Перейти к содержанию

Kaspersky Security Center. Настройка политик безопасности. Исключения


Рекомендуемые сообщения

Не нашёл грамотной информации о добавлении исключений в политику KES (контроль приложений). Рекомендуется добавлять метаданные, хэши, маски. Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений, если работает правило разрешённых, исключения используются как запрет или нет? (в таком случае они не имеют смысла, т.к. все кроме доверенных будут автоматически запрещены).
Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.
image.thumb.png.5180cbe27d5d9762c0c6c11c53423658.pngimage.thumb.png.e641818fa11c60cf74c03f2a21cf4bc9.pngimage.thumb.png.cd1d5d43cc46593e5d1ab7dd0a6ee059.pngimage.thumb.png.8b7608ef083bb9202df45ecad0cbe3ad.pngimage.thumb.png.6355f43b69e2d61af0e6b697cb077323.png

image.png

Ссылка на сообщение
Поделиться на другие сайты

Вопрос непростой ... и рубить тут с греча не стоит ...

вот тут справка на тему - https://support.kaspersky.com/KESWin/11.11.0/ru-RU/129102.htm

 

 

35 минут назад, SnakeEyes сказал:

Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений

Работает только один режим - Разрешенный ИЛИ Запрещенный, переключая вкладку вы меняете принцип работы компонента целиком.

однако в любом из режимов вы можете создавать как запрещающие так и разрешающие правила, они будут работать одновременно ... ЗАПРЕТ имеет более высокий приоритет

например : вы создали два одинаковых правила для двух групп пользователей в одно разрешили в другой запретили запуск 7zip (утрируя моменты) - но в обе группы попал пользователь Иванов, запуск ему будет запрещен.

 

Каждый из режимов используется для определенных целей например

1. Запрещенный - мы хотим запретить только некоторые приложения ... и например некоторым пользователям, или разрешить только некоторым какой-то спец софт, но остальным запретить.

2. Разрешенный - это классический Default deny ... запрещено все ...что вы не опишите правилами.

 

35 минут назад, SnakeEyes сказал:

если работает правило разрешённых, исключения используются как запрет или нет?

Да, понятно становится когда работает с группами (KL категориями), например в разрешенном режиме - вы хотите развешивать запуск всех броузеров, всех кроме Google Chrom

 

 

35 минут назад, SnakeEyes сказал:

Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.

в общих свойствах исполняемых файлов

Спойлер

421170635_.thumb.png.b76ac27c99635db16916abb5b3632816.png

  или провалившись в свойства ...

Спойлер

2112385954_.thumb.png.e5c64754bb771dc6cface9905d5870b1.png1064692273_.thumb.png.30d9aa227290d7e6407160cd7c23a7f1.png

 

 

эта темы обсуждается в третей главе курса KL 002.11.6 ... наверно моя любимая глава.

опишите задачу что стоит перед вами я попробую помочь вам выбрать оптимальный вариант :) надеюсь

Изменено пользователем ElvinE5
Ссылка на сообщение
Поделиться на другие сайты

Мне необходимо добавить KMS в исключения групповой политики. Я понимаю это так, что если это ПО по учмолчанию распознаётся как шпионская программа, то мне нужно использовать вкладку запрещено всё кроме, либо есть альтернатива сделать через запрещённые? Далее. Я добавлял файл через Хэш SHA256, через MD5. Единственное что изменилось - Каспер перестал его кушать, но запустить не разрешает. По пути файла добавлять не вариант, т.к на разных компьютерах он может находиться в разных путях.

Ссылка на сообщение
Поделиться на другие сайты

нет, этот компонент, Контроль приложений, не поможет для данного случая ... это не его работа

Контроль приложений - позволяет ограничить возможности пользователя запускать всякое на своем устройстве ... тем самым уменьшить "вектор атаки"

 

вам нужно просто добавить его в исключения тут ... но я бы не советовал ...

Спойлер

1466614100_.thumb.png.90c09f1a71985851fa7e576bb7cef70a.png

если есть хэш суммы ... и настройте компоненты которые НЕ должны на него реагировать

Спойлер

2100093865_.thumb.png.71a4b79ca3b71238efebaa17dffcc14e.png

 

можно еще на основе детектируемого объекта ...но это по моему еще большая "шляпа" так как все кто будет так детектироваться попадут в исключения.

Спойлер

84802462_.thumb.png.6c7e89c775d16ccbf35db7cb9ac614bb.png

 

 

можно все же по маске ... но с условием

Спойлер

956050484_.thumb.png.296b31a1f9fd6099cd7f398176c1de80.png

 

 

но я бы не советовал ...

Изменено пользователем ElvinE5
Ссылка на сообщение
Поделиться на другие сайты

Спасибо, буду пробовать. Тогда к классификации есть нюансы, я видел вирусную энциклопедию, но там не понятно как происходит добавление, допустим я ставлю метку HackTool в исключения. Получается все угрозы, определившиеся как HackTool попадают в исключение?

 

Ссылка на сообщение
Поделиться на другие сайты

В продолжение данной темы, есть ещё один вопрос. Файлы, угрожающие безопасности помещаются в резервное хранилище (выбрана соответствующая настройка). Можно ли их оттуда сразу добавлять в исключения? И второй вопрос вытекающий из предыдущего - есть ли возможность посмотреть хранилище через KSC? Нашёл статью как смотреть через KES https://support.kaspersky.com/KESWin/11.1.1/ru-RU/128133.htm .

Ссылка на сообщение
Поделиться на другие сайты

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

Спойлер

982979130_.thumb.png.be40efd5b3514e52a634849e7719b053.png

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, ElvinE5 сказал:

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

  Скрыть контент

982979130_.thumb.png.be40efd5b3514e52a634849e7719b053.png

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

Вы нравитесь мне всё больше и больше

 

Объект не восстанавливается, пробовал писать путь C:\Windows\KMS\bin\*
C:\Windows\KMS\**\*

 

image.thumb.png.6a4d1f546f131a720cbf0cb3f2f102d8.png

image.png.36e1d643ea0aaa2ba4c40dc27f3cbb12.png

 

исключения

image.png.47f2359ac3f20b95cc5cca453e085d79.png
 

image.png

image.png

Ссылка на сообщение
Поделиться на другие сайты

А зачем путь писать? Там 2 варианта. Либо восстановить файл в исходное место, либо сохранить себе на диск, например C:\Danger!!!

Изменено пользователем Goddeimos13
Ссылка на сообщение
Поделиться на другие сайты

Происходит следующее: файл находится в карантине, после восстановления обратно обнаруживается как вредоносный, после этого обратно помещается в карантин. По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, SnakeEyes сказал:

По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

Если трогает, значит исключение не работает.

Добавьте ваш бинарник в доверенные приложения.

image.png.04fe0833e41c60d78d6207d85e30561a.png

Ссылка на сообщение
Поделиться на другие сайты

image.png.a393a56aa293695a2dba6e8720af9daa.png

 

До конца не могу понять, чем отличаются тогда исключения от доверенных приложений?
И в чём разница добавления исключений по хэшу или типу угрозы?
Я вижу это так, что хэш это именно все про конкретный файл разрешает, путь это про папку, классификатор - по типу угрозы. 
Тогда вопрос вот какой, если указаны все три пункта - достаточно для разрешения соблюдать один из них или все три. Далее, чем отличаются исключения и доверенные приложения? 
 

Почему первый путь работает, а тот который на сервер - работает

image.thumb.png.b814e2616e4f9b97ebfbc7f95e6ae27c.png

Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, SnakeEyes сказал:

Далее, чем отличаются исключения и доверенные приложения? 

Я бы рекомендовал ознакомиться https://support.kaspersky.com/help/KESWin/11.11.0/ru-RU/178487.htm

Там всё достаточно подробно описано.

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Goddeimos13 сказал:

Я бы рекомендовал ознакомиться https://support.kaspersky.com/help/KESWin/11.11.0/ru-RU/178487.htm

Там всё достаточно подробно описано.

Ну я же не такой дурак чтоб сюда лезть преждевременно. Мы прочитали с коллегами, попробовали различные вариации перед тем как задавать вопросы тут.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • izme
      От izme
      Добрый день, коллеги!
      Имеется группа линукс хостов в размере 200 штук. Периодически (раз в 1-2 дня) некоторые хосты переходят в статус "Защита выключена". За неделю праздников из 200 штук 35 перешли в данный статус.
      При входе на хост службы kesl и klnagent в статусе running, без ошибок, но на KSC - "Защита выключена".
      Проблема решается входом на конечный хост и перезапуском службы klnagent.
      С чем это может быть связано и куда копать?
    • Rgn
      От Rgn
      Здравствуйте, подскажите в чем может заключатся ошибка?
      Установил новую версию KES 12.4, но в политиках отображается 12.3

      подскажите с решением данной проблемы
    • Совух белобокий
      От Совух белобокий
      Добрый день, господа!
      Имеем развёрнутый Kaspersky Security Center 14.2.20222 на Windows Server 2016, лицензионный ключ для продукта "Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 25-49 Node 1 year Renewal Download Licence - Лицензия" на 27 ПК, но почему-то на последний добавленный ПК не "прилетает" лиц. ключ, может быть потому, что все 27 лицензии уже использованы? Как тогда удалить ключ с одного из ПК (или это нужно делать с удалением самого KES на этом ПК?) чтобы освободилась лицензия для последнего ПК?
      Заранее благодарю за ответы!
    • kylekyle
      От kylekyle
      Здравствуйте! Потребовалось обновить очень старую английскую версию KSC (12). Новые дистрибутивы - на русском. По гайду нужно просто забэкапировать старую версию и запустить установщик новой, про соответствие локализации не упоминается. Бэкап утилитой klbackup сделан успешно. Однако дальше установщик ругается на язык. 
       
      Что тут делать? Удалять старый KSC штатными средствами ОС, ставить 13.2 (или можно сразу 14.2?) и разворачивать бэкап? Английский бэкап взлетит на русской версии?
      Русские агенты администрирования поверх английских тоже не встанут?
       

    • dsa
      От dsa
      Добрый день!
      Подскажите пожалуйста, в результате чего на сервере KSC создается следующее информационное сообщение:
      Аудит (модификация объектов)
      Важность: Информационное событие
      Программа: Сервер администрирования
      Устройство: Сервер администрирования
      Группа: Группа устройства, на котором добавлена задача
      Описание: "Активные угрозы": пользователь "DOMAIN\Admin_account" добавил задачу "Проверить" для объектов на устройстве "Имя устройства".
       
      Администратор не добавлял никаких задач. Как произошло событие? Что за задача "Проверить"?
×
×
  • Создать...