Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Предотвращение вторжений и сетевой экран

Белкин Сергей

Автор Белкин Сергей
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

Белкин Сергей

Белкин Сергей

Опубликовано
Опубликовано

Доброго дня всем. Попробовал своими силами, не удалось. До запроса в ТП решил тут спросить, у более опытных и знающих продукт. Система KSC 14.2.0.26967 установлена на Windows Server 2012R2 (ВМ), на клиентах KES 12.4.0.467. Управление системой ведётся из MMC консоли с админской машины. Kaspersky для нас система новая, вынужденно пересели с Eset Endpoint.

В фокусе настройка связанных модулей "Предотвращение вторжений" и "Сетевой экран". Первоначальная сортировка приложений отработала, и нужные сотрудникам программы попали в группу "Слабые ограничения", в связи с чем остановились службы и вообще работа у людей встала. Для нас это не было сюрпризом и люди были предупреждены, что мы сначала соберём данные, а потом централизованно настроим список доверенных приложений в указанных модулях. KSN отключена, не используем и не собираемся. Согласно документации от 13 февраля 2024 г. (https://support.kaspersky.com/KESWin/12.4/ru-RU/123280.htm), я иду настраивать политику нужной мне группы. Политика не дефолтная, наследование отключено. Выбираю модуль "Предотвращение вторжений" в блоке Продвинутая защита, жму настройка, добавить. Ввожу маску * и жму обновить. Приложения не появляются. Меняю маску на ? - тоже самое. В поле производитель пробую вводить и маски, и вендоров - ничего не меняется. Тоже самое в модуле сетевой экран. Т.е. централизованно сортировать нечего.

Снимаю в политике замки и иду в настройки модулей в интерфейсе самого KES, а там всё видно. Можно перетаскивать приложения из одной группы в другую и настраивать сетевую активность. Хотел посмотреть как дела в web-консоли, но даже до настройки не добрался, т.к. вебка сообщает об отсутствии поддержки для указанной версии. Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен. Может я что-то ещё упустил в этом адском комбайне? Например, один момент остался непонятым где это и как. На приложенном скриншоте момент обозначил синим цветом. Пока временно оба модуля пришлось отключить, сотрудники работу возобновили. Но это же не решение проблемы.

2024-04-04_11-18-01.png

Ссылка на комментарий
Поделиться на другие сайты
ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Так же эти сведения можно собрать задачей "Инвентаризация", но это отдельный случай и не стоит это делать на всем парке устройств, "Контроль приложений" рано или поздно соберет все сведения обо всех приложениях которые запускаются в вашей сети.

 

 

4 часа назад, Белкин Сергей сказал:

Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен.

Все верно, сведения из реестра соберет Агент администрирования, соответственно из реестра программ на ПК ... однако он не соберет сведения об исполняемых файлах (для этих программ) ... которые вам нужны

 

4 часа назад, Белкин Сергей сказал:

KSN отключена, не используем и не собираемся

Предотвращение вторжений очень плотно работает с KSN, в частности получения сведений о репутации приложений

так же KSN сильно облегчает жизнь и другим компонентам (Веб-контроль, Веб-защита, защита почты итд) за счет сведений о "грязных" и "чистых" файлах или сайтах ... например

по этому я бы рекомендовал еще раз изучить этот вопрос и взвесить все за и против.

Изменено пользователем ElvinE5
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Белкин Сергей

Белкин Сергей

Опубликовано
  • Автор
Опубликовано
41 минуту назад, ElvinE5 сказал:

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Спасибо большое за ответ. Включил контроль в тестовой политике, закрыл замок, буду ждать выхлоп. И потом здесь отпишусь.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Salieri
      Вторжения + торможения + заметное падение fps
      Автор Salieri
      Приветсвую, скачивал много доп. по на игру гта 5, попал на вирусы, система тормозит ужасно, фпс упал в 3 раза, вирусы есть в системе еще до этого - но не пользовался устройством,  сейчас решил все почистить, попрошу помочь
      timer resolution + cru + boosterx мои приложения + archive fix FRST.txtAddition.txtCollectionLog-2025.08.06-15.38.zip логи +фрст ниже
    • imperiose
      Нет доступа к сети у пользователей при работе сетевого экрана
      Автор imperiose
      Добрый день. В политике на KSC настроены правила на сетевом экране, самым последним размещается блокировка трафика, выше есть правила на доступ вх/исх трафик и в локальных адресах прописаны пулы адресов локальных сегментов.
      При включении пк, клиент не успевает получить адрес по dhcp, т.к сетевой экран блокирует все подключения.
      Подскажите, как избежать этого или какое правило нужно прописывать, что бы не блокировался весь трафик внутри сети еще до момента получения ip.

    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • kringil
      [РЕШЕНО] ошибка 0xc0000017 после трояна, так-же появлялись какие-то сетевые диски
      Автор kringil
      После заражения трояном Trojan.PWS.Salat.10 (судя по всему, антивирус именно его выдал как вирус) и во время его существования появляются сетевые диски, которые сами подключились к компьютеру, сетевые диски и троян я удалил, но спустя пару дней после удаления трояна не получается открыть редактор реестра и уводят аккаунт телеграмм (после захода в аккаунт был бан у Spam Info Bot до 30 июня за спам и все сеансы завершены, двухфакторка стоит на всех аккаунтах). При попытке открыть редактор реестра выводит ошибку 0xc0000017 (Другие системные приложения тоже не открываются)CollectionLog-2025.06.30-17.26.zip


    • mihasikpro
      После перезагрузки синий экран 0xc0000017
      Автор mihasikpro
      Восстанавливается загрузкой последней удачной конфигурации.
      При попытке воти любым сетевым пользователем - черный экран, не возможно запустить taskmng, explorer, прочее.
      Отключение от сети, вход локальным пользователем помогает.
       
      CollectionLog-2025.05.08-13.58.zip
       
      KVRT - без результата (
×
×
  • Создать...