-
Похожий контент
-
От tianddu
Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO С 1 сентября начали сталкиваться с такой проблемой:
Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет. Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
-
От 4ikotillo
Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
4utjb34h.zip FRST.txt
-
От izme
Добрый день, коллеги!
Ситуация следующая: установлена политика для агентов на всех серверах с параметром сбора информации "Хранилища" - "Информация об установленных программах".
В карточке любого Windows сервера есть данные о программах, в разделе "Реестр программ". С Linux серверами ситуация обратная. Выводит сообщение: "Нет информации об установленных программах. Возможно, для устройства не включен параметр получения информации об установленных программах или установленная версия Агента администрирования не поддерживает эту функциональность".
Вопрос: KESL агент поддерживает сбор данных об установленных программах? Если да, то где это можно активировать ещё? Или что идёт не так?
Версии:
KESL: 12.0
Агент: 15.0
Спасибо!
-
От Сергѣй
Использую сбербанк онлайн с встроенным антивирусом Касперского, который находит 2 файла с троянами в корневой папке, но удалить их не может, как решить эту задачу?
-
От tread lightly
Добрый день
Мы заметили, что в агентах версии 12.6 появилась нативная интеграция с KUMA, позволяющая слать в него логи из журналов винды через агент KES. Сам KUMA нам неинтересен, но мы бы хотели отправлять логи в нашу собственную SIEM по UDP (соответственно, никакие дополнительные параметры, предназначенные для интеграции, кроме ip и порта нам не нужны, а это как раз возможно настроить в политике - что мы и сделали). Так как лицензия под интеграцию с KUMA отсутствует, ничего, очевидно, не работает (но ведь она нам по факту и не нужна - от агента требуется просто пересылать логи во внешнюю SIEM)
Возможно ли снятие этих ограничений, так как приобретение лицензии для такого кейса нецелесообразно? Да, нам ничего не мешает ставить агентов SIEM и собирать логи через них, но в некоторых сценариях хотелось бы реализовать это через единый агент
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти