Перейти к содержанию

Kaspersky Security Center 13 и замена hosts на управляемых устройствах через .bat

Leliil
 Поделиться

Рекомендуемые сообщения

Leliil

Leliil

Опубликовано
Опубликовано (изменено)

Добрый день, понадобилось добавить пару строк в файл hosts, либо заменить на новый.

В KSC 13.0.0.11247 в политике убрал отметку на пункте файла hosts, через свойства политики - Продвинутая защита - Предотвращение вторжений, Настройка - ОС - Системные файлы - Критические настройки. Добавил в исключение название .bat файла, сделал уникальное имя, чтобы не совпало с каким-то зловредом и прочим, после применения пункт защиты верну на место.

Вручную через .bat с запуском от имени администратора изменения вносятся.

Создаю задачу удаленной установки и замена не проходит, что удаленно, что локально (создал автономный пакет). Что я делаю не так?

Изменено пользователем Leliil
Goddeimos13

Goddeimos13

Опубликовано
Опубликовано

День добрый!

Локально Вы запускаете от имени локального админисратора, а удалённо от имени системы. Это не одно и тоже.

Хорошо было бы увидеть содержимое bat файла.

 

 

Leliil

Leliil

Опубликовано
  • Автор
Опубликовано (изменено)
10 minutes ago, Goddeimos13 said:

День добрый!

Локально Вы запускаете от имени локального админисратора, а удалённо от имени системы. Это не одно и тоже.

Хорошо было бы увидеть содержимое bat файла.

Еще попробовал %~dp0\hosts сделать, вдруг батник не находит файл hosts. При создании установочного пакета ставлю галку "Поместить всю папку", исполняемым файлом является .bat 

@echo off
xcopy /H /R /Y hosts C:\\Windows\System32\drivers\etc\
exit
Изменено пользователем Leliil
Goddeimos13

Goddeimos13

Опубликовано
Опубликовано

"C:\\Windows\System32\drivers\etc\" тут ведь один обратный слэш должен быть, не? C:\Windows\System32\drivers\etc\

Leliil

Leliil

Опубликовано
  • Автор
Опубликовано (изменено)
19 minutes ago, Goddeimos13 said:

"C:\\Windows\System32\drivers\etc\" тут ведь один обратный слэш должен быть, не? C:\Windows\System32\drivers\etc\

Изначально один был, с коллегой общался с другого региона, они такую же задачу делали, он сделал 2 обратных слэша и работает, думал у меня ошибка.

Не знаю, убирали ли они защиту KES с файла hosts с помощью политики, но исключение по названию .bat у них тоже есть, хотя у меня сомнения, добавить без пути к файлу не получается, указал как *name.bat.

Добавил копирование в корень диска C, оттуда в .../../etc, в корне появился, а в /etc/ нет, где-то что-то с доступом видимо

Изменено пользователем Leliil
Goddeimos13

Goddeimos13

Опубликовано
Опубликовано

Да. Это не проблема KSC.

Да и вряд-ли KES защищает файл hosts от изменений (с настройками по умолчанию спокойно меняю содержимое файлика).

Думаю всё гораздо проще и надо гуглить форумы Microsoft.

Leliil

Leliil

Опубликовано
  • Автор
Опубликовано
Just now, Goddeimos13 said:

Да. Это не проблема KSC.

Да и вряд-ли KES защищает файл hosts от изменений (с настройками по умолчанию спокойно меняю содержимое файлика).

Думаю всё гораздо проще и надо гуглить форумы Microsoft.

Изначально я не мог с помощью .bat + запуск от имени администратора локально поменять, был запрещен доступ, пока не отключил KES, понял, что стоит какая-то защита, убрал пункт в политике, все стало меняться без отключения. Затем уже начал задачу на удаленную установку делать.

Windows 10, на Windows 7 не проверял

  • 2 недели спустя...
Aragon

Aragon

Опубликовано
Опубликовано

Попробуй заменить строку C:\Windows\System32\drivers\etc\ на C:\Windows\Sysnative\drivers\etc\ и запустить bat через задачу KSC

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rancol347
      Скачал Касперский и сразу найден Троян
      Автор rancol347
      Trojan.win.32.hosts2.gen
      C:\Windows\System32\drivers\etc\hosts

      Пока что выполняю лечение активного заражения
      16:05 завершено лечение, сразу началась перезагрузка, даже не предупреждая 
      16:13 провёл быструю проверку -  ничего не Найдено. Возможно ложное/файл был вылечен
    • sammi
      KSC - как разрешить использование виртуального привода
      Автор sammi
      Здравствуйте!
      Коллеги, помогите разобраться плз. 
      Есть в KSC политика на одну группу компьютеров, в которой включен контроль устройств. Там есть ряд разрешенных устройств и мне нужно добавить в разрешённые виртуальный сидиром винды. Чтобы можно было с  iso работать. 
      Пробовал через "Добавить->Сформировать правила на основе данных системы" и он как-бы добавляет  Virtual_DVD-ROM, но всё равно не работает. Судя по всему, мой предшественник также делал и у него тоже не взлетело.
      Единственное, что я заметил, что DeviceID которое в правиле и в событие, которое генерится при срабатывании защиты отличаются.  
      В правиле "SCSI\CDROM&VEN_MSFT&PROD_VIRTUAL_DVD-ROM\000001", а в событии перед 000001 ещё символы есть. 
       
      Я выгрузил правила в .xml, там добавил дополнительные символы в DeviceId и оставил только одно моё правило в этой xml. Делаю "Импорт из файла XML->Добавить правила к существующим" и получаю ошибку чтения правил из файла. Синтаксис внутри вроде корректный. 
       
      Может я сильно усложняю и как-то можно проще сделать?  С KSC только знакомлюсь)
       
       
    • nvsdope
      [РЕШЕНО] SettingsModifier:Win32/PossibleHostsFileHijack
      Автор nvsdope
      Доброе утро. в журнале защиты постоянно вылазит SettingsModifier:Win32/PossibleHostsFileHijack, затронутые элементы file: C:\Windows\System32\drivers\etc\host удаление не помогает, прикладываю логи
      надеюсь на вашу помощь.
      NVSDOPE_2024-09-14_13-07-41_v4.99.1v x64.7z SecurityCheck.txt
    • GraaanD
      [РЕШЕНО] PowerShell, nslookup и SettingsModifier:Win32/PossibleHostsFileHijack
      Автор GraaanD
      Доброе утро, день, вечер, друзья. Начал замечать что появляется и кушает оперативную память "nslookup", хотя раньше её вообще не наблюдал в диспетчере задач. В попытке её отключить замечаю что появляется PowerShell, так понимаю выполняется какая-то команда и снова включается nslookup. После этого в защитнике Windows (Знаю что не самый удачный антивирус, но все таки...) появляется SettingsModifier:Win32/PossibleHostsFileHijack. Блокируя, удаляя угрозу все начинается по новой, вижу nslookup, закрываю, powershell и по кругу. Так же проверив антивирусом Dr.Web CureIt!, что выдало мне такую ошибку, который он не может исправить 
      Может кто подсказать что это, как избавиться? А то напрягает, вирус какой схватил?
      Закрывая файл nslookup в файле hosts появляются дополнительные строки, и WD ругается, а именно строки:
      0.0.0.0       avast.com
      0.0.0.0       www.avast.com
      0.0.0.0       totalav.com
      0.0.0.0       www.totalav.com
      0.0.0.0       scanguard.com
      0.0.0.0       www.scanguard.com
      0.0.0.0       totaladblock.com
      0.0.0.0       www.totaladblock.com
      0.0.0.0       pcprotect.com
      0.0.0.0       www.pcprotect.com
      0.0.0.0       mcafee.com
      0.0.0.0       www.mcafee.com
      0.0.0.0       bitdefender.com
      0.0.0.0       www.bitdefender.com
      0.0.0.0       us.norton.com
      0.0.0.0       www.us.norton.com
      0.0.0.0       avg.com
      0.0.0.0       www.avg.com
      0.0.0.0       malwarebytes.com
      0.0.0.0       www.malwarebytes.com
      0.0.0.0       pandasecurity.com
      0.0.0.0       www.pandasecurity.com
      0.0.0.0       surfshark.com
      0.0.0.0       www.surfshark.com
      0.0.0.0       avira.com
      0.0.0.0       www.avira.com
      0.0.0.0       norton.com
      0.0.0.0       www.norton.com
      0.0.0.0       eset.com
      0.0.0.0       www.eset.com
      0.0.0.0       microsoft.com
      0.0.0.0       www.microsoft.com
      0.0.0.0       Zillya.com
      0.0.0.0       www.Zillya.com
      0.0.0.0       kaspersky.com
      0.0.0.0       www.kaspersky.com
      0.0.0.0       usa.kaspersky.com
      0.0.0.0       www.usa.kaspersky.com
      0.0.0.0       dpbolvw.net
      0.0.0.0       www.dpbolvw.net
      0.0.0.0       sophos.com
      0.0.0.0       www.sophos.com
      0.0.0.0       home.sophos.com
      0.0.0.0       www.home.sophos.com
      0.0.0.0       www.adaware.com
      0.0.0.0       adaware.com
      0.0.0.0       www.ahnlab.com
      0.0.0.0       ahnlab.com
      0.0.0.0       www.bullguard.com
      0.0.0.0       bullguard.com
      0.0.0.0       clamav.net
      0.0.0.0       www.clamav.net
      0.0.0.0       www.drweb.com
      0.0.0.0       drweb.com
      0.0.0.0       emsisoft.com
      0.0.0.0       www.emsisoft.com
      0.0.0.0       www.f-secure.com
      0.0.0.0       f-secure.com
      0.0.0.0       www.zonealarm.com
      0.0.0.0       zonealarm.com
      0.0.0.0       www.trendmicro.com
      0.0.0.0       trendmicro.com
      0.0.0.0       www.ccleaner.com
      0.0.0.0       ccleaner.com
      0.0.0.0       www.virustotal.com
      0.0.0.0       virustotal.com
    • Garett
      При запуске KSC 13 возникает ошибка MMC
      Автор Garett
      Добрый день! Подскажите, пожалуйста, почему при запуске KSC возникает ошибка оснастки MMC? Версия KSC 13.2.0.1511. Спасибо.
       

×
×
  • Создать...