Перейти к содержанию

Kaspersky Security Center. Настройка политик безопасности. Исключения

SnakeEyes

Автор SnakeEyes
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

SnakeEyes

SnakeEyes

Опубликовано
Опубликовано

Не нашёл грамотной информации о добавлении исключений в политику KES (контроль приложений). Рекомендуется добавлять метаданные, хэши, маски. Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений, если работает правило разрешённых, исключения используются как запрет или нет? (в таком случае они не имеют смысла, т.к. все кроме доверенных будут автоматически запрещены).
Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.
image.thumb.png.5180cbe27d5d9762c0c6c11c53423658.pngimage.thumb.png.e641818fa11c60cf74c03f2a21cf4bc9.pngimage.thumb.png.cd1d5d43cc46593e5d1ab7dd0a6ee059.pngimage.thumb.png.8b7608ef083bb9202df45ecad0cbe3ad.pngimage.thumb.png.6355f43b69e2d61af0e6b697cb077323.png

image.png

ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

Вопрос непростой ... и рубить тут с греча не стоит ...

вот тут справка на тему - https://support.kaspersky.com/KESWin/11.11.0/ru-RU/129102.htm

 

 

35 минут назад, SnakeEyes сказал:

Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений

Работает только один режим - Разрешенный ИЛИ Запрещенный, переключая вкладку вы меняете принцип работы компонента целиком.

однако в любом из режимов вы можете создавать как запрещающие так и разрешающие правила, они будут работать одновременно ... ЗАПРЕТ имеет более высокий приоритет

например : вы создали два одинаковых правила для двух групп пользователей в одно разрешили в другой запретили запуск 7zip (утрируя моменты) - но в обе группы попал пользователь Иванов, запуск ему будет запрещен.

 

Каждый из режимов используется для определенных целей например

1. Запрещенный - мы хотим запретить только некоторые приложения ... и например некоторым пользователям, или разрешить только некоторым какой-то спец софт, но остальным запретить.

2. Разрешенный - это классический Default deny ... запрещено все ...что вы не опишите правилами.

 

35 минут назад, SnakeEyes сказал:

если работает правило разрешённых, исключения используются как запрет или нет?

Да, понятно становится когда работает с группами (KL категориями), например в разрешенном режиме - вы хотите развешивать запуск всех броузеров, всех кроме Google Chrom

 

 

35 минут назад, SnakeEyes сказал:

Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.

в общих свойствах исполняемых файлов

Спойлер

421170635_.thumb.png.b76ac27c99635db16916abb5b3632816.png

  или провалившись в свойства ...

Спойлер

2112385954_.thumb.png.e5c64754bb771dc6cface9905d5870b1.png1064692273_.thumb.png.30d9aa227290d7e6407160cd7c23a7f1.png

 

 

эта темы обсуждается в третей главе курса KL 002.11.6 ... наверно моя любимая глава.

опишите задачу что стоит перед вами я попробую помочь вам выбрать оптимальный вариант :) надеюсь

Изменено пользователем ElvinE5
SnakeEyes

SnakeEyes

Опубликовано
  • Автор
Опубликовано

Мне необходимо добавить KMS в исключения групповой политики. Я понимаю это так, что если это ПО по учмолчанию распознаётся как шпионская программа, то мне нужно использовать вкладку запрещено всё кроме, либо есть альтернатива сделать через запрещённые? Далее. Я добавлял файл через Хэш SHA256, через MD5. Единственное что изменилось - Каспер перестал его кушать, но запустить не разрешает. По пути файла добавлять не вариант, т.к на разных компьютерах он может находиться в разных путях.

ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

нет, этот компонент, Контроль приложений, не поможет для данного случая ... это не его работа

Контроль приложений - позволяет ограничить возможности пользователя запускать всякое на своем устройстве ... тем самым уменьшить "вектор атаки"

 

вам нужно просто добавить его в исключения тут ... но я бы не советовал ...

Спойлер

1466614100_.thumb.png.90c09f1a71985851fa7e576bb7cef70a.png

если есть хэш суммы ... и настройте компоненты которые НЕ должны на него реагировать

Спойлер

2100093865_.thumb.png.71a4b79ca3b71238efebaa17dffcc14e.png

 

можно еще на основе детектируемого объекта ...но это по моему еще большая "шляпа" так как все кто будет так детектироваться попадут в исключения.

Спойлер

84802462_.thumb.png.6c7e89c775d16ccbf35db7cb9ac614bb.png

 

 

можно все же по маске ... но с условием

Спойлер

956050484_.thumb.png.296b31a1f9fd6099cd7f398176c1de80.png

 

 

но я бы не советовал ...

Изменено пользователем ElvinE5
  • Like (+1) 1
SnakeEyes

SnakeEyes

Опубликовано
  • Автор
Опубликовано

Спасибо, буду пробовать. Тогда к классификации есть нюансы, я видел вирусную энциклопедию, но там не понятно как происходит добавление, допустим я ставлю метку HackTool в исключения. Получается все угрозы, определившиеся как HackTool попадают в исключение?

 

ElvinE5

ElvinE5

Опубликовано
Опубликовано
31 минуту назад, SnakeEyes сказал:

Получается все угрозы, определившиеся как HackTool попадают в исключение?

ДА

  • Like (+1) 1
SnakeEyes

SnakeEyes

Опубликовано
  • Автор
Опубликовано

В продолжение данной темы, есть ещё один вопрос. Файлы, угрожающие безопасности помещаются в резервное хранилище (выбрана соответствующая настройка). Можно ли их оттуда сразу добавлять в исключения? И второй вопрос вытекающий из предыдущего - есть ли возможность посмотреть хранилище через KSC? Нашёл статью как смотреть через KES https://support.kaspersky.com/KESWin/11.1.1/ru-RU/128133.htm .

ElvinE5

ElvinE5

Опубликовано
Опубликовано

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

Спойлер

982979130_.thumb.png.be40efd5b3514e52a634849e7719b053.png

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

  • Like (+1) 1
SnakeEyes

SnakeEyes

Опубликовано
  • Автор
Опубликовано
4 часа назад, ElvinE5 сказал:

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

  Скрыть контент

982979130_.thumb.png.be40efd5b3514e52a634849e7719b053.png

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

Вы нравитесь мне всё больше и больше

 

Объект не восстанавливается, пробовал писать путь C:\Windows\KMS\bin\*
C:\Windows\KMS\**\*

 

image.thumb.png.6a4d1f546f131a720cbf0cb3f2f102d8.png

image.png.36e1d643ea0aaa2ba4c40dc27f3cbb12.png

 

исключения

image.png.47f2359ac3f20b95cc5cca453e085d79.png
 

image.png

image.png

Goddeimos13

Goddeimos13

Опубликовано
Опубликовано (изменено)

А зачем путь писать? Там 2 варианта. Либо восстановить файл в исходное место, либо сохранить себе на диск, например C:\Danger!!!

Изменено пользователем Goddeimos13
SnakeEyes

SnakeEyes

Опубликовано
  • Автор
Опубликовано

Происходит следующее: файл находится в карантине, после восстановления обратно обнаруживается как вредоносный, после этого обратно помещается в карантин. По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

Goddeimos13

Goddeimos13

Опубликовано
Опубликовано
1 минуту назад, SnakeEyes сказал:

По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

Если трогает, значит исключение не работает.

Добавьте ваш бинарник в доверенные приложения.

image.png.04fe0833e41c60d78d6207d85e30561a.png

SnakeEyes

SnakeEyes

Опубликовано
  • Автор
Опубликовано

image.png.a393a56aa293695a2dba6e8720af9daa.png

 

До конца не могу понять, чем отличаются тогда исключения от доверенных приложений?
И в чём разница добавления исключений по хэшу или типу угрозы?
Я вижу это так, что хэш это именно все про конкретный файл разрешает, путь это про папку, классификатор - по типу угрозы. 
Тогда вопрос вот какой, если указаны все три пункта - достаточно для разрешения соблюдать один из них или все три. Далее, чем отличаются исключения и доверенные приложения? 
 

Почему первый путь работает, а тот который на сервер - работает

image.thumb.png.b814e2616e4f9b97ebfbc7f95e6ae27c.png

SnakeEyes

SnakeEyes

Опубликовано
  • Автор
Опубликовано
4 минуты назад, Goddeimos13 сказал:

Я бы рекомендовал ознакомиться https://support.kaspersky.com/help/KESWin/11.11.0/ru-RU/178487.htm

Там всё достаточно подробно описано.

Ну я же не такой дурак чтоб сюда лезть преждевременно. Мы прочитали с коллегами, попробовали различные вариации перед тем как задавать вопросы тут.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Loc
      Политика? Правила? Как сделать в kaspersky security center 15.2 ×
      Автор Loc
      Добрый день.
       
      1. Из уважаемого учреждения приходят письма:
      "Обеспечить на уровне сетевых средств защиты информации ограничение обращений к следующим адресам, используя схему доступа по «черным» или «белым» спискам:
      tut_sait[.]tut_domen;
      hxxp[:]//tut_sait[.]tut_domen/file/tut_file[.]rar;"
      2. А также есть информация:
      "Осуществить настройку правил системы мониторинга событий информационной безопасности (при ее наличии) путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256): e880a1bb....;".
       
      Подскажите, как в kaspersky security center 15.2 выполнить обе эти задачи? 
    • МаркМанагер
      Kaspersky Security Center
      Автор МаркМанагер
      Добрый день.
      Установлен Kaspersky Security Center 14.2. В политике включен контроль устройств и запрещен доступ к съемным носителям.
      Запрет не отрабатывает, любая флэшка при подключении работает в обычном режиме, то есть доступ разрешен. Хотя в KES отрабатывает автоматическая проверка флэш-носителей, запрет остановки проверки.
      На компьютерах установлен KES 11.7 и 11.4.
      Помогите разобраться.

    • krv_brs
      Kaspersky Security Center 14.0.0.10902
      Автор krv_brs
      Ошибка времени выполнения: Database error occurred: #1950 (9420) Generic db error: "9420 'XML parsing: line 1, character 2037, illegal xml character{42000};' LastStatement='batch_xmlinsert'"
      Информация об ошибке: 1950/9420 (Generic db error: "9420 'XML parsing: line 1, character 2037, illegal xml character{42000};' LastStatement='batch_xmlinsert'"), c:\a\c\g_n97mv7nc\r\product\osmp\ksc\dev\server\db\ado\db_adoprepstmtimpl.cpp, 408.
       
      Как бороться с этой ошибкой?
      Базу очищал.
    • sol1211
      Политики Kaspersky Security Centr 13
      Автор sol1211
      Добрый день! 
       
      Столкнулись с проблемой при создании политики для Windows. Создаём политику, убираем галочку "Наследовать параметры родительской политики". В родительской политики снимаем галочку "Обеспечит принудительное наследование ....", применяем, сохраняем. Спустя время обе галочки в обеих политиках проставляются самостоятельно. И так по несколько раз в день. Как и куда копать, чтобы параметры политик не изменялись произваольно?
    • npc_admin
      Перенос Kaspersky Security Center 11
      Автор npc_admin
      Здравствуйте.
      Прошу совета в сложившийся ситуации. Есть задача перенести KSC на новый сервер. KSC версии 11.0.0.1131. На новом сервере, естественно, нужно ставить последнюю, актуальную версию Центра. Затем туда накатывать резервную выгрузку из старого Центра. Но! Для того, чтобы это получилось, нужно старый Центр версии 11 обновить до актуальной, а прежде чем обновляться, нужно сделать бэкап. Так вот проблема заключается в том, что пароль от базы данных KAV утерен и восстановить его не получается. Пытался сбросить пароль в SQLEXPRESS разными способами – не удалось. Вопрос, какое решение видится в этой ситуации?  На данный момент, мое видение – ставить последнюю версию Центра на новом сервере, делать настройки с чистого листа, потом подтягивать клиентов  (порядка 25 машин в офисе).
×
×
  • Создать...