Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Предотвращение вторжений и сетевой экран

Белкин Сергей

Автор Белкин Сергей
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

Белкин Сергей

Белкин Сергей

Опубликовано
Опубликовано

Доброго дня всем. Попробовал своими силами, не удалось. До запроса в ТП решил тут спросить, у более опытных и знающих продукт. Система KSC 14.2.0.26967 установлена на Windows Server 2012R2 (ВМ), на клиентах KES 12.4.0.467. Управление системой ведётся из MMC консоли с админской машины. Kaspersky для нас система новая, вынужденно пересели с Eset Endpoint.

В фокусе настройка связанных модулей "Предотвращение вторжений" и "Сетевой экран". Первоначальная сортировка приложений отработала, и нужные сотрудникам программы попали в группу "Слабые ограничения", в связи с чем остановились службы и вообще работа у людей встала. Для нас это не было сюрпризом и люди были предупреждены, что мы сначала соберём данные, а потом централизованно настроим список доверенных приложений в указанных модулях. KSN отключена, не используем и не собираемся. Согласно документации от 13 февраля 2024 г. (https://support.kaspersky.com/KESWin/12.4/ru-RU/123280.htm), я иду настраивать политику нужной мне группы. Политика не дефолтная, наследование отключено. Выбираю модуль "Предотвращение вторжений" в блоке Продвинутая защита, жму настройка, добавить. Ввожу маску * и жму обновить. Приложения не появляются. Меняю маску на ? - тоже самое. В поле производитель пробую вводить и маски, и вендоров - ничего не меняется. Тоже самое в модуле сетевой экран. Т.е. централизованно сортировать нечего.

Снимаю в политике замки и иду в настройки модулей в интерфейсе самого KES, а там всё видно. Можно перетаскивать приложения из одной группы в другую и настраивать сетевую активность. Хотел посмотреть как дела в web-консоли, но даже до настройки не добрался, т.к. вебка сообщает об отсутствии поддержки для указанной версии. Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен. Может я что-то ещё упустил в этом адском комбайне? Например, один момент остался непонятым где это и как. На приложенном скриншоте момент обозначил синим цветом. Пока временно оба модуля пришлось отключить, сотрудники работу возобновили. Но это же не решение проблемы.

2024-04-04_11-18-01.png

ElvinE5

ElvinE5

Опубликовано
Опубликовано (изменено)

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Так же эти сведения можно собрать задачей "Инвентаризация", но это отдельный случай и не стоит это делать на всем парке устройств, "Контроль приложений" рано или поздно соберет все сведения обо всех приложениях которые запускаются в вашей сети.

 

 

4 часа назад, Белкин Сергей сказал:

Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен.

Все верно, сведения из реестра соберет Агент администрирования, соответственно из реестра программ на ПК ... однако он не соберет сведения об исполняемых файлах (для этих программ) ... которые вам нужны

 

4 часа назад, Белкин Сергей сказал:

KSN отключена, не используем и не собираемся

Предотвращение вторжений очень плотно работает с KSN, в частности получения сведений о репутации приложений

так же KSN сильно облегчает жизнь и другим компонентам (Веб-контроль, Веб-защита, защита почты итд) за счет сведений о "грязных" и "чистых" файлах или сайтах ... например

по этому я бы рекомендовал еще раз изучить этот вопрос и взвесить все за и против.

Изменено пользователем ElvinE5
  • Like (+1) 1
Белкин Сергей

Белкин Сергей

Опубликовано
  • Автор
Опубликовано
41 минуту назад, ElvinE5 сказал:

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Спасибо большое за ответ. Включил контроль в тестовой политике, закрыл замок, буду ждать выхлоп. И потом здесь отпишусь.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • andrey1206
      KES12 считает приложение MacroscopClient вирусом
      Автор andrey1206
      Добрый день!
      KES12 считает приложение MacroscopClient вирусом, удаляет или завершает его.
      Лог события с сервера:
       
      Тип события: Процесс завершен
      Название: MacroscopClient.exe
      Путь к приложению: C:\Users\petrickiy\AppData\Local\Programs\Macroscop Client
      ID процесса: 1556
      Пользователь: CLOVER\petrickiy (Инициатор)
      Компонент: Анализ поведения
      Описание результата: Завершен
      Тип: Троянское приложение
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Точно
      Точность: Высокая
      Тип объекта: Процесс
      Путь к объекту: C:\Users\petrickiy\AppData\Local\Programs\Macroscop Client
      Название объекта: MacroscopClient.exe
      SHA256: 5D7B942F4FC5909B8428414FF5040EB81DF63036C5B14142B69A2D71AF65BB0F
      MD5: 34B6B6B17A05C814036EE25CD8B88A91
       
      В компонентах "Анализ поведения" и "Антивирусная защита" настраивал исключения, не помогает.
      В сети организации при этом около 30 ПК с этим приложением и KES12 , пожаловались пока двое.
       
      Что можете подсказать ?
    • Rezored
      Закрытие уязвимостей в изолированной сети
      Автор Rezored
      Здравствуйте. Сделал по инструкции изолированный сервер https://support.kaspersky.com/KSC/14.2/ru-ru/230777.htm , но список уязвимостей формирует .bin файлы 0 длины, подскажите как можно это исправить или где посмотреть логи ошибок?
    • Олег Андрианов
      Организация и настройка работы связки KSC и KES под Astra Linux
      Автор Олег Андрианов
      Добрый день!
      Уже вторую неделю бьюсь с  настройкой связки KSC и KES под Astra Linux. Основная проблема обновление баз с KSC - оно отказывается идти.
      Есть изолированная сеть с  ~20 компьютеров. Домена, DNS, интернета - нет. На одном из компьютеров (работает под Astra Linux Воронеж) установлены две сетевые карты.  Одна смотрит внутрь этой сети, другая имеет доступ в интернет. На этом же компьютере установлен KSC. Задача - получать обновления из интернета и распространять их на компьютеры  (тоже работают под ASTRA Linux внутри изолированной сети.
      Все настройки проверены и перепроверены многократно. Коннект с агентами есть. Данные сервер с рабочих станций получает. Обновление не идёт.
      Внутри этой сети есть старый комп с Windows 10 и  KES. Переключил агента на KSC под Astra Linux - обновления пошли
      На компьютере где установлен KSC также установлен KES и также отказывается обновляться.
      На всех АРМ стоит ASTRA Linux 1.7 в версии Воронеж.
      Готов предоставить любые дополнительные данные.
      Не понимаю в какую сторону смотреть.

       
    • S_S_S
      Не применяется политика firewall для приложения
      Автор S_S_S
      Подскажите. 
      Немогу понять что делаю не так. Хотя все по вашему мануалу 
      Допустим хочу ограничть всю сетевую активность Punto Switcher. Предварительно провожу инвентаризацию, что бы kasper собрал экзешники. Потом я их нахожу и добавляю в нужную группу. 
      Сохраняю, политика распространяется на машину. И ничего не меняется. 
      На скрине слева настройки каспера на машине, справа соответсвенно настройка политики.

      И второй вопрос. На скрине punto.exe я уже переместил в другую группу почему при поиске он кажет что они в trusted группе?
       
      Если запрещать трафик на клиенте в настройках каспера то работает. Но зачем тогда KSC нужен..
      KES 12.2.0.462
      KSC 14.2.0.26967
       

    • sfunlimit
      KSC - Доверенные процессы: Кнопка "Добавить" не активна
      Автор sfunlimit
      Добрый день, 
      Есть политика, Kaspersky Security Center для Windows Server - Вкладка "Дополнительные возможности" - Пункт "Доверенная зона" - во вкладке "Доверенные процессы" кнопка "добавить" не активна. В то же время, кнопка "добавить" во вкладке "Исключения" активна.
       
      В чем может быть проблема?


       
×
×
  • Создать...