Перейти к содержанию

Предотвращение вторжений и сетевой экран

Белкин Сергей

От Белкин Сергей
в Помощь по корпоративным продуктам

 Share

Рекомендуемые сообщения

Белкин Сергей Новичок

Белкин Сергей

Опубликовано
Опубликовано

Доброго дня всем. Попробовал своими силами, не удалось. До запроса в ТП решил тут спросить, у более опытных и знающих продукт. Система KSC 14.2.0.26967 установлена на Windows Server 2012R2 (ВМ), на клиентах KES 12.4.0.467. Управление системой ведётся из MMC консоли с админской машины. Kaspersky для нас система новая, вынужденно пересели с Eset Endpoint.

В фокусе настройка связанных модулей "Предотвращение вторжений" и "Сетевой экран". Первоначальная сортировка приложений отработала, и нужные сотрудникам программы попали в группу "Слабые ограничения", в связи с чем остановились службы и вообще работа у людей встала. Для нас это не было сюрпризом и люди были предупреждены, что мы сначала соберём данные, а потом централизованно настроим список доверенных приложений в указанных модулях. KSN отключена, не используем и не собираемся. Согласно документации от 13 февраля 2024 г. (https://support.kaspersky.com/KESWin/12.4/ru-RU/123280.htm), я иду настраивать политику нужной мне группы. Политика не дефолтная, наследование отключено. Выбираю модуль "Предотвращение вторжений" в блоке Продвинутая защита, жму настройка, добавить. Ввожу маску * и жму обновить. Приложения не появляются. Меняю маску на ? - тоже самое. В поле производитель пробую вводить и маски, и вендоров - ничего не меняется. Тоже самое в модуле сетевой экран. Т.е. централизованно сортировать нечего.

Снимаю в политике замки и иду в настройки модулей в интерфейсе самого KES, а там всё видно. Можно перетаскивать приложения из одной группы в другую и настраивать сетевую активность. Хотел посмотреть как дела в web-консоли, но даже до настройки не добрался, т.к. вебка сообщает об отсутствии поддержки для указанной версии. Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен. Может я что-то ещё упустил в этом адском комбайне? Например, один момент остался непонятым где это и как. На приложенном скриншоте момент обозначил синим цветом. Пока временно оба модуля пришлось отключить, сотрудники работу возобновили. Но это же не решение проблемы.

2024-04-04_11-18-01.png

Ссылка на комментарий
Поделиться на другие сайты
ElvinE5 Опытный

ElvinE5

Опубликовано
Опубликовано (изменено)

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Так же эти сведения можно собрать задачей "Инвентаризация", но это отдельный случай и не стоит это делать на всем парке устройств, "Контроль приложений" рано или поздно соберет все сведения обо всех приложениях которые запускаются в вашей сети.

 

 

4 часа назад, Белкин Сергей сказал:

Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен.

Все верно, сведения из реестра соберет Агент администрирования, соответственно из реестра программ на ПК ... однако он не соберет сведения об исполняемых файлах (для этих программ) ... которые вам нужны

 

4 часа назад, Белкин Сергей сказал:

KSN отключена, не используем и не собираемся

Предотвращение вторжений очень плотно работает с KSN, в частности получения сведений о репутации приложений

так же KSN сильно облегчает жизнь и другим компонентам (Веб-контроль, Веб-защита, защита почты итд) за счет сведений о "грязных" и "чистых" файлах или сайтах ... например

по этому я бы рекомендовал еще раз изучить этот вопрос и взвесить все за и против.

Изменено пользователем ElvinE5
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Белкин Сергей Новичок

Белкин Сергей

Опубликовано
  • Автор
Опубликовано
41 минуту назад, ElvinE5 сказал:

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Спасибо большое за ответ. Включил контроль в тестовой политике, закрыл замок, буду ждать выхлоп. И потом здесь отпишусь.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • website9527633
      Политика сетевого экрана в KSWS
      От website9527633
      Добрый день! Как можно закрыть доступ RDP всем по сети, открыть доступ только определенным айпи адресам в KSWS?
      По политикам настроил KES и все работает четко, да и настройки понятны в KES политиках, захожу в политики KSWS непонятно как блокировать и разрешать некоторым? Можете подсказать или шаблон скрин настройки в KSWS?
      В пункт зашел уже network activity control, а дальше вижу rules, но в нем как прописать запрет и разрешение непонятно
    • Good2000
      Черный экран после безопасного режима
      От Good2000
      Мне нужно было зайти в безопасное систему для удаления файла в итоге после того как я зашел в безопасный режим и перезагрузил ПК win 11 монитор стал черным и не включается.Но сам по себе компьютер работает я  доставал провода и включал выключал монитор все четно.Поэтому не понимаю что произошло и как это пофиксить(
    • Дмитрий999
      Безопасно ли отключать Сетевой экран?
      От Дмитрий999
      Безопасно ли отключить Сетевой экран( я так понимаю это брандмауэр) на время единоразового обновление программы,  в то же время не выходить ни на какие сайты и больше никак не пользоваться сетью?
           Конкретно причина в том, что программа Microsoft Edge выдаёт такое сообщение: "Произошла ошибка при поиске обновлений: Не удалось подключиться к Интернету. Если вы используете брандмауэр, разрешите использование списка MicrosoftEdgeUpdate.exe. (код ошибки 7: 0x80072F7D -- system level)."
          Я добавил исключения для двух файлов c именем MicrosoftEdgeUpdate.exe. Не помогает, тот же результат - тоже сообщение.
          Возможно написать по подробней о возможных опасностях  при отключении Сетевого экрана.
       
    • Aleksandr.
      Предотвращение вторжений: Блокировка Микрофона и Веб-Камеры
      От Aleksandr.
      Здравствуйте! 
      Возник вопрос касаемо функций блокировки микрофона и веб-камеры в KES 12.5. 
      В Компании часто проводятся собеседования и совещания "Онлайн" через веб-приложения "Контур Толк", "Zoom" и прочее, через различные браузеры. 
      Как можно разрешить доступ к микрофону и веб-камеры  только в этих приложениях(сайтах) через браузеры, но чтобы на всех остальных сайтах доступ к микрофону был заблокирован через браузеры ?
      Если добавлять браузеры в доверительные приложения или исключения, то KES дает доступ к микрофону ко всем ресурсам, через браузер. Заранее Благодарю.
    • MadMess
      Черный экран после входа в безопасный режим
      От MadMess
      Хотел очистить ПК от вирусов, посмотрел видео в ютубе как очистить вирусы, нужно было зайти в безопасный режим через msconfig. Я перезагрузил ПК чтобы зайти в безопасный режим но вместо этого черный экран. Перезагрузил по кнопке, все равно тот же черный экран. Что делать? Комп и монитор работают
×
×
  • Создать...