Jump to content

Recommended Posts

Posted

 

Используется: KSC 11.0.0.1131 патч B, KES 11.2.0.2254 патч Critical Fix 1

 

Потребовалась настройка блокировки доступа к USB по группе AD.

Создали группу, назначили на новую группу блокировку. Блокировки не происходит. 

Взял другую группу (созданную для другого) ради эксперимента. Блокировка проходит успешно.

 

В чем может быть разница и где смотреть? Могу предположить что не хватает прав на чтение группы Но где настраивать..

Posted

В группе AD объекты “Компьютер”? Так будет работать, если группа AD использована в условии активации профиля политик, а с пользователями нет.

изменено.

Posted

Требуется блокировка по пользователям, а не компьютерам.

Работает с одной из групп с другой не работает. Вот вопрос в чем может быть специфика?

Posted

Распишите более подробно реализацию.

Вы блокируете “Шину подключения” - “USB”?

Или “Типы устройств” - “Съёмные диски”, “CD/DVD-приводы” и т.п.?

Используете профили политик? Если да, то правила активации как сделаны?

 

Давно Опрос AD делали? Нажмите “Опросить сейчас”:

 

Posted

Блокировка стоит "Съемных носителей”

Опрос автоматом, неоднократно уже проходил. Сейчас руками перезапустил повторно.

 

Posted

Профили не используются

Posted

Требуется блокировка по пользователям, а не компьютерам.

Работает с одной из групп с другой не работает. Вот вопрос в чем может быть специфика?

Более подробно напиши лучше со скринами, какая группа в AD, может это не группа а OU? например, компы или пользователи, и что сделано в KSC в политиках. У меня по группам при любых манипуляциях проблем не было, правда я не блокировал а разрешения давал на настройки.

Может AD группа настроена верно а сама политика KSC не на ту группу управления распространена и т.п.

Posted

Соотв я сижу под учеткой включенной в группу и блокировки не происходит.

Группа была создана вчера только.

Posted

Статусы иконок совпадают с моей картинкой?

 

Posted

А если так настроить, то работает? Лучше проверить на тестовой группе, либо использовать профиль политики. Тестовый пользователь должен быть наверху, а группа “Все” должна быть внизу. Для тестового пользователя разрешаем доступ, а для группы “Все” блокируем доступ.

 

 

  • Solution
Posted

Проверил у себя на тестовой машине. Если хотите, чтобы модуль работал, необходимо удалить группу “Everyone” и добавить только тех пользователей, которым разрешен доступ к usb носителям.  При такой настройке модуль будет работать в режиме “Белого списка”. Именно для групп почему-то не работает, скорее всего баг KSC.   

  • 7 months later...
Posted

Коллеги, что-то изменилось с того времени?

Необходимо всем разрешить флешки, запретить только определенной группе из AD.

Posted

День добрый.

На KSC12 у меня подобных проблем не возникает. В политике KES11.4 разрешено всем, затем добавлена группа с пользователями, которым заблокирован доступ. Правда, иногда изменения в составе группы применяются не сразу, а через некоторое время.

 

  • 5 months later...
r.karepanov
Posted

Привет мужики. Ситуация точно такая же . Ранее блокировка флешек была настроена по пользователям , благо их было не так много , человек 5-6 . Тут пришла задача заблочить всем кроме определенного списка сотрудников , причем список будет постоянно пополнятся. Создал группу , навесил политику точно также как и пользователи тока вместо пользователей указал группу . НЕ РАБОТАЕТ !!! 

 

Смотрю дальше ….. окно запрета у одного юзверя вылазиет мол доступ запрещен к накопителем ( но спокойно записывает на флешку и соответственно читает с нее , а сообщение дальше вылазиет периодически , причем в событиях пишет инициатора этого пользователя или NT AUTHORITY\SYSTEM ) , а у другого пользователя сообщение что отказано в доступе к этой папке (которая редактируется уже через групповые политики домена , а ведь их я не трогал) . У обоих клиентов одинаковые версии агентов (13,0,0,11247) и клиента каспера (11,6,0,394)

 

Понял что все эти проблемы изза обновленной политики , решил одного из пользователей добавить отдельно параллельно с той группой которая уже была в списке доступа и вуаля !!!! доступ появился . Вывод : каспер частично  видит пользователей в группах ну или как-то криво , я не могу понять. Если смотреть в пункте “Учетные записи пользователей” то данные группы видит , но не показывает пользователей в свойствах . Причем если создать локальную группу и добавить в нее локальных пользователей , то в свойствах такой группы можно увидить пользователей которые в нее входят.

 

Может кто-нибудь уже разобрался ?

r.karepanov
Posted

 

Используется: KSC 11.0.0.1131 патч B, KES 11.2.0.2254 патч Critical Fix 1

 

Потребовалась настройка блокировки доступа к USB по группе AD.

Создали группу, назначили на новую группу блокировку. Блокировки не происходит. 

Взял другую группу (созданную для другого) ради эксперимента. Блокировка проходит успешно.

 

В чем может быть разница и где смотреть? Могу предположить что не хватает прав на чтение группы Но где настраивать..

Доброго дня. А вы нашли решение ?

  • 3 years later...
Posted (edited)

Добрый день. Схожая проблема с группами AD. Мои извинения за некропост.

Дано:

KSC 14.2

KES 12.6

 

Проблема: При настройке политики в разделе Контроль безопасности/Контроль устройств/Типы устройств исправно работает только группа AD "Пользователи домена". Корректно отрабатывается и запрет доступа - и разрешение. При указании любой другой группы - запрет доступа вне зависимости от указанных параметров доступа в расписании. Подробности настройки - в скриншоте.

Опрос AD вручную запускался, автоматически также отрабатывает (группы создаются, пользователь добавляется в группу).

ksc_usb.png

Edited by IMA
tyazhelnikov
Posted

День добрый.

У Вас в разделе KSC "Учетные записи пользователей" есть нужные Вам группы?

У меня запрещено всем, кроме группы с "избранными". Все работает корректно.

Настроено так.

запрет Все приоритет 0

разрешено группа избранныхnt_authority\LOCAL SERVICE,nt_authority\СИСТЕМА приоритет 1.

Локальные учетки нужны чтобы не выдавалось лишних сообщений о блокировке + была возможность лечить заразу даже если у пользователя нет прав на флешку.

ЗЫ KSC понимает, что новый пользователь появился в группе избранных не сразу, иногда до нескольких дней. Поэтому если нужно срочно доступ добавляю в политику временно конкретного пользователя с приоритетом 2. После нескольких дней удаляю. 

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...