Jump to content

Recommended Posts

Posted

Добрый день, добавил такое сетевое правило на группу. Подскажите пожалуйста подходит ли данный функционал для записи в отчёт подключений по данному порту, и в какой отчёт правило записывает информацию? Можно ли как то сформировать после создания отчёт на сервере администрирования?

image.thumb.png.1b661e7b3abe56a80270d429fe400189.png

tyazhelnikov
Posted

День добрый.

Странное конечно у Вас правило для RDP. По моему указание удаленного порта лишнее.

Посмотрите как настроено встроенное запрещающее правило "Сетевая активность для работы технологии удаленного рабочего стола"

В политике включите сохранение события "Сетевая активность разрешена" и сможете формировать выборку на KSC.

Posted
1 час назад, tyazhelnikov сказал:

День добрый.

Странное конечно у Вас правило для RDP. По моему указание удаленного порта лишнее.

Посмотрите как настроено встроенное запрещающее правило "Сетевая активность для работы технологии удаленного рабочего стола"

В политике включите сохранение события "Сетевая активность разрешена" и сможете формировать выборку на KSC.

Создал выборку с такими условий но результат нулевой, сохранение событий включил

image.png.c91924cc024e63d77173e98ef2474837.png

tyazhelnikov
Posted

День добрый.

А правило у Вас срабатывало? Оно же у Вас прописано только когда локальный порт 3389 клиента совпадет с удаленным портом сервера 3389..... Вероятность по моему нулевая.

Posted
18 минут назад, tyazhelnikov сказал:

День добрый.

А правило у Вас срабатывало? Оно же у Вас прописано только когда локальный порт 3389 клиента совпадет с удаленным портом сервера 3389..... Вероятность по моему нулевая.

удалённый порт убрал

  • Solution
tyazhelnikov
Posted (edited)

Если правило настроено правильно, то должны быть события вот такие фиксироваться на сервере, к которому подключаются и на который действует политика с этим правилом.

Попробуйте для начала удалить сетевый адаптеры из парвила и добейтесь его срабатывания

НО их будет ооооочень много. Для мониторинга подключений не самый лучший способ.

Имя события        Сетевая активность разрешена
Важность:        Информационное сообщение
Приложение:        Kaspersky Endpoint Security для Windows (12.7.0)
Номер версии:        12.7.0.533
Название задачи:        Сетевой экран
Устройство:        Сервер администрирования <>
Группа:        Защита сервера
Время:        26 декабря 2024 г. 11:47:32
Имя виртуального Сервера администрирования:        
Описание:        Тип приложения: Неизвестное приложение
Направление: Входящее
Протокол: TCP
Статус: Разрешено
Удаленный адрес:клиент
Удаленный порт: 5280
Локальный адрес: сервер
Локальный порт: 3389
Зона: Доверенная сеть
Правило: RDP admins
Тип правила: Пакетное правило
 

Edited by tyazhelnikov
  • Like 1
Posted
21 минуту назад, tyazhelnikov сказал:

Если правило настроено правильно, то должны быть события вот такие фиксироваться на сервере, к которому подключаются и на который действует политика с этим правилом.

Попробуйте для начала удалить сетевый адаптеры из парвила и добейтесь его срабатывания

НО их будет ооооочень много. Для мониторинга подключений не самый лучший способ.

Имя события        Сетевая активность разрешена
Важность:        Информационное сообщение
Приложение:        Kaspersky Endpoint Security для Windows (12.7.0)
Номер версии:        12.7.0.533
Название задачи:        Сетевой экран
Устройство:        Сервер администрирования <>
Группа:        Защита сервера
Время:        26 декабря 2024 г. 11:47:32
Имя виртуального Сервера администрирования:        
Описание:        Тип приложения: Неизвестное приложение
Направление: Входящее
Протокол: TCP
Статус: Разрешено
Удаленный адрес:клиент
Удаленный порт: 5280
Локальный адрес: сервер
Локальный порт: 3389
Зона: Доверенная сеть
Правило: RDP admins
Тип правила: Пакетное правило
 

Спасибо!

Posted
2 часа назад, tyazhelnikov сказал:

Если правило настроено правильно, то должны быть события вот такие фиксироваться на сервере, к которому подключаются и на который действует политика с этим правилом.

Попробуйте для начала удалить сетевый адаптеры из парвила и добейтесь его срабатывания

НО их будет ооооочень много. Для мониторинга подключений не самый лучший способ.

Имя события        Сетевая активность разрешена
Важность:        Информационное сообщение
Приложение:        Kaspersky Endpoint Security для Windows (12.7.0)
Номер версии:        12.7.0.533
Название задачи:        Сетевой экран
Устройство:        Сервер администрирования <>
Группа:        Защита сервера
Время:        26 декабря 2024 г. 11:47:32
Имя виртуального Сервера администрирования:        
Описание:        Тип приложения: Неизвестное приложение
Направление: Входящее
Протокол: TCP
Статус: Разрешено
Удаленный адрес:клиент
Удаленный порт: 5280
Локальный адрес: сервер
Локальный порт: 3389
Зона: Доверенная сеть
Правило: RDP admins
Тип правила: Пакетное правило
 

А есть ли такая возможность, что бы правило срабатывало единожды а не на протяжении всего сеанса?

tyazhelnikov
Posted

День добрый.

Полагаю, что нет это же правило для сетевых пакетов, а они должны "летать" постоянно.

Если Вы решаете задачу по ограничению доступа по RDP, не проще ли сделать разрешающее правила для тех кому можно подключаться (без записи событий) и правило запрещающее остальным с записью события (будет 1 раз при отказе в соединении)?

 

Posted
25 минут назад, tyazhelnikov сказал:

День добрый.

Полагаю, что нет это же правило для сетевых пакетов, а они должны "летать" постоянно.

Если Вы решаете задачу по ограничению доступа по RDP, не проще ли сделать разрешающее правила для тех кому можно подключаться (без записи событий) и правило запрещающее остальным с записью события (будет 1 раз при отказе в соединении)?

 

3389 взят как пример, через данный функционал было бы удобно смотреть подключения TeamViewer но с таким количеством событий не вариант)

tyazhelnikov
Posted (edited)

Подключения TeamViewer (и других удаленно управленцев) можно (даже думаю и правильнее) смотреть (запрещать) и с помощью контроля приложений.

Поэтому и важно знать какую задачу Вы пытаетесь решить. 

Хотя это уже за рамками вашей темы.

Edited by tyazhelnikov
  • Like 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...