prodvi 0 Опубликовано 18 июня, 2019 Share Опубликовано 18 июня, 2019 (изменено) Доброго дня, форумчане!Вопрос у меня этот стоит давно, но разрешить я его пока не смог. Есть домен, есть KSC 10, настроена политика и есть правило, запрещающее изменять файлы на ПК (против шифровальщиков). Изменять файлы могут только доверенные программы, либо писать их можно только в разрешённые директории. Но вот незадача - есть программы, которые периодически обновляются. И всё бы ничего, если бы они ставились в "Program Files", но ведь они ставятся в APPDATA пользователя, и используют папку Temp пользователя. ВОПРОС: Какое нужно добавить в KSC правило, чтобы папку Temp добавить в разрешённые директории(или чтобы каспер игнорировал эту папку)? Изменено 18 июня, 2019 пользователем prodvi Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 135 Опубликовано 18 июня, 2019 Share Опубликовано 18 июня, 2019 Решал я эту проблему. Добавлять папки темпа определенные в исключения (например разрешить только от имени определенных пользователей запускать). Либо процессы, запускающие обновления в доверенные включить Цитата Ссылка на сообщение Поделиться на другие сайты
prodvi 0 Опубликовано 18 июня, 2019 Автор Share Опубликовано 18 июня, 2019 (изменено) Решал я эту проблему. Добавлять папки темпа определенные в исключения (например разрешить только от имени определенных пользователей запускать). Либо процессы, запускающие обновления в доверенные включить сложность в том, что если пользователей 5, то можно добавить и каждого. Но если пользователей 20даже, то уже добавлять 20правил на Temp - это не по-админски, это костыли. А если их 100, 1000?) А конкретно процессов, запускающих обновления - нет, их запускают сами пользователи. А если обновляется прога сама, то, она всё равно лежит в APPDATA каждого пользователя Поэтому хочется знать, может можно в касперский добавить переменные PATH, типо %usersdata% и прочих ? Изменено 18 июня, 2019 пользователем prodvi Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 135 Опубликовано 18 июня, 2019 Share Опубликовано 18 июня, 2019 @prodvi, так вы определитесь: от шифровальщика хотите защититься? Если разрешить в темп записывать, то толку от этой настройки? И да, маски поддерживаются при добавлении доверенных приложений Цитата Ссылка на сообщение Поделиться на другие сайты
prodvi 0 Опубликовано 18 июня, 2019 Автор Share Опубликовано 18 июня, 2019 @prodvi, так вы определитесь: от шифровальщика хотите защититься? Если разрешить в темп записывать, то толку от этой настройки? И да, маски поддерживаются при добавлении доверенных приложений если шифровальщик что-то повредит в папке Temp - никто не пострадает. Поэтому её можно и открыть А вот использовать "маски" - у меня не получалось, сколько не пробовал. Но попробую в очередной раз Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 135 Опубликовано 18 июня, 2019 Share Опубликовано 18 июня, 2019 (изменено) маски формата %allusersprofile% %windir% поддерживаются если шифровальщик что-то повредит в папке Temp - никто не пострадает. так вы же разрешаете программе записывать. Шифровальщик использует легальное ПО. Я наоборот решал проблему: запрещал записывать в temp-кие папки (костыль был такой, но и проблем было из-за этого, конечно немало). Разрешал либо от определенных пользователей запуск ПО, либо определенный подкаталог папки temp. https://support.kaspersky.ru/8244 Изменено 18 июня, 2019 пользователем oit Цитата Ссылка на сообщение Поделиться на другие сайты
prodvi 0 Опубликовано 18 июня, 2019 Автор Share Опубликовано 18 июня, 2019 (изменено) маски формата %allusersprofile% %windir% поддерживаются если шифровальщик что-то повредит в папке Temp - никто не пострадает. так вы же разрешаете программе записывать. Шифровальщик использует легальное ПО. Я наоборот решал проблему: запрещал записывать в temp-кие папки (костыль был такой, но и проблем было из-за этого, конечно немало). Разрешал либо от определенных пользователей запуск ПО, либо определенный подкаталог папки temp. https://support.kaspersky.ru/8244 У меня настроено так: запрет на изменение файлов стоит по расширению. Изменять эти файлы могут только программы из списка доверенных (например doc - для ворда и тд). Да, пришлось вначале достаточно много всяких расширений добавлять и программы прописывать, но сейчас вообщем-то прибегаю к изменениям в политике - редко. ps/ маска - это не переменные. Маски работают, переменные - пока не знаю Изменено 18 июня, 2019 пользователем prodvi Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.