Kaspersky Security Center. Настройка политик безопасности. Исключения

[SnakeEyes 1]

Не нашёл грамотной информации о добавлении исключений в политику KES (контроль приложений). Рекомендуется добавлять метаданные, хэши, маски. Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений, если работает правило разрешённых, исключения используются как запрет или нет? (в таком случае они не имеют смысла, т.к. все кроме доверенных будут автоматически запрещены).
Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.

[ElvinE5 72]

Вопрос непростой ... и рубить тут с греча не стоит ...

вот тут справка на тему - https://support.kaspersky.com/KESWin/11.11.0/ru-RU/129102.htm

 

 

35 минут назад, SnakeEyes сказал:

Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений

Работает только один режим - Разрешенный ИЛИ Запрещенный, переключая вкладку вы меняете принцип работы компонента целиком.

однако в любом из режимов вы можете создавать как запрещающие так и разрешающие правила, они будут работать одновременно ... ЗАПРЕТ имеет более высокий приоритет

например : вы создали два одинаковых правила для двух групп пользователей в одно разрешили в другой запретили запуск 7zip (утрируя моменты) - но в обе группы попал пользователь Иванов, запуск ему будет запрещен.

 

Каждый из режимов используется для определенных целей например

1. Запрещенный - мы хотим запретить только некоторые приложения ... и например некоторым пользователям, или разрешить только некоторым какой-то спец софт, но остальным запретить.

2. Разрешенный - это классический Default deny ... запрещено все ...что вы не опишите правилами.

 

35 минут назад, SnakeEyes сказал:

если работает правило разрешённых, исключения используются как запрет или нет?

Да, понятно становится когда работает с группами (KL категориями), например в разрешенном режиме - вы хотите развешивать запуск всех броузеров, всех кроме Google Chrom

 

 

35 минут назад, SnakeEyes сказал:

Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.

в общих свойствах исполняемых файлов

Спойлер

  или провалившись в свойства ...

Спойлер

 

 

эта темы обсуждается в третей главе курса KL 002.11.6 ... наверно моя любимая глава.

опишите задачу что стоит перед вами я попробую помочь вам выбрать оптимальный вариант надеюсь

Изменено 30 января, 2023 пользователем ElvinE5

[SnakeEyes 1]

Мне необходимо добавить KMS в исключения групповой политики. Я понимаю это так, что если это ПО по учмолчанию распознаётся как шпионская программа, то мне нужно использовать вкладку запрещено всё кроме, либо есть альтернатива сделать через запрещённые? Далее. Я добавлял файл через Хэш SHA256, через MD5. Единственное что изменилось - Каспер перестал его кушать, но запустить не разрешает. По пути файла добавлять не вариант, т.к на разных компьютерах он может находиться в разных путях.

[ElvinE5 72]

нет, этот компонент, Контроль приложений, не поможет для данного случая ... это не его работа

Контроль приложений - позволяет ограничить возможности пользователя запускать всякое на своем устройстве ... тем самым уменьшить "вектор атаки"

 

вам нужно просто добавить его в исключения тут ... но я бы не советовал ...

Спойлер

если есть хэш суммы ... и настройте компоненты которые НЕ должны на него реагировать

Спойлер

 

можно еще на основе детектируемого объекта ...но это по моему еще большая "шляпа" так как все кто будет так детектироваться попадут в исключения.

Спойлер

 

 

можно все же по маске ... но с условием

Спойлер

 

 

но я бы не советовал ...

Изменено 30 января, 2023 пользователем ElvinE5

[SnakeEyes 1]

Спасибо, буду пробовать. Тогда к классификации есть нюансы, я видел вирусную энциклопедию, но там не понятно как происходит добавление, допустим я ставлю метку HackTool в исключения. Получается все угрозы, определившиеся как HackTool попадают в исключение?

 

[ElvinE5 72]

31 минуту назад, SnakeEyes сказал:

Получается все угрозы, определившиеся как HackTool попадают в исключение?

ДА

[SnakeEyes 1]

В продолжение данной темы, есть ещё один вопрос. Файлы, угрожающие безопасности помещаются в резервное хранилище (выбрана соответствующая настройка). Можно ли их оттуда сразу добавлять в исключения? И второй вопрос вытекающий из предыдущего - есть ли возможность посмотреть хранилище через KSC? Нашёл статью как смотреть через KES https://support.kaspersky.com/KESWin/11.1.1/ru-RU/128133.htm .

[ElvinE5 72]

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

Спойлер

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

[SnakeEyes 1]

4 часа назад, ElvinE5 сказал:

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

  Скрыть контент

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

Вы нравитесь мне всё больше и больше

 

Объект не восстанавливается, пробовал писать путь C:\Windows\KMS\bin\*
C:\Windows\KMS\**\*

 

 

исключения

 

[Goddeimos13 16]

А зачем путь писать? Там 2 варианта. Либо восстановить файл в исходное место, либо сохранить себе на диск, например C:\Danger!!!

Изменено 31 января, 2023 пользователем Goddeimos13

[SnakeEyes 1]

Происходит следующее: файл находится в карантине, после восстановления обратно обнаруживается как вредоносный, после этого обратно помещается в карантин. По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

[Goddeimos13 16]

1 минуту назад, SnakeEyes сказал:

По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

Если трогает, значит исключение не работает.

Добавьте ваш бинарник в доверенные приложения.

[SnakeEyes 1]

 

До конца не могу понять, чем отличаются тогда исключения от доверенных приложений?
И в чём разница добавления исключений по хэшу или типу угрозы?
Я вижу это так, что хэш это именно все про конкретный файл разрешает, путь это про папку, классификатор - по типу угрозы. 
Тогда вопрос вот какой, если указаны все три пункта - достаточно для разрешения соблюдать один из них или все три. Далее, чем отличаются исключения и доверенные приложения? 
 

Почему первый путь работает, а тот который на сервер - работает

[Goddeimos13 16]

17 минут назад, SnakeEyes сказал:

Далее, чем отличаются исключения и доверенные приложения? 

Я бы рекомендовал ознакомиться https://support.kaspersky.com/help/KESWin/11.11.0/ru-RU/178487.htm

Там всё достаточно подробно описано.

[SnakeEyes 1]

4 минуты назад, Goddeimos13 сказал:

Я бы рекомендовал ознакомиться https://support.kaspersky.com/help/KESWin/11.11.0/ru-RU/178487.htm

Там всё достаточно подробно описано.

Ну я же не такой дурак чтоб сюда лезть преждевременно. Мы прочитали с коллегами, попробовали различные вариации перед тем как задавать вопросы тут.