Перейти к содержанию

Kaspersky Security Center. Настройка политик безопасности. Исключения


Рекомендуемые сообщения

Не нашёл грамотной информации о добавлении исключений в политику KES (контроль приложений). Рекомендуется добавлять метаданные, хэши, маски. Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений, если работает правило разрешённых, исключения используются как запрет или нет? (в таком случае они не имеют смысла, т.к. все кроме доверенных будут автоматически запрещены).
Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.
image.thumb.png.5180cbe27d5d9762c0c6c11c53423658.pngimage.thumb.png.e641818fa11c60cf74c03f2a21cf4bc9.pngimage.thumb.png.cd1d5d43cc46593e5d1ab7dd0a6ee059.pngimage.thumb.png.8b7608ef083bb9202df45ecad0cbe3ad.pngimage.thumb.png.6355f43b69e2d61af0e6b697cb077323.png

image.png

Ссылка на сообщение
Поделиться на другие сайты

Вопрос непростой ... и рубить тут с греча не стоит ...

вот тут справка на тему - https://support.kaspersky.com/KESWin/11.11.0/ru-RU/129102.htm

 

 

35 минут назад, SnakeEyes сказал:

Не ясно как работают правила, если выбрано правило разрешённых - работает ли правило запрещённых приложений

Работает только один режим - Разрешенный ИЛИ Запрещенный, переключая вкладку вы меняете принцип работы компонента целиком.

однако в любом из режимов вы можете создавать как запрещающие так и разрешающие правила, они будут работать одновременно ... ЗАПРЕТ имеет более высокий приоритет

например : вы создали два одинаковых правила для двух групп пользователей в одно разрешили в другой запретили запуск 7zip (утрируя моменты) - но в обе группы попал пользователь Иванов, запуск ему будет запрещен.

 

Каждый из режимов используется для определенных целей например

1. Запрещенный - мы хотим запретить только некоторые приложения ... и например некоторым пользователям, или разрешить только некоторым какой-то спец софт, но остальным запретить.

2. Разрешенный - это классический Default deny ... запрещено все ...что вы не опишите правилами.

 

35 минут назад, SnakeEyes сказал:

если работает правило разрешённых, исключения используются как запрет или нет?

Да, понятно становится когда работает с группами (KL категориями), например в разрешенном режиме - вы хотите развешивать запуск всех броузеров, всех кроме Google Chrom

 

 

35 минут назад, SnakeEyes сказал:

Меня интересует где мне посмотреть конкретные данные файла чтобы KES его не трогал и не ругался.

в общих свойствах исполняемых файлов

Спойлер

421170635_.thumb.png.b76ac27c99635db16916abb5b3632816.png

  или провалившись в свойства ...

Спойлер

2112385954_.thumb.png.e5c64754bb771dc6cface9905d5870b1.png1064692273_.thumb.png.30d9aa227290d7e6407160cd7c23a7f1.png

 

 

эта темы обсуждается в третей главе курса KL 002.11.6 ... наверно моя любимая глава.

опишите задачу что стоит перед вами я попробую помочь вам выбрать оптимальный вариант :) надеюсь

Изменено пользователем ElvinE5
Ссылка на сообщение
Поделиться на другие сайты

Мне необходимо добавить KMS в исключения групповой политики. Я понимаю это так, что если это ПО по учмолчанию распознаётся как шпионская программа, то мне нужно использовать вкладку запрещено всё кроме, либо есть альтернатива сделать через запрещённые? Далее. Я добавлял файл через Хэш SHA256, через MD5. Единственное что изменилось - Каспер перестал его кушать, но запустить не разрешает. По пути файла добавлять не вариант, т.к на разных компьютерах он может находиться в разных путях.

Ссылка на сообщение
Поделиться на другие сайты

нет, этот компонент, Контроль приложений, не поможет для данного случая ... это не его работа

Контроль приложений - позволяет ограничить возможности пользователя запускать всякое на своем устройстве ... тем самым уменьшить "вектор атаки"

 

вам нужно просто добавить его в исключения тут ... но я бы не советовал ...

Спойлер

1466614100_.thumb.png.90c09f1a71985851fa7e576bb7cef70a.png

если есть хэш суммы ... и настройте компоненты которые НЕ должны на него реагировать

Спойлер

2100093865_.thumb.png.71a4b79ca3b71238efebaa17dffcc14e.png

 

можно еще на основе детектируемого объекта ...но это по моему еще большая "шляпа" так как все кто будет так детектироваться попадут в исключения.

Спойлер

84802462_.thumb.png.6c7e89c775d16ccbf35db7cb9ac614bb.png

 

 

можно все же по маске ... но с условием

Спойлер

956050484_.thumb.png.296b31a1f9fd6099cd7f398176c1de80.png

 

 

но я бы не советовал ...

Изменено пользователем ElvinE5
Ссылка на сообщение
Поделиться на другие сайты

Спасибо, буду пробовать. Тогда к классификации есть нюансы, я видел вирусную энциклопедию, но там не понятно как происходит добавление, допустим я ставлю метку HackTool в исключения. Получается все угрозы, определившиеся как HackTool попадают в исключение?

 

Ссылка на сообщение
Поделиться на другие сайты

В продолжение данной темы, есть ещё один вопрос. Файлы, угрожающие безопасности помещаются в резервное хранилище (выбрана соответствующая настройка). Можно ли их оттуда сразу добавлять в исключения? И второй вопрос вытекающий из предыдущего - есть ли возможность посмотреть хранилище через KSC? Нашёл статью как смотреть через KES https://support.kaspersky.com/KESWin/11.1.1/ru-RU/128133.htm .

Ссылка на сообщение
Поделиться на другие сайты

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

Спойлер

982979130_.thumb.png.be40efd5b3514e52a634849e7719b053.png

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, ElvinE5 сказал:

посмотреть тут ... все три закладки ... "Активные угрозы", "Резервное хранилище", "Карантин"

  Скрыть контент

982979130_.thumb.png.be40efd5b3514e52a634849e7719b053.png

 

и ответы на ваши вопросы ... НЕТ и НЕТ

нет волшебной конки в один клик создать исключения

Вы нравитесь мне всё больше и больше

 

Объект не восстанавливается, пробовал писать путь C:\Windows\KMS\bin\*
C:\Windows\KMS\**\*

 

image.thumb.png.6a4d1f546f131a720cbf0cb3f2f102d8.png

image.png.36e1d643ea0aaa2ba4c40dc27f3cbb12.png

 

исключения

image.png.47f2359ac3f20b95cc5cca453e085d79.png
 

image.png

image.png

Ссылка на сообщение
Поделиться на другие сайты

А зачем путь писать? Там 2 варианта. Либо восстановить файл в исходное место, либо сохранить себе на диск, например C:\Danger!!!

Изменено пользователем Goddeimos13
Ссылка на сообщение
Поделиться на другие сайты

Происходит следующее: файл находится в карантине, после восстановления обратно обнаруживается как вредоносный, после этого обратно помещается в карантин. По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, SnakeEyes сказал:

По логике вещей путь исключений прописан как нужно, чтобы файл не трогало. Но его трогает

Если трогает, значит исключение не работает.

Добавьте ваш бинарник в доверенные приложения.

image.png.04fe0833e41c60d78d6207d85e30561a.png

Ссылка на сообщение
Поделиться на другие сайты

image.png.a393a56aa293695a2dba6e8720af9daa.png

 

До конца не могу понять, чем отличаются тогда исключения от доверенных приложений?
И в чём разница добавления исключений по хэшу или типу угрозы?
Я вижу это так, что хэш это именно все про конкретный файл разрешает, путь это про папку, классификатор - по типу угрозы. 
Тогда вопрос вот какой, если указаны все три пункта - достаточно для разрешения соблюдать один из них или все три. Далее, чем отличаются исключения и доверенные приложения? 
 

Почему первый путь работает, а тот который на сервер - работает

image.thumb.png.b814e2616e4f9b97ebfbc7f95e6ae27c.png

Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, SnakeEyes сказал:

Далее, чем отличаются исключения и доверенные приложения? 

Я бы рекомендовал ознакомиться https://support.kaspersky.com/help/KESWin/11.11.0/ru-RU/178487.htm

Там всё достаточно подробно описано.

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Goddeimos13 сказал:

Я бы рекомендовал ознакомиться https://support.kaspersky.com/help/KESWin/11.11.0/ru-RU/178487.htm

Там всё достаточно подробно описано.

Ну я же не такой дурак чтоб сюда лезть преждевременно. Мы прочитали с коллегами, попробовали различные вариации перед тем как задавать вопросы тут.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • dsa
      От dsa
      Добрый день!
      Подскажите пожалуйста, в результате чего на сервере KSC создается следующее информационное сообщение:
      Аудит (модификация объектов)
      Важность: Информационное событие
      Программа: Сервер администрирования
      Устройство: Сервер администрирования
      Группа: Группа устройства, на котором добавлена задача
      Описание: "Активные угрозы": пользователь "DOMAIN\Admin_account" добавил задачу "Проверить" для объектов на устройстве "Имя устройства".
       
      Администратор не добавлял никаких задач. Как произошло событие? Что за задача "Проверить"?
    • Juger
      От Juger
      Здравствуйте! Подскажите, как настроить в kaspersky security center, чтобы уведомления приходили на эл.почту? Уведомления в духе: «Сотрудник подключил к пк недоверенное устройство»
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • Pardus335
      От Pardus335
      Добрый день!
      А как узнать, применился ли профиль политики или нет?
    • Rgn
      От Rgn
      Добрый день, подскажите, как Ksc заблокировать usb накопители, чтобы ksc не блокировал токены и переходники lan кабелей 
    • Ser_S
      От Ser_S
      Здравствуйте, надо закрыть доступ к сайтам, решил проверить на ютубе, ввожу в веб контроле youtube.com, запрет для всех устройств в любое время(применить). Проверяю в браузере, не срабатывает,  в инете пишется, что для этого надо поставить проверку защищенных соединений, в разделе Контроль сетевого трафика, но у меня KSC  14.2.0.26967, всё на английском, не могу найти этот раздел, вроде как должно быть слово control, где этот раздел и пункт находится.
      Вроде бы The Encrypted Connections Scan, но там галочка стоИт, но всё равно открывает сайт youtube.com, как его надо запретить, для примера
      Чёрт проверял на устройстве, которое не под этой политикой, спасибо, всё нормально срабатывает
×
×
  • Создать...