KSWS 10.1 Сообщение о шифровании.

[tyazhelnikov]

День добрый. При сработке защиты от шифрования в событиях фиксируется непонятное имя компьютера. Версия KSWS10.1.1.746 (core3)

[mike]

День добрый. При сработке защиты от шифрования в событиях фиксируется непонятное имя компьютера. Версия KSWS10.1.1.746 (core3)

Насколько я помню, это не имя компьютера, а идентификатор сессии, которая была заблокирована. Планировали в новых версиях доделать, но так и нет.

[tyazhelnikov]

Просто если бы это было реальное шифрование, то инфа о зараженном клиенте очень нужна для реагирования. Уважаемая ТП возможно уже есть патч исправляющий данную проблему?

[Oleg Bykov]

Просто если бы это было реальное шифрование, то инфа о зараженном клиенте очень нужна для реагирования. Уважаемая ТП возможно уже есть патч исправляющий данную проблему?

Здравствуйте, Это действительно идентификатор Logon-сессии. KSWS делает маппинг в IP-адрес для этой Logon-сессии с помощью журнала Security Event Log. Чтобы маппинг происходил, нужно, чтобы в этот журнал логгировалось событие о сетевом логоне - если я не ошибаюсь, это события с ID 540. Если таких событий в WEL нет, то и преобразования Logon LUID в IP-адрес KSWS не сделает.

[tyazhelnikov]

Деньд обрый. Можете уточнить ID необходимого события для windows server 2008 R2

[Oleg Bykov]

Деньд обрый. Можете уточнить ID необходимого события для windows server 2008 R2

4624.

[tyazhelnikov]

Спасибо, тему можно закрывать.