Перейти к содержанию

Kaspersky Security Center. Настройка политик безопасности. Исключения


Рекомендуемые сообщения

Не нашёл грамотной информации о добавлении исключений в политику KES (контроль приложений). Рекомендуется добавлять метаданные, хэши, маски. Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений, если работает правило разрешённых, исключения используются как запрет или нет? (в таком случае они не имеют смысла, т.к. все кроме доверенных будут автоматически запрещены).
Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.
image.thumb.png.5180cbe27d5d9762c0c6c11c53423658.pngimage.thumb.png.e641818fa11c60cf74c03f2a21cf4bc9.pngimage.thumb.png.cd1d5d43cc46593e5d1ab7dd0a6ee059.pngimage.thumb.png.8b7608ef083bb9202df45ecad0cbe3ad.pngimage.thumb.png.6355f43b69e2d61af0e6b697cb077323.png

image.png

Ссылка на комментарий
Поделиться на другие сайты

Вопрос непростой ... и рубить тут с греча не стоит ...

вот тут справка на тему - https://support.kaspersky.com/KESWin/11.11.0/ru-RU/129102.htm

 

 

35 минут назад, SnakeEyes сказал:

Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений

Работает только один режим - Разрешенный ИЛИ Запрещенный, переключая вкладку вы меняете принцип работы компонента целиком.

однако в любом из режимов вы можете создавать как запрещающие так и разрешающие правила, они будут работать одновременно ... ЗАПРЕТ имеет более высокий приоритет

например : вы создали два одинаковых правила для двух групп пользователей в одно разрешили в другой запретили запуск 7zip (утрируя моменты) - но в обе группы попал пользователь Иванов, запуск ему будет запрещен.

 

Каждый из режимов используется для определенных целей например

1. Запрещенный - мы хотим запретить только некоторые приложения ... и например некоторым пользователям, или разрешить только некоторым какой-то спец софт, но остальным запретить.

2. Разрешенный - это классический Default deny ... запрещено все ...что вы не опишите правилами.

 

35 минут назад, SnakeEyes сказал:

если работает правило разрешённых, исключения используются как запрет или нет?

Да, понятно становится когда работает с группами (KL категориями), например в разрешенном режиме - вы хотите развешивать запуск всех броузеров, всех кроме Google Chrom

 

 

35 минут назад, SnakeEyes сказал:

Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.

в общих свойствах исполняемых файлов

Спойлер

421170635_.thumb.png.b76ac27c99635db16916abb5b3632816.png

  или провалившись в свойства ...

Спойлер

2112385954_.thumb.png.e5c64754bb771dc6cface9905d5870b1.png1064692273_.thumb.png.30d9aa227290d7e6407160cd7c23a7f1.png

 

 

эта темы обсуждается в третей главе курса KL 002.11.6 ... наверно моя любимая глава.

опишите задачу что стоит перед вами я попробую помочь вам выбрать оптимальный вариант :) надеюсь

Изменено пользователем ElvinE5
Ссылка на комментарий
Поделиться на другие сайты

Мне необходимо добавить KMS в исключения групповой политики. Я понимаю это так, что если это ПО по учмолчанию распознаётся как шпионская программа, то мне нужно использовать вкладку запрещено всё кроме, либо есть альтернатива сделать через запрещённые? Далее. Я добавлял файл через Хэш SHA256, через MD5. Единственное что изменилось - Каспер перестал его кушать, но запустить не разрешает. По пути файла добавлять не вариант, т.к на разных компьютерах он может находиться в разных путях.

Ссылка на комментарий
Поделиться на другие сайты

нет, этот компонент, Контроль приложений, не поможет для данного случая ... это не его работа

Контроль приложений - позволяет ограничить возможности пользователя запускать всякое на своем устройстве ... тем самым уменьшить "вектор атаки"

 

вам нужно просто добавить его в исключения тут ... но я бы не советовал ...

Спойлер

1466614100_.thumb.png.90c09f1a71985851fa7e576bb7cef70a.png

если есть хэш суммы ... и настройте компоненты которые НЕ должны на него реагировать

Спойлер

2100093865_.thumb.png.71a4b79ca3b71238efebaa17dffcc14e.png

 

можно еще на основе детектируемого объекта ...но это по моему еще большая "шляпа" так как все кто будет так детектироваться попадут в исключения.

Спойлер

84802462_.thumb.png.6c7e89c775d16ccbf35db7cb9ac614bb.png

 

 

можно все же по маске ... но с условием

Спойлер

956050484_.thumb.png.296b31a1f9fd6099cd7f398176c1de80.png

 

 

но я бы не советовал ...

Изменено пользователем ElvinE5
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Спасибо, буду пробовать. Тогда к классификации есть нюансы, я видел вирусную энциклопедию, но там не понятно как происходит добавление, допустим я ставлю метку HackTool в исключения. Получается все угрозы, определившиеся как HackTool попадают в исключение?

 

Ссылка на комментарий
Поделиться на другие сайты

В продолжение данной темы, есть ещё один вопрос. Файлы, угрожающие безопасности помещаются в резервное хранилище (выбрана соответствующая настройка). Можно ли их оттуда сразу добавлять в исключения? И второй вопрос вытекающий из предыдущего - есть ли возможность посмотреть хранилище через KSC? Нашёл статью как смотреть через KES https://support.kaspersky.com/KESWin/11.1.1/ru-RU/128133.htm .

Ссылка на комментарий
Поделиться на другие сайты

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

Спойлер

982979130_.thumb.png.be40efd5b3514e52a634849e7719b053.png

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, ElvinE5 сказал:

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

  Скрыть контент

982979130_.thumb.png.be40efd5b3514e52a634849e7719b053.png

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

Вы нравитесь мне всё больше и больше

 

Объект не восстанавливается, пробовал писать путь C:\Windows\KMS\bin\*
C:\Windows\KMS\**\*

 

image.thumb.png.6a4d1f546f131a720cbf0cb3f2f102d8.png

image.png.36e1d643ea0aaa2ba4c40dc27f3cbb12.png

 

исключения

image.png.47f2359ac3f20b95cc5cca453e085d79.png
 

image.png

image.png

Ссылка на комментарий
Поделиться на другие сайты

А зачем путь писать? Там 2 варианта. Либо восстановить файл в исходное место, либо сохранить себе на диск, например C:\Danger!!!

Изменено пользователем Goddeimos13
Ссылка на комментарий
Поделиться на другие сайты

Происходит следующее: файл находится в карантине, после восстановления обратно обнаруживается как вредоносный, после этого обратно помещается в карантин. По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, SnakeEyes сказал:

По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

Если трогает, значит исключение не работает.

Добавьте ваш бинарник в доверенные приложения.

image.png.04fe0833e41c60d78d6207d85e30561a.png

Ссылка на комментарий
Поделиться на другие сайты

image.png.a393a56aa293695a2dba6e8720af9daa.png

 

До конца не могу понять, чем отличаются тогда исключения от доверенных приложений?
И в чём разница добавления исключений по хэшу или типу угрозы?
Я вижу это так, что хэш это именно все про конкретный файл разрешает, путь это про папку, классификатор - по типу угрозы. 
Тогда вопрос вот какой, если указаны все три пункта - достаточно для разрешения соблюдать один из них или все три. Далее, чем отличаются исключения и доверенные приложения? 
 

Почему первый путь работает, а тот который на сервер - работает

image.thumb.png.b814e2616e4f9b97ebfbc7f95e6ae27c.png

Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, SnakeEyes сказал:

Далее, чем отличаются исключения и доверенные приложения? 

Я бы рекомендовал ознакомиться https://support.kaspersky.com/help/KESWin/11.11.0/ru-RU/178487.htm

Там всё достаточно подробно описано.

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, Goddeimos13 сказал:

Я бы рекомендовал ознакомиться https://support.kaspersky.com/help/KESWin/11.11.0/ru-RU/178487.htm

Там всё достаточно подробно описано.

Ну я же не такой дурак чтоб сюда лезть преждевременно. Мы прочитали с коллегами, попробовали различные вариации перед тем как задавать вопросы тут.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • krv_brs
      От krv_brs
      Ошибка времени выполнения: Database error occurred: #1950 (9420) Generic db error: "9420 'XML parsing: line 1, character 2037, illegal xml character{42000};' LastStatement='batch_xmlinsert'"
      Информация об ошибке: 1950/9420 (Generic db error: "9420 'XML parsing: line 1, character 2037, illegal xml character{42000};' LastStatement='batch_xmlinsert'"), c:\a\c\g_n97mv7nc\r\product\osmp\ksc\dev\server\db\ado\db_adoprepstmtimpl.cpp, 408.
       
      Как бороться с этой ошибкой?
      Базу очищал.
    • A.Glukhov
      От A.Glukhov
      Приветствую, уважаемые коллеги! Сервер, на котором работал Kaspersky Security Center 14 - "упал" и к превеликому сожалению его бэкапы вместе с ним... Пришлось осуществлять чистую установку Kaspersky Security Center с последующей его настройкой. Но вот не задача: на этапе опроса нераспределенных устройств выяснилось, что все ранее установленные на рабочих станциях агенты администрирования - не видны (со статусом агент не установлен)! Подключившись к удаленной машине, где установлен агент, в логах наткнулся на ошибку: "Произошла ошибка транспортного уровня при соединении с http://*******:13000: не прошла аутентификация SSL, неверный или просроченный сертификат". Данная ошибка натолкнула на мысль, что все сертификаты, которые до "падения" находились в Kaspersky Security Center и распространялись с инсталляционными пакетами на удаленные машины -  теперь не действительны для нового KSС и наоборот. 
       
      Собственно сам вопрос: существует ли способ подкидывания нового сертификата на рабочие станции, на которых установлены сертификаты со старого Kaspersky Security Center? Или, проще говоря, как сделать, чтобы старые агенты администрирования стали видны в новом Kaspersky Security Center?
    • Lotte
      От Lotte
      Добрый день!
       
      Хотел уточнить, как сделать инвентаризацию оборудования через KES, у нас KES Версии: 14.2.0.26967
       
      почитал здесь, что https://support.kaspersky.com/KSC/14/ru-RU/63679.htm в списке оборудования (Хранилища → Оборудование) нужно выбрать.
       
      У нас нет, пока такой вкладки оборудование, как её сделать?
      Добавил диопазон ip адресов с рабочими станциями отсканировал, обнаружил пк но они не отображаются на вкладке хранилища - оборудование.
       

       
       
    • Ammorf
      От Ammorf
      OS - Windows Server 2012, установлены .NET Framework 3.5 и 4.8
      KSC - 14.2.0.26967

      При попытке выгрузки отчета в формате pdf возникает ошибка "Не удалось создать отчет. Unspecified error".
      Ошибка возникает только при попытке выгрузки на самом сервере, если делать через консоль на обычной win 10 машине - все ок.
      Однако из-за того, что он не может делать это на сервере - он так же не может их отправлять по почте или класть в папку в соответствии с расписанием. 
      В логах "Kaspersky Event log", "Kaspersky Security" и системных логах не создается ничего при воспроизведении такой ошибки.
      Правка реестра (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\CodePage) со сменой локализации не помогает, к тому же изначально была установлена правильная  1251.
      .NET Framework 3.5 и 4.8 - установлен

    • Олег Андрианов
      От Олег Андрианов
      Возможно ли подключение к  Kaspersky Security Center Linux 15 из консоли администрирования под Windows?
      Есть информация, что это волне возможно, но служба поддержки упроно это отрицает. Может кому то это удалось сделать?
×
×
  • Создать...