Перейти к содержанию

Не блокируется приложение через политику - контроль приложений


Рекомендуемые сообщения

Здравствуйте.

 

Стоит задача блокировки всех приложений, предоставляющих возможность управления извне через интернет, в частности, программа Anydesk. 

Столкнулся с проблемой невозможности заблокировать запуск скачанного exe средствами контроля приложений в политике через Endpoint Security на предприятии.

 

По инструкции - создаю категорию программ, или вручную, или из "Исполняемые файлы", критерий по сертификату, по имени файла, по описанию программы, перепробовал любые варианты. В политике - добавляю категорию, режим - список запрещённых, запретить всем пользователям. Жму применить и проверяю результат применения политики. Программа запускается. Принтскрин с настройками прилагаю.

 

Я пробовал и другие exe, не Anydesk. То есть, механизм не работает в принципе. Раньше  всё-таки это работало несколько лет, с какого-то момента - блокировка снялась и программы стали запускаться. Проблема и на старых компьютерах и на свеженастроенных.  Может это как-то на типе лицензии завязано, подскажите, что можно сделать.

 

Конфигурация: сервер KSC 14.1 (стоял 11 - специально обновил до 14.1) Клиент - Windows 11 23H2 (на Windows 7 тоже пропускает запуск), KES 12.4.0.467, агент администрирования KES 14.2.0.26967 

2024-04-07_10-02-18.png

Ссылка на комментарий
Поделиться на другие сайты

Попробуйте использовать KL категорию "программы удаленного доступа" - по моему как то так называется.

дело в том что выбранные вами критерии могут не срабатываться так как не будут уникальными для разный файлов ... название может не совпадать с тем что в выбранном критерии ... итд

 

использование ручной настройки хорошо работает только с конкретным объектом (конкретный файл версия по производитель итд), при это если производитель обновит версию (например) то это правила уже работать не будет

так как у вас большая группа ПО - проще использовать KL категории, и не так будет нагружать систему (описано в рекомендациях) 

к тому же проверите настройки KSN ... через него компонент получает обновление определений и категорий ...

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, ElvinE5 сказал:

Попробуйте использовать KL категорию "программы удаленного доступа" - по моему как то так называется.

дело в том что выбранные вами критерии могут не срабатываться так как не будут уникальными для разный файлов ... название может не совпадать с тем что в выбранном критерии ... итд

 

использование ручной настройки хорошо работает только с конкретным объектом (конкретный файл версия по производитель итд), при это если производитель обновит версию (например) то это правила уже работать не будет

так как у вас большая группа ПО - проще использовать KL категории, и не так будет нагружать систему (описано в рекомендациях) 

к тому же проверите настройки KSN ... через него компонент получает обновление определений и категорий ...

Доходит до смешного, я хочу заблокировать, к примеру, программу составления диаграммы занятости диска, по названию scanner.exe даже не блокируется. Да мне ужа пусть там хоть нагружено, хоть нет, хоть как-то чтобы заработало, мне начальник отдела ставил задачу по которой я отчитывался, и за доступом мы строго следили, а сейчас блокировка слетела и это для меня катастрофа, хоть бери и ставь стороннее приложение по контролю запуска. 

За KSN я слежу и все клиенты подключены, иначе это высокий уровень опасности, тревога, конец света. Вплоть до переустановки антивируса - лишь бы KSN работал, поэтому это точно не причина. 

Ссылка на комментарий
Поделиться на другие сайты

Уверены, что политики применяются? Может политики не синхронизируются?

Локально на машине получается заблокировать утилиту?

Рассматриваете вариант использования "белого" списка:
для 12 версии: https://support.kaspersky.com/KESWin/12.4/ru-RU/165718.htm ? 

Для 11 версии: https://support.kaspersky.com/KESWin/11/ru-RU/128036.htm

Ссылка на комментарий
Поделиться на другие сайты

19 часов назад, Алексей 1978 сказал:

программу составления диаграммы занятости диска, по названию scanner.exe даже не блокируется.

Блокировка по названию это плохой вариант, получите метеоданные из файла и посмотрите какой у нее ТАМ название ... они могут не совпадать с именем файла.

используйте более точные парапеты, хэши например.

 

ну и перепроверите что у вас все работает ... политики применяются к хостам ... итд.

Ссылка на комментарий
Поделиться на другие сайты

Есть новая информация. что я наэкспериментировал. Создал в общем я новую группу компьютеров, новую политику, новое правило, и о чудо - всё заработало. Сначала белый список отработал - разблокировка, потом чёрный список. Потом я просто решил перекинуть свой компьютер в общую группу обратно, где сотни две компьютеров, и знаете, что получилось? Даже не смотря на то, что я в основной политике меняю правила блокировки и система отчитывается, что всё применила, у меня осталась блокировка от тестовой политики, потому что когда я запускаю энидеск на своём тестовом компьютере, он мне пишет название правила, по которому он блокирует программу и она осталось от тестовой политики. То есть, основная политика никак не обновляет в мозгах антивируса правила блокировки приложений. Я конечно немного удивлён, что это так работает, но теперь хотя бы мне понятно, что можно будет сделать, тестовую политику переименую в "основная-2", закину туда все компы.  Скорее всего это какой-то баг от бесконечной конвертации политики плагинами от версий Ендпоинта, уже раз восемь наверно обновлялся, и всякий раз политика модифицируется. Ну в общем то вопрос исчерпан пока. 

Изменено пользователем Алексей 1978
Ссылка на комментарий
Поделиться на другие сайты

14 минут назад, Алексей 1978 сказал:

Скорее всего это какой-то баг от бесконечной конвертации политики плагинами от версий

Возможно, но не забывайте что политика обновляется НЕ МОМЕНТАЛЬНО ... а только после того как агент свяжется с сервером и поймет что ее надо обновить. А потом начнет ее менять ... и на это требуется время ...

Ссылка на комментарий
Поделиться на другие сайты

38 минут назад, Алексей 1978 сказал:

бесконечной конвертации политики плагинами от версий

Да, где-то на форуме читал что лучше не конвертировать очень  старые политики, а создавать новую политику. Так как часто политика от старой версии конвертируется/применяется "криво".

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...
07.04.2024 в 14:15, Алексей 1978 сказал:

Здравствуйте.

 

Стоит задача блокировки всех приложений, предоставляющих возможность управления извне через интернет, в частности, программа Anydesk. 

Столкнулся с проблемой невозможности заблокировать запуск скачанного exe средствами контроля приложений в политике через Endpoint Security на предприятии.

 

По инструкции - создаю категорию программ, или вручную, или из "Исполняемые файлы", критерий по сертификату, по имени файла, по описанию программы, перепробовал любые варианты. В политике - добавляю категорию, режим - список запрещённых, запретить всем пользователям. Жму применить и проверяю результат применения политики. Программа запускается. Принтскрин с настройками прилагаю.

 

Я пробовал и другие exe, не Anydesk. То есть, механизм не работает в принципе. Раньше  всё-таки это работало несколько лет, с какого-то момента - блокировка снялась и программы стали запускаться. Проблема и на старых компьютерах и на свеженастроенных.  Может это как-то на типе лицензии завязано, подскажите, что можно сделать.

 

Конфигурация: сервер KSC 14.1 (стоял 11 - специально обновил до 14.1) Клиент - Windows 11 23H2 (на Windows 7 тоже пропускает запуск), KES 12.4.0.467, агент администрирования KES 14.2.0.26967 

2024-04-07_10-02-18.png

 

Приветствую!

По-моему проще закрыть замочек, не?

1517815612_.thumb.png.d09475f5d3e809f3ade8a93889ca9f9a.png

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ГГеоргий
      От ГГеоргий
      Добрый день!
      подскажите пожалуйста, как лучше реализовать следующий функционал - 
      Нам немобходимо чтобы создался перечень определенных приложений на армах в группах, и было разрешено открывать-запускать исключительно эти приложения.

      Проблемы с которыми мы столкнулись6
      На Linux можно создать Golden Image для этого, а в виндовой версии такого нет.
      При экспорте перечня программ из реестра приложений мы получаем csv или txt файлы, в то время как компонент "контроль приложений" принимает на импорт только xml.
      Вручную добавлять программы не вариант, тк их может быть очень много
      Через задачу "формирования правил контроля запуска программ" это тоже делается с трудом, тк там можно выбрать из уже запущенных программ, и из отчетов KSC, нам же необходимо скопом закинуть туда перечень
      И кроме того при формировании правил контроля запуска программ  в блоке "по завершении задачи" есть пункт "Экспортировать разрешающие правила в файл." Там необходимо указать полный путь к файлу xml (для экспорта) но как бы мы не указывали - получаем ошибку неверный путь. Подскажите что можно сделать? 
    • Erhogg
      От Erhogg
      Здравствуйте, столкнулся с проблемой: клиент V2Ray, vless nekoray не работает, если включен контроль портов. А именно 443 порта. Что делать? Добавление программы в исключения и в доверенные приложения не помогает. Помогает только исключение 443 порта из контроля. Но тогда же весь защищенный трафик не будет контролироваться и тогда какой толк от антивируса? 
    • ZOLkinA
      От ZOLkinA
      Друзья, выручайте!
      имеется три политики (1,2,3).и две группы управляемых устройств (1,2)
      Все три активны. Все три НЕ имеют наследия.
      1 политика -для автономных АРМ.
      2 политика -для группы 2
      3 политика -для группы 3
      Вопрос: Как сделать что бы изменения вносимые по контролю устройств в политику 1,автоматически передавались в политику 2 и 3?
       
       
    • ska79
      От ska79
      Хочу удалить phone master со смартфона, если это сделаю исчезнет пункт управление автозапуском из настроек т.к. андроид 13 go. Более нигде в настройках пункт автозапуск не обнаружил.
      Какие приложения менеджеры автозапуска существуют? критерии не требовало для себя лишних разрешений, не "стучало" в сеть
    • maks_b
      От maks_b
      Добрый день.
      Настраиваю блокировку доступа к сайтам, сделал тестовое правило для блокировки доступа к сайту, например к ok.ru. Сайт блокируется все норм, но при включении этого правила перестает соединяться через SSL Network Extender. И любое правило запрета доступа через веб-контроль блокирует соединение через SSL Network Extender. Ошибка на скрине. Если правило отключить, то все работает. Подскажите, как исправить?
      Версия Каспера KES 12.6., KSC тоже последней версии.


×
×
  • Создать...