Перейти к содержанию

Настройка "Защиты паролем" в политике KSC 14.0


Рекомендуемые сообщения

Добрый день. Как правильно добавлять локального/внутреннего пользователя для предоставления пользователю права на внесение изменений в правила исключений?

Пробовал создавать внутреннего пользователя так и локального. Назначал им на уровне сервера права на добавление исключений  в политику, а также в самой политике пробовал давать права на настройку приложений и просмотр отчетов.  

В самой политике получилось добавить только локального пользователя.

Кроме пользователя по умолчанию еще добавить встроенного пользователя можно?

Снимок.JPG

Безымянны.jpg

Снимок2.JPG

Ссылка на комментарий
Поделиться на другие сайты

День добрый.

можно добавить пользователей домена или группы, однако для решения вашего вопроса это не требуется, наверно ... если я конечно правильно понимаю, то то что вы хотите сделать - работать не будет.

 

14 часов назад, Mihail_ сказал:

для предоставления пользователю права на внесение изменений в правила исключений

насколько я понял, вы хотите дать право пользователю отключит защиту, внести изменения в исключения, и включить защиту. Однако если вы работаете под политикой то после включения защиты политика примерится вновь и удалит все изменения внесенные пользователем.

 

есть другой способ - Локальные исключения.

вам необходимо включить вот эти пункты (соответственно для того что вы хотите разрешить)

Спойлер

1179858795_.thumb.png.a68839ac0d4860a9f8c7f17064954219.png2064634937_.thumb.png.643b891cf62936385f970919a9df4758.png

 

 

тогда у пользователя, без каких либо доп.действий будет доступно редактирование этих пунктов ... причем глобальные исключения будут к нему так же применяться.

Спойлер

1162154513_.thumb.png.77bdc2d800169e33eaf2d642818c8232.png

 

Соответственно пользователю должен быть доступен интерфейс

Спойлер

1523839740_.thumb.png.a6341cc50097c778badd32f21ab13a4e.png

 

 

Однако !!!

использование подобного функционала может нести риски ... так как пользователи могут туда добавлять чего только захотят .... и администратор это ни как не увидит в консоли KSC.

разрешайте подобное только конкретным устройствам или группам устройств (отдел разработки например) - выпилив их в отдельную группу со своей политикой или настроив профиль политики для них

Ссылка на комментарий
Поделиться на другие сайты

Поддерживаю предыдущего оратора, проще дать возможность человеку отключить защиту на время, чем разрешать вносить самому изменения. 
Так же это можно организовать через доп центр администрирования, который будет управлять политикой только тех компьютеров (например как пример выше - отдела разработки), а вы всегда сможете подключиться к этому центру администрирования и проверить какие кнопки они там накнопкали

 

Изменено пользователем SnakeEyes
Ссылка на комментарий
Поделиться на другие сайты

Тогда возникает вопрос, какие права необходимо предоставить пользователю, чтоб он имел доступ только к устройствам которые относятся к определенной группе и редактировать/создавать политику на эту группу. У меня получается подключиться под созданной учетной записью - если она добавлена в корень всего сервера, а не только в группу с ПК

  

133.JPG

11.JPG

121.JPG

Ссылка на комментарий
Поделиться на другие сайты

По поводу прав и ролей лучше ознакомитесь с материалами справки - https://support.kaspersky.com/KSC/14/ru-RU/89264.htm

по сути вам надо минимальные права на подключению к серверу, и полные на ту группу где лежат ваши устройства, но по моему вы усложняете ...

 

Ссылка на комментарий
Поделиться на другие сайты

Это вы даёте своему пользователю редактировать всё что отметили. Чтобы человек мог редактировать политику - нужно дать ему доступ к политике, а вы даёте доступ к kes. Т.е. если вы на компьютере зайдёте под данным пользователем, то вам не нужно будет вводить пароль касперского (если такой задали) для отключения политики и компонентов программы. Я консерваториев Касперского не заканчивал, но я вижу одно решение: добавить в отдельную группу компьютеры, которые вы хотите позволить редактировать и поставить их под управление другого сервера администрирования (создать заранее), чтобы вы могли иметь туда доступ, а ломать смогли бы пользователи только ту политику, которая распространяется на них. 
Я бы рекомендовал поиграться с этими настройками image.thumb.png.87f43a46599977201a2842f6213e2ab9.pngПравило АД тут просто так нажато.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Получилось выдать минимальные права пользователю на редактирование политики. Всем спасибо.

Изменено пользователем Mihail_
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • mamruc
      Автор mamruc
      Доброго!
      На рабочих станция с установленным KES 11.8.0.384 и 12.3.0.493 накатанаполитика контроля устройств (съемные диски - запрещать) см. скрины.
      Все работало прекрасно, но в определенный момент обнаружилось, что съемные диски работают!!! Политика применяется - все хорошо.
      Если зайти локально на рабочую станцию через KSC , что в политике вместо запрета стоит в зависимости от шины подключения см. скрин 4.  Если ручками поменять - все работает. 
      Кто сталкивался?  И почему это могло произойти...
      KSC 14





    • Олег Андрианов
      Автор Олег Андрианов
      Добрый день!
      Уже вторую неделю бьюсь с  настройкой связки KSC и KES под Astra Linux. Основная проблема обновление баз с KSC - оно отказывается идти.
      Есть изолированная сеть с  ~20 компьютеров. Домена, DNS, интернета - нет. На одном из компьютеров (работает под Astra Linux Воронеж) установлены две сетевые карты.  Одна смотрит внутрь этой сети, другая имеет доступ в интернет. На этом же компьютере установлен KSC. Задача - получать обновления из интернета и распространять их на компьютеры  (тоже работают под ASTRA Linux внутри изолированной сети.
      Все настройки проверены и перепроверены многократно. Коннект с агентами есть. Данные сервер с рабочих станций получает. Обновление не идёт.
      Внутри этой сети есть старый комп с Windows 10 и  KES. Переключил агента на KSC под Astra Linux - обновления пошли
      На компьютере где установлен KSC также установлен KES и также отказывается обновляться.
      На всех АРМ стоит ASTRA Linux 1.7 в версии Воронеж.
      Готов предоставить любые дополнительные данные.
      Не понимаю в какую сторону смотреть.

       
    • infobez_bez
      Автор infobez_bez
      Здравствуйте!

      Я настраиваю политику карантина для устройств под управлением Windows в KSC. При переносе устройства в эту политику у него должна блокироваться вся сетевая активность, кроме связи с сервером администрирования.

      Проблема:
      -В политике для Linux есть опция «Всегда добавлять разрешающее правило для портов агента администрирования», но в политике для Windows такой настройки нет.
      -Я пробовал добавлять сервер администрирования в доверенные узлы, но при этом разрешались и другие локальные службы, а нужно, чтобы работала только связь с KSC.
      -Также пытался вручную прописать правила в сетевом экране для портов агента (например, 13000, 14000 TCP/UDP), но это не сработало — устройство теряло связь с сервером.

      Вопрос:
      Как правильно настроить политику карантина для Windows, чтобы:
      -Устройство имело доступ только к серверу администрирования KSC.
      -Все остальные сетевые соединения (включая локальные службы) блокировались.
      -Устройство могло получать обновления политик (например, при выходе из карантина).
      -Нужна ли дополнительная настройка сетевого экрана или есть скрытые параметры, аналогичные функционалу для Linux?

      KSC 14.2
    • ZOLkinA
      Автор ZOLkinA
      Друзья, выручайте!
      имеется три политики (1,2,3).и две группы управляемых устройств (1,2)
      Все три активны. Все три НЕ имеют наследия.
      1 политика -для автономных АРМ.
      2 политика -для группы 2
      3 политика -для группы 3
      Вопрос: Как сделать что бы изменения вносимые по контролю устройств в политику 1,автоматически передавались в политику 2 и 3?
       
       
    • S_S_S
      Автор S_S_S
      Подскажите. 
      Немогу понять что делаю не так. Хотя все по вашему мануалу 
      Допустим хочу ограничть всю сетевую активность Punto Switcher. Предварительно провожу инвентаризацию, что бы kasper собрал экзешники. Потом я их нахожу и добавляю в нужную группу. 
      Сохраняю, политика распространяется на машину. И ничего не меняется. 
      На скрине слева настройки каспера на машине, справа соответсвенно настройка политики.

      И второй вопрос. На скрине punto.exe я уже переместил в другую группу почему при поиске он кажет что они в trusted группе?
       
      Если запрещать трафик на клиенте в настройках каспера то работает. Но зачем тогда KSC нужен..
      KES 12.2.0.462
      KSC 14.2.0.26967
       

×
×
  • Создать...