Не блокируется приложение через политику - контроль приложений

[Алексей 1978]

Здравствуйте.

 

Стоит задача блокировки всех приложений, предоставляющих возможность управления извне через интернет, в частности, программа Anydesk. 

Столкнулся с проблемой невозможности заблокировать запуск скачанного exe средствами контроля приложений в политике через Endpoint Security на предприятии.

 

По инструкции - создаю категорию программ, или вручную, или из "Исполняемые файлы", критерий по сертификату, по имени файла, по описанию программы, перепробовал любые варианты. В политике - добавляю категорию, режим - список запрещённых, запретить всем пользователям. Жму применить и проверяю результат применения политики. Программа запускается. Принтскрин с настройками прилагаю.

 

Я пробовал и другие exe, не Anydesk. То есть, механизм не работает в принципе. Раньше  всё-таки это работало несколько лет, с какого-то момента - блокировка снялась и программы стали запускаться. Проблема и на старых компьютерах и на свеженастроенных.  Может это как-то на типе лицензии завязано, подскажите, что можно сделать.

 

Конфигурация: сервер KSC 14.1 (стоял 11 - специально обновил до 14.1) Клиент - Windows 11 23H2 (на Windows 7 тоже пропускает запуск), KES 12.4.0.467, агент администрирования KES 14.2.0.26967 

[ElvinE5]

Попробуйте использовать KL категорию "программы удаленного доступа" - по моему как то так называется.

дело в том что выбранные вами критерии могут не срабатываться так как не будут уникальными для разный файлов ... название может не совпадать с тем что в выбранном критерии ... итд

 

использование ручной настройки хорошо работает только с конкретным объектом (конкретный файл версия по производитель итд), при это если производитель обновит версию (например) то это правила уже работать не будет

так как у вас большая группа ПО - проще использовать KL категории, и не так будет нагружать систему (описано в рекомендациях) 

к тому же проверите настройки KSN ... через него компонент получает обновление определений и категорий ...

[Алексей 1978]

7 часов назад, ElvinE5 сказал:

Попробуйте использовать KL категорию "программы удаленного доступа" - по моему как то так называется.

дело в том что выбранные вами критерии могут не срабатываться так как не будут уникальными для разный файлов ... название может не совпадать с тем что в выбранном критерии ... итд

 

использование ручной настройки хорошо работает только с конкретным объектом (конкретный файл версия по производитель итд), при это если производитель обновит версию (например) то это правила уже работать не будет

так как у вас большая группа ПО - проще использовать KL категории, и не так будет нагружать систему (описано в рекомендациях) 

к тому же проверите настройки KSN ... через него компонент получает обновление определений и категорий ...

Доходит до смешного, я хочу заблокировать, к примеру, программу составления диаграммы занятости диска, по названию scanner.exe даже не блокируется. Да мне ужа пусть там хоть нагружено, хоть нет, хоть как-то чтобы заработало, мне начальник отдела ставил задачу по которой я отчитывался, и за доступом мы строго следили, а сейчас блокировка слетела и это для меня катастрофа, хоть бери и ставь стороннее приложение по контролю запуска. 

За KSN я слежу и все клиенты подключены, иначе это высокий уровень опасности, тревога, конец света. Вплоть до переустановки антивируса - лишь бы KSN работал, поэтому это точно не причина. 

[Friend]

Уверены, что политики применяются? Может политики не синхронизируются?

Локально на машине получается заблокировать утилиту?

Рассматриваете вариант использования "белого" списка:
для 12 версии: https://support.kaspersky.com/KESWin/12.4/ru-RU/165718.htm ? 

Для 11 версии: https://support.kaspersky.com/KESWin/11/ru-RU/128036.htm

[ElvinE5]

19 часов назад, Алексей 1978 сказал:

программу составления диаграммы занятости диска, по названию scanner.exe даже не блокируется.

Блокировка по названию это плохой вариант, получите метеоданные из файла и посмотрите какой у нее ТАМ название ... они могут не совпадать с именем файла.

используйте более точные парапеты, хэши например.

 

ну и перепроверите что у вас все работает ... политики применяются к хостам ... итд.

[Алексей 1978]

Есть новая информация. что я наэкспериментировал. Создал в общем я новую группу компьютеров, новую политику, новое правило, и о чудо - всё заработало. Сначала белый список отработал - разблокировка, потом чёрный список. Потом я просто решил перекинуть свой компьютер в общую группу обратно, где сотни две компьютеров, и знаете, что получилось? Даже не смотря на то, что я в основной политике меняю правила блокировки и система отчитывается, что всё применила, у меня осталась блокировка от тестовой политики, потому что когда я запускаю энидеск на своём тестовом компьютере, он мне пишет название правила, по которому он блокирует программу и она осталось от тестовой политики. То есть, основная политика никак не обновляет в мозгах антивируса правила блокировки приложений. Я конечно немного удивлён, что это так работает, но теперь хотя бы мне понятно, что можно будет сделать, тестовую политику переименую в "основная-2", закину туда все компы.  Скорее всего это какой-то баг от бесконечной конвертации политики плагинами от версий Ендпоинта, уже раз восемь наверно обновлялся, и всякий раз политика модифицируется. Ну в общем то вопрос исчерпан пока. 

Изменено 9 апреля, 2024 пользователем Алексей 1978

[ElvinE5]

14 минут назад, Алексей 1978 сказал:

Скорее всего это какой-то баг от бесконечной конвертации политики плагинами от версий

Возможно, но не забывайте что политика обновляется НЕ МОМЕНТАЛЬНО ... а только после того как агент свяжется с сервером и поймет что ее надо обновить. А потом начнет ее менять ... и на это требуется время ...

[Friend]

38 минут назад, Алексей 1978 сказал:

бесконечной конвертации политики плагинами от версий

Да, где-то на форуме читал что лучше не конвертировать очень  старые политики, а создавать новую политику. Так как часто политика от старой версии конвертируется/применяется "криво".

[Goddeimos13]

07.04.2024 в 14:15, Алексей 1978 сказал:

Здравствуйте.

 

Стоит задача блокировки всех приложений, предоставляющих возможность управления извне через интернет, в частности, программа Anydesk. 

Столкнулся с проблемой невозможности заблокировать запуск скачанного exe средствами контроля приложений в политике через Endpoint Security на предприятии.

 

По инструкции - создаю категорию программ, или вручную, или из "Исполняемые файлы", критерий по сертификату, по имени файла, по описанию программы, перепробовал любые варианты. В политике - добавляю категорию, режим - список запрещённых, запретить всем пользователям. Жму применить и проверяю результат применения политики. Программа запускается. Принтскрин с настройками прилагаю.

 

Я пробовал и другие exe, не Anydesk. То есть, механизм не работает в принципе. Раньше  всё-таки это работало несколько лет, с какого-то момента - блокировка снялась и программы стали запускаться. Проблема и на старых компьютерах и на свеженастроенных.  Может это как-то на типе лицензии завязано, подскажите, что можно сделать.

 

Конфигурация: сервер KSC 14.1 (стоял 11 - специально обновил до 14.1) Клиент - Windows 11 23H2 (на Windows 7 тоже пропускает запуск), KES 12.4.0.467, агент администрирования KES 14.2.0.26967 

 

Приветствую!

По-моему проще закрыть замочек, не?