. Для мониторинга подключений не самый лучший способ.

Имя события        Сетевая активность разрешена
Важность:        Информационное сообщение
Приложение:        Kaspersky Endpoint Security для Windows (12.7.0)
Номер версии:        12.7.0.533
Название задачи:        Сетевой экран
Устройство:        Сервер администрирования <>
Группа:        Защита сервера
Время:        26 декабря 2024 г. 11:47:32
Имя виртуального Сервера администрирования:        
Описание:        Тип приложения: Неизвестное приложение
Направление: Входящее
Протокол: TCP
Статус: Разрешено
Удаленный адрес:клиент
Удаленный порт: 5280
Локальный адрес: сервер
Локальный порт: 3389
Зона: Доверенная сеть
Правило: RDP admins
Тип правила: Пакетное правило
 

А есть ли такая возможность, что бы правило срабатывало единожды а не на протяжении всего сеанса?

[tyazhelnikov]

День добрый.

Полагаю, что нет это же правило для сетевых пакетов, а они должны "летать" постоянно.

Если Вы решаете задачу по ограничению доступа по RDP, не проще ли сделать разрешающее правила для тех кому можно подключаться (без записи событий) и правило запрещающее остальным с записью события (будет 1 раз при отказе в соединении)?

 

[QyzgaldaQ]

25 минут назад, tyazhelnikov сказал:

День добрый.

Полагаю, что нет это же правило для сетевых пакетов, а они должны "летать" постоянно.

Если Вы решаете задачу по ограничению доступа по RDP, не проще ли сделать разрешающее правила для тех кому можно подключаться (без записи событий) и правило запрещающее остальным с записью события (будет 1 раз при отказе в соединении)?

 

3389 взят как пример, через данный функционал было бы удобно смотреть подключения TeamViewer но с таким количеством событий не вариант)

[tyazhelnikov]

Подключения TeamViewer (и других удаленно управленцев) можно (даже думаю и правильнее) смотреть (запрещать) и с помощью контроля приложений.

Поэтому и важно знать какую задачу Вы пытаетесь решить. 

Хотя это уже за рамками вашей темы.

Edited 6 hours ago by tyazhelnikov