Перейти к содержанию

Предотвращение вторжений и сетевой экран

Белкин Сергей

Автор Белкин Сергей
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

Белкин Сергей

Белкин Сергей

Опубликовано
Опубликовано

Доброго дня всем. Попробовал своими силами, не удалось. До запроса в ТП решил тут спросить, у более опытных и знающих продукт. Система KSC 14.2.0.26967 установлена на Windows Server 2012R2 (ВМ), на клиентах KES 12.4.0.467. Управление системой ведётся из MMC консоли с админской машины. Kaspersky для нас система новая, вынужденно пересели с Eset Endpoint.

В фокусе настройка связанных модулей "Предотвращение вторжений" и "Сетевой экран". Первоначальная сортировка приложений отработала, и нужные сотрудникам программы попали в группу "Слабые ограничения", в связи с чем остановились службы и вообще работа у людей встала. Для нас это не было сюрпризом и люди были предупреждены, что мы сначала соберём данные, а потом централизованно настроим список доверенных приложений в указанных модулях. KSN отключена, не используем и не собираемся. Согласно документации от 13 февраля 2024 г. (https://support.kaspersky.com/KESWin/12.4/ru-RU/123280.htm), я иду настраивать политику нужной мне группы. Политика не дефолтная, наследование отключено. Выбираю модуль "Предотвращение вторжений" в блоке Продвинутая защита, жму настройка, добавить. Ввожу маску * и жму обновить. Приложения не появляются. Меняю маску на ? - тоже самое. В поле производитель пробую вводить и маски, и вендоров - ничего не меняется. Тоже самое в модуле сетевой экран. Т.е. централизованно сортировать нечего.

Снимаю в политике замки и иду в настройки модулей в интерфейсе самого KES, а там всё видно. Можно перетаскивать приложения из одной группы в другую и настраивать сетевую активность. Хотел посмотреть как дела в web-консоли, но даже до настройки не добрался, т.к. вебка сообщает об отсутствии поддержки для указанной версии. Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен. Может я что-то ещё упустил в этом адском комбайне? Например, один момент остался непонятым где это и как. На приложенном скриншоте момент обозначил синим цветом. Пока временно оба модуля пришлось отключить, сотрудники работу возобновили. Но это же не решение проблемы.

2024-04-04_11-18-01.png

ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Так же эти сведения можно собрать задачей "Инвентаризация", но это отдельный случай и не стоит это делать на всем парке устройств, "Контроль приложений" рано или поздно соберет все сведения обо всех приложениях которые запускаются в вашей сети.

 

 

4 часа назад, Белкин Сергей сказал:

Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен.

Все верно, сведения из реестра соберет Агент администрирования, соответственно из реестра программ на ПК ... однако он не соберет сведения об исполняемых файлах (для этих программ) ... которые вам нужны

 

4 часа назад, Белкин Сергей сказал:

KSN отключена, не используем и не собираемся

Предотвращение вторжений очень плотно работает с KSN, в частности получения сведений о репутации приложений

так же KSN сильно облегчает жизнь и другим компонентам (Веб-контроль, Веб-защита, защита почты итд) за счет сведений о "грязных" и "чистых" файлах или сайтах ... например

по этому я бы рекомендовал еще раз изучить этот вопрос и взвесить все за и против.

Изменено пользователем ElvinE5
  • Like (+1) 1
Белкин Сергей

Белкин Сергей

Опубликовано
  • Автор
Опубликовано
41 минуту назад, ElvinE5 сказал:

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Спасибо большое за ответ. Включил контроль в тестовой политике, закрыл замок, буду ждать выхлоп. И потом здесь отпишусь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Salieri
      Вторжения + торможения + заметное падение fps
      Автор Salieri
      Приветсвую, скачивал много доп. по на игру гта 5, попал на вирусы, система тормозит ужасно, фпс упал в 3 раза, вирусы есть в системе еще до этого - но не пользовался устройством,  сейчас решил все почистить, попрошу помочь
      timer resolution + cru + boosterx мои приложения + archive fix FRST.txtAddition.txtCollectionLog-2025.08.06-15.38.zip логи +фрст ниже
    • Эдуард180220379
      Синий экран
      Автор Эдуард180220379
      Ищу помощи специалиста.
      Чистил ноутбук в этом разделе. После простоя ноутбук сейчас при включении выдал синие экраны.
      И не могу обновить приложение, ночью не мог и сейчас не могу.
      Вчера обновил видео драйвер, поставил бесплатный касперский и все, запустил после всего запрет. Он выдавал not-a-virus:HEUR:RiskTool.Multi.WinDivert.gen я его разрешил. 
    • imperiose
      Нет доступа к сети у пользователей при работе сетевого экрана
      Автор imperiose
      Добрый день. В политике на KSC настроены правила на сетевом экране, самым последним размещается блокировка трафика, выше есть правила на доступ вх/исх трафик и в локальных адресах прописаны пулы адресов локальных сегментов.
      При включении пк, клиент не успевает получить адрес по dhcp, т.к сетевой экран блокирует все подключения.
      Подскажите, как избежать этого или какое правило нужно прописывать, что бы не блокировался весь трафик внутри сети еще до момента получения ip.

    • Сергей1202
      [РЕШЕНО] После обновлений виндовс экран стал черным
      Автор Сергей1202
      Вчера рабочий стол после перезагрузки стал черным но все значки остались, что делать я не знал и попробовал восстановить систему из точки восстановления, часа 4 или больше система востановлмвалась. После восстановления экран все также был черным, значки браузеров хром и Яндекс не реагировали. Сегодня переустановил Яндекс, скачал по новому хром-  в течении 10-15 минут шла инициализация Хром. Хотел бы узнать в чем причина неожижанного действия. И еще каждый раз когда открываю Хром, открывается окошко с - Что нового в 1ClickVPN.
       zip-архив с собранными логами - CollectionLog приложил
      CollectionLog-2025.08.12-10.28.zip
    • kringil
      [РЕШЕНО] ошибка 0xc0000017 после трояна, так-же появлялись какие-то сетевые диски
      Автор kringil
      После заражения трояном Trojan.PWS.Salat.10 (судя по всему, антивирус именно его выдал как вирус) и во время его существования появляются сетевые диски, которые сами подключились к компьютеру, сетевые диски и троян я удалил, но спустя пару дней после удаления трояна не получается открыть редактор реестра и уводят аккаунт телеграмм (после захода в аккаунт был бан у Spam Info Bot до 30 июня за спам и все сеансы завершены, двухфакторка стоит на всех аккаунтах). При попытке открыть редактор реестра выводит ошибку 0xc0000017 (Другие системные приложения тоже не открываются)CollectionLog-2025.06.30-17.26.zip


×
×
  • Создать...