Перейти к содержанию

удаление папки с KES без прав

tianddu

Автор tianddu
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

tianddu

tianddu

Опубликовано
Опубликовано

Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:

Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.

Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?

Friend

Friend

Опубликовано
Опубликовано

Добрый день,
Какая операционная система? Все обновления установлены?
Какая версия KES используется?
Когда был создан новый администратор? Стоят камеры в кабинете?
В BIOS запрещена загрузка с внешних устройств? Стоит пароль?
Если нет, то стоит запретить загрузку и установить пароль.
Можете проверить на наличие уязвимостей/вирусов в соседней разделе -  

tianddu

tianddu

Опубликовано
  • Автор
Опубликовано

вчера (23 сентября) накатили эталонный образ системы с OC windows 10 с последними обновлениями от августа.

После восстановления образа обновилась ОС до актуальной на вчерашние сутки.

KES 12.6 тоже самый актуальный.

Пароль от локального User  админа был изменен мною. Встроенная учетка администратор удалена.

Новый администратор создан сегодня утром. Камеры есть.

в bios нет не запрещена, пароль стоит. 

На вирусы проверяли, находится один троян в оперативной памяти. И 3 файла от майнера.

В принципе уже разобрались что папка с KES в безопасном режиме ни чем не защищена. Попадают в безопасный режим через многократную перезагрузку через режим восстановления, GPO там не работают, доступ к командной строке там имеется. Теперь остается вопрос как запретить вообще безопасный режим...

Friend

Friend

Опубликовано
Опубликовано
46 минут назад, tianddu сказал:

Новый администратор создан сегодня утром. Камеры есть.

Тогда стоит посмотреть камеры ;)

47 минут назад, tianddu сказал:

в bios нет не запрещена

Попробуйте запретить. Иначе данная затея также закончится ничем:

1 час назад, tianddu сказал:

как запретить вообще безопасный режим.

tianddu

tianddu

Опубликовано
  • Автор
Опубликовано
11 часов назад, andrew75 сказал:

Не проверял, и способ какой-то достаточно варварский, но можно попробовать - https://www.actualidadgadget.com/ru/как-отключить-функцию-безопасного-режима-в-windows/

все эти инструкции разбиваются об переход в режим восстановления, во время запуска винды надо перезагрузить 3-5 раз через reset и ОС переходит в режим восстановления, дальше появляется доступ к командной строке с "нормальными" правами, и разрешает редактировать реестр. Пишут что может помочь еще bitlocker буду смотреть, читать, всем спасибо за помощь!

mike 1

mike 1

Опубликовано
Опубликовано

На самом деле есть одно решение - это использование FDE Kaspersky. А вообще за обход ограничений нужно наказывать - выговор, отчисление

andrew75

andrew75

Опубликовано
Опубликовано
29 минут назад, mike 1 сказал:

. А вообще за обход ограничений нужно наказывать - выговор, отчисление

Это не просто обход ограничений, это намеренное вредительство. Так что примите административные меры чтобы другим неповадно было. Или напугайте для начала. Тут при желании уголовную статью притянуть можно.

tianddu

tianddu

Опубликовано
  • Автор
Опубликовано
47 минут назад, mike 1 сказал:

На самом деле есть одно решение - это использование FDE Kaspersky

оно же попросит ввод пароля для доступа к ОС или я не до конца в ней разобрался?

48 минут назад, mike 1 сказал:

А вообще за обход ограничений нужно наказывать - выговор, отчисление

ну это же как мазать комариные укусы от зуда, нежели использование фумигатора. Хотя тут вариантов использования "фумигатора" нет..

14 минут назад, andrew75 сказал:

Это не просто обход ограничений, это намеренное вредительство. Так что примите административные меры чтобы другим неповадно было. Или напугайте для начала. Тут при желании уголовную статью притянуть можно.

юристы сказали что 273 ук рф притянуть будет тяжело, как и нанесение ущерба, шкурка выделки не стоит. Лучше не связываться, а просто отчислить. 

mike 1

mike 1

Опубликовано
Опубликовано
2 часа назад, tianddu сказал:

оно же попросит ввод пароля для доступа к ОС или я не до конца в ней разобрался?

Можно использовать технологию SSO, если машинки в домене. 

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Rgn
      Временный доступ к USB-накопителям
      Автор Rgn
      Добрый день, коллеги
      Уточните, пожалуйста, существует ли функционал в KSC временное открытие USB.
      Знаю что в KES можно направить фаил, после чего его направить на ответственного сотрудника, но этот вариант не очень подходит.
      Возможно ли в политике в разделе контроль устройств , в разделе доверенные устройства указать период предоставления доступа к USB-накопителям?  
    • Сергей Специалист
      KES вместо шлюза
      Автор Сергей Специалист
      Подскажите, сможет ли KES 12.9.0.384 заменить шлюз?
      Имеется компьютер, который собирает данные с датчиков (подсеть оборудования на одном интерфейсе), которые должны уйти в БД на сервере Oracle (офисная подсеть на другом интерфейсе).
      Сисадмин считает, что для защиты компьютера перед ним нужно ставить FireWall с двумя правилами - 1. Разрешающее исходящие на сервер по TCP 1521; 2. Блокирующее всё остальное.
      Достаточно ли в KES настроить "Сетевой экран" на запрет всего IP-диапазона офисной подсети, а в "Защите от сетевых угроз" настроить исключение для порта, протокола и IP-адреса?
      Или я что-то не догоняю?
    • IvanCherneev
      Дистрибутив Kaspersky Endpoint Security 11.10
      Автор IvanCherneev
      Добрый день!
      Очень нужен дистрибутив Kaspersky Endpoint Security 11.10. Поделитесь дистрибутивом, пожалуйста.
    • JuffiZ
      Антивирусная программа Kaspersky Endpoint Security
      Автор JuffiZ
      Доброго времени суток. На моем устройстве (ПК) в прошлом времени (около полугода назад) работали в компании Сбермаркет (ныне сбол) оператором и была установлена программа Kaspersky Endpoint Security. Работавший человек уже не работает в вашей компании, а антивирус всё еще работает. Программа сильно мешает. Хотелось бы удалить его, но запрашивает пароль. Куда мне обратиться и что мне с этим делать? 
    • mamruc
      Не срабатывает политика KSC
      Автор mamruc
      Доброго!
      На рабочих станция с установленным KES 11.8.0.384 и 12.3.0.493 накатанаполитика контроля устройств (съемные диски - запрещать) см. скрины.
      Все работало прекрасно, но в определенный момент обнаружилось, что съемные диски работают!!! Политика применяется - все хорошо.
      Если зайти локально на рабочую станцию через KSC , что в политике вместо запрета стоит в зависимости от шины подключения см. скрин 4.  Если ручками поменять - все работает. 
      Кто сталкивался?  И почему это могло произойти...
      KSC 14





×
×
  • Создать...