Перейти к содержимому


Фотография

KSC и KES, политика для записи в папку Temp


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 6

#1 OFF   prodvi

prodvi

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 18 Июнь 2019 - 11:41

Доброго дня, форумчане!
Вопрос у меня этот стоит давно, но разрешить я его пока не смог.

Есть домен, есть KSC 10, настроена политика и есть правило, запрещающее изменять файлы на ПК (против шифровальщиков). Изменять файлы могут только доверенные программы, либо писать их можно только в разрешённые директории.

Но вот незадача - есть программы, которые периодически обновляются. И всё бы ничего, если бы они ставились в "Program Files", но ведь они ставятся в APPDATA пользователя, и используют папку Temp пользователя.

ВОПРОС:

Какое нужно добавить в KSC правило, чтобы папку Temp добавить в разрешённые директории(или чтобы каспер игнорировал эту папку)?


Сообщение отредактировал prodvi: 18 Июнь 2019 - 11:42

  • 0

#2 OFF   oit

oit

    Корифей

  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 8 331

Награды

     

Отправлено 18 Июнь 2019 - 11:46

Решал я эту проблему.

Добавлять папки темпа определенные в исключения (например разрешить только от имени определенных пользователей запускать). Либо процессы, запускающие обновления в доверенные включить


  • 0

#3 OFF   prodvi

prodvi

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 18 Июнь 2019 - 12:26

Решал я эту проблему.

Добавлять папки темпа определенные в исключения (например разрешить только от имени определенных пользователей запускать). Либо процессы, запускающие обновления в доверенные включить

сложность в том, что если пользователей 5, то можно добавить и каждого.
Но если пользователей 20даже, то уже добавлять 20правил на Temp - это не по-админски, это костыли. А если их 100, 1000?) А конкретно процессов, запускающих обновления - нет, их запускают сами пользователи. А если обновляется прога сама, то, она всё равно лежит в APPDATA каждого пользователя
Поэтому хочется знать, может можно в касперский добавить переменные PATH, типо %usersdata% и прочих ?


Сообщение отредактировал prodvi: 18 Июнь 2019 - 12:34

  • 0

#4 OFF   oit

oit

    Корифей

  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 8 331

Награды

     

Отправлено 18 Июнь 2019 - 12:59

prodvi, так вы определитесь: от шифровальщика хотите защититься? Если разрешить в темп записывать, то толку от этой настройки?

И да, маски поддерживаются при добавлении доверенных приложений


  • 0

#5 OFF   prodvi

prodvi

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 18 Июнь 2019 - 13:04

prodvi, так вы определитесь: от шифровальщика хотите защититься? Если разрешить в темп записывать, то толку от этой настройки?

И да, маски поддерживаются при добавлении доверенных приложений

если шифровальщик что-то повредит в папке Temp - никто не пострадает. Поэтому её можно и открыть

А вот использовать "маски" - у меня не получалось, сколько не пробовал. Но попробую в очередной раз


  • 0

#6 OFF   oit

oit

    Корифей

  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 8 331

Награды

     

Отправлено 18 Июнь 2019 - 13:15

маски формата %allusersprofile% %windir% поддерживаются

 

 


если шифровальщик что-то повредит в папке Temp - никто не пострадает.

так вы же разрешаете программе записывать. Шифровальщик использует легальное ПО.

Я наоборот решал проблему: запрещал записывать в temp-кие папки (костыль был такой, но и проблем было из-за этого, конечно немало). Разрешал либо от определенных пользователей запуск ПО, либо определенный подкаталог папки temp.


https://support.kaspersky.ru/8244


Сообщение отредактировал oit: 18 Июнь 2019 - 13:14

  • 0

#7 OFF   prodvi

prodvi

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 18 Июнь 2019 - 15:54

маски формата %allusersprofile% %windir% поддерживаются

 

 


если шифровальщик что-то повредит в папке Temp - никто не пострадает.

так вы же разрешаете программе записывать. Шифровальщик использует легальное ПО.

Я наоборот решал проблему: запрещал записывать в temp-кие папки (костыль был такой, но и проблем было из-за этого, конечно немало). Разрешал либо от определенных пользователей запуск ПО, либо определенный подкаталог папки temp.


https://support.kaspersky.ru/8244

 

У меня настроено так: запрет на изменение файлов стоит по расширению. Изменять эти файлы могут только программы из списка доверенных (например doc - для ворда и тд). Да, пришлось вначале достаточно много всяких расширений добавлять и программы прописывать, но сейчас вообщем-то прибегаю к изменениям в политике - редко.

ps/ маска - это не переменные. Маски работают, переменные - пока не знаю


Сообщение отредактировал prodvi: 18 Июнь 2019 - 15:56

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных