Перейти к содержанию

Не блокируется приложение через политику - контроль приложений


Рекомендуемые сообщения

Здравствуйте.

 

Стоит задача блокировки всех приложений, предоставляющих возможность управления извне через интернет, в частности, программа Anydesk. 

Столкнулся с проблемой невозможности заблокировать запуск скачанного exe средствами контроля приложений в политике через Endpoint Security на предприятии.

 

По инструкции - создаю категорию программ, или вручную, или из "Исполняемые файлы", критерий по сертификату, по имени файла, по описанию программы, перепробовал любые варианты. В политике - добавляю категорию, режим - список запрещённых, запретить всем пользователям. Жму применить и проверяю результат применения политики. Программа запускается. Принтскрин с настройками прилагаю.

 

Я пробовал и другие exe, не Anydesk. То есть, механизм не работает в принципе. Раньше  всё-таки это работало несколько лет, с какого-то момента - блокировка снялась и программы стали запускаться. Проблема и на старых компьютерах и на свеженастроенных.  Может это как-то на типе лицензии завязано, подскажите, что можно сделать.

 

Конфигурация: сервер KSC 14.1 (стоял 11 - специально обновил до 14.1) Клиент - Windows 11 23H2 (на Windows 7 тоже пропускает запуск), KES 12.4.0.467, агент администрирования KES 14.2.0.26967 

2024-04-07_10-02-18.png

Ссылка на сообщение
Поделиться на другие сайты

Попробуйте использовать KL категорию "программы удаленного доступа" - по моему как то так называется.

дело в том что выбранные вами критерии могут не срабатываться так как не будут уникальными для разный файлов ... название может не совпадать с тем что в выбранном критерии ... итд

 

использование ручной настройки хорошо работает только с конкретным объектом (конкретный файл версия по производитель итд), при это если производитель обновит версию (например) то это правила уже работать не будет

так как у вас большая группа ПО - проще использовать KL категории, и не так будет нагружать систему (описано в рекомендациях) 

к тому же проверите настройки KSN ... через него компонент получает обновление определений и категорий ...

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, ElvinE5 сказал:

Попробуйте использовать KL категорию "программы удаленного доступа" - по моему как то так называется.

дело в том что выбранные вами критерии могут не срабатываться так как не будут уникальными для разный файлов ... название может не совпадать с тем что в выбранном критерии ... итд

 

использование ручной настройки хорошо работает только с конкретным объектом (конкретный файл версия по производитель итд), при это если производитель обновит версию (например) то это правила уже работать не будет

так как у вас большая группа ПО - проще использовать KL категории, и не так будет нагружать систему (описано в рекомендациях) 

к тому же проверите настройки KSN ... через него компонент получает обновление определений и категорий ...

Доходит до смешного, я хочу заблокировать, к примеру, программу составления диаграммы занятости диска, по названию scanner.exe даже не блокируется. Да мне ужа пусть там хоть нагружено, хоть нет, хоть как-то чтобы заработало, мне начальник отдела ставил задачу по которой я отчитывался, и за доступом мы строго следили, а сейчас блокировка слетела и это для меня катастрофа, хоть бери и ставь стороннее приложение по контролю запуска. 

За KSN я слежу и все клиенты подключены, иначе это высокий уровень опасности, тревога, конец света. Вплоть до переустановки антивируса - лишь бы KSN работал, поэтому это точно не причина. 

Ссылка на сообщение
Поделиться на другие сайты

Уверены, что политики применяются? Может политики не синхронизируются?

Локально на машине получается заблокировать утилиту?

Рассматриваете вариант использования "белого" списка:
для 12 версии: https://support.kaspersky.com/KESWin/12.4/ru-RU/165718.htm ? 

Для 11 версии: https://support.kaspersky.com/KESWin/11/ru-RU/128036.htm

Ссылка на сообщение
Поделиться на другие сайты
19 часов назад, Алексей 1978 сказал:

программу составления диаграммы занятости диска, по названию scanner.exe даже не блокируется.

Блокировка по названию это плохой вариант, получите метеоданные из файла и посмотрите какой у нее ТАМ название ... они могут не совпадать с именем файла.

используйте более точные парапеты, хэши например.

 

ну и перепроверите что у вас все работает ... политики применяются к хостам ... итд.

Ссылка на сообщение
Поделиться на другие сайты

Есть новая информация. что я наэкспериментировал. Создал в общем я новую группу компьютеров, новую политику, новое правило, и о чудо - всё заработало. Сначала белый список отработал - разблокировка, потом чёрный список. Потом я просто решил перекинуть свой компьютер в общую группу обратно, где сотни две компьютеров, и знаете, что получилось? Даже не смотря на то, что я в основной политике меняю правила блокировки и система отчитывается, что всё применила, у меня осталась блокировка от тестовой политики, потому что когда я запускаю энидеск на своём тестовом компьютере, он мне пишет название правила, по которому он блокирует программу и она осталось от тестовой политики. То есть, основная политика никак не обновляет в мозгах антивируса правила блокировки приложений. Я конечно немного удивлён, что это так работает, но теперь хотя бы мне понятно, что можно будет сделать, тестовую политику переименую в "основная-2", закину туда все компы.  Скорее всего это какой-то баг от бесконечной конвертации политики плагинами от версий Ендпоинта, уже раз восемь наверно обновлялся, и всякий раз политика модифицируется. Ну в общем то вопрос исчерпан пока. 

Изменено пользователем Алексей 1978
Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, Алексей 1978 сказал:

Скорее всего это какой-то баг от бесконечной конвертации политики плагинами от версий

Возможно, но не забывайте что политика обновляется НЕ МОМЕНТАЛЬНО ... а только после того как агент свяжется с сервером и поймет что ее надо обновить. А потом начнет ее менять ... и на это требуется время ...

Ссылка на сообщение
Поделиться на другие сайты
38 минут назад, Алексей 1978 сказал:

бесконечной конвертации политики плагинами от версий

Да, где-то на форуме читал что лучше не конвертировать очень  старые политики, а создавать новую политику. Так как часто политика от старой версии конвертируется/применяется "криво".

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
07.04.2024 в 14:15, Алексей 1978 сказал:

Здравствуйте.

 

Стоит задача блокировки всех приложений, предоставляющих возможность управления извне через интернет, в частности, программа Anydesk. 

Столкнулся с проблемой невозможности заблокировать запуск скачанного exe средствами контроля приложений в политике через Endpoint Security на предприятии.

 

По инструкции - создаю категорию программ, или вручную, или из "Исполняемые файлы", критерий по сертификату, по имени файла, по описанию программы, перепробовал любые варианты. В политике - добавляю категорию, режим - список запрещённых, запретить всем пользователям. Жму применить и проверяю результат применения политики. Программа запускается. Принтскрин с настройками прилагаю.

 

Я пробовал и другие exe, не Anydesk. То есть, механизм не работает в принципе. Раньше  всё-таки это работало несколько лет, с какого-то момента - блокировка снялась и программы стали запускаться. Проблема и на старых компьютерах и на свеженастроенных.  Может это как-то на типе лицензии завязано, подскажите, что можно сделать.

 

Конфигурация: сервер KSC 14.1 (стоял 11 - специально обновил до 14.1) Клиент - Windows 11 23H2 (на Windows 7 тоже пропускает запуск), KES 12.4.0.467, агент администрирования KES 14.2.0.26967 

2024-04-07_10-02-18.png

 

Приветствую!

По-моему проще закрыть замочек, не?

1517815612_.thumb.png.d09475f5d3e809f3ade8a93889ca9f9a.png

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • youngoleg
      От youngoleg
      Здравствуйте. В KSC 14 надо установить правила, чтобы устройства с KES подключенные к KSC, были под контролем используя съемные накопители и почту. Нужен белый и черный список разрешений файлов, и предел веса файла. Как для USB, так и для почты. Перекопал весь KSC/KES, не могу найти как сделать настройку.. 
    • Max132
      От Max132
      Подскажите,как мне ограничить одному из пользователей в управляемых устройствах, который принадлежит к определённой группе устройств, доступ к ресурсам. Условно вк, ютуб или твич? Мне бы просто закрыть возможность входа на сайты, чтоб не лазили)) вчера было мало времени, не успел разобраться.понял что делается через редактор политик.
    • Komissar78rus
      От Komissar78rus
      Здравствуйте!
       
      Подскажите в чём проблема? Не могу разобраться.
      При включении блокировки (по времени или вручную, не важно) смартфона Realme на Android у ребёнка перестают работать любые приложения, даже те, которые поставил в исключения. В результате ребёнок не может даже позвонить.
      Что делаю не так? Какие нужны дополнительные данные или скриншоты чтобы помочь решить этот вопрос?
       
      Заранее благодарю.
      С уважением, Дмитрий.
    • Erhogg
      От Erhogg
      Здравствуйте, столкнулся с проблемой: клиент V2Ray, vless nekoray не работает, если включен контроль портов. А именно 443 порта. Что делать? Добавление программы в исключения и в доверенные приложения не помогает. Помогает только исключение 443 порта из контроля. Но тогда же весь защищенный трафик не будет контролироваться и тогда какой толк от антивируса? 
    • MotherBoard
      От MotherBoard
      Добрый. Прошу проверить мой компьютер. В субботу или воскресенье отключилось электричество. Но когда  свет снова дали, я обратила внимание, что я как сотрудник  компании без ВПН на сайт попасть не могу.
      Итог: Без ВПН пашет все, кроме рабочего сайта.
      На ВПН лягает все, но рабочий сайт работает.
      Пинг и Трасерт  давала команды, они без ВПН тоже показали, что  ответа нет, спрос в одну сторону, как об стенку горох.
      Чистила КЭШ ДНС, в настройках подключения ставила ДНС от яндекса и гугла. В Роутере уже перезагрузила, ввела вместо автоматического ДНС  поставила сервера гугла.
      Я конечно сомневаюсь, чтобы был какой то вирус, что блочит сервизорию, но может  все таки хоть тут ответ какой найдется.
      CollectionLog-2023.05.31-12.23.zip
×
×
  • Создать...