Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

удаление папки с KES без прав

tianddu

Автор tianddu
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

tianddu

tianddu

Опубликовано
Опубликовано

Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:

Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.

Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?

Friend

Friend

Опубликовано
Опубликовано

Добрый день,
Какая операционная система? Все обновления установлены?
Какая версия KES используется?
Когда был создан новый администратор? Стоят камеры в кабинете?
В BIOS запрещена загрузка с внешних устройств? Стоит пароль?
Если нет, то стоит запретить загрузку и установить пароль.
Можете проверить на наличие уязвимостей/вирусов в соседней разделе -  

tianddu

tianddu

Опубликовано
  • Автор
Опубликовано

вчера (23 сентября) накатили эталонный образ системы с OC windows 10 с последними обновлениями от августа.

После восстановления образа обновилась ОС до актуальной на вчерашние сутки.

KES 12.6 тоже самый актуальный.

Пароль от локального User  админа был изменен мною. Встроенная учетка администратор удалена.

Новый администратор создан сегодня утром. Камеры есть.

в bios нет не запрещена, пароль стоит. 

На вирусы проверяли, находится один троян в оперативной памяти. И 3 файла от майнера.

В принципе уже разобрались что папка с KES в безопасном режиме ни чем не защищена. Попадают в безопасный режим через многократную перезагрузку через режим восстановления, GPO там не работают, доступ к командной строке там имеется. Теперь остается вопрос как запретить вообще безопасный режим...

Friend

Friend

Опубликовано
Опубликовано
46 минут назад, tianddu сказал:

Новый администратор создан сегодня утром. Камеры есть.

Тогда стоит посмотреть камеры ;)

47 минут назад, tianddu сказал:

в bios нет не запрещена

Попробуйте запретить. Иначе данная затея также закончится ничем:

1 час назад, tianddu сказал:

как запретить вообще безопасный режим.

tianddu

tianddu

Опубликовано
  • Автор
Опубликовано
11 часов назад, andrew75 сказал:

Не проверял, и способ какой-то достаточно варварский, но можно попробовать - https://www.actualidadgadget.com/ru/как-отключить-функцию-безопасного-режима-в-windows/

все эти инструкции разбиваются об переход в режим восстановления, во время запуска винды надо перезагрузить 3-5 раз через reset и ОС переходит в режим восстановления, дальше появляется доступ к командной строке с "нормальными" правами, и разрешает редактировать реестр. Пишут что может помочь еще bitlocker буду смотреть, читать, всем спасибо за помощь!

mike 1

mike 1

Опубликовано
Опубликовано

На самом деле есть одно решение - это использование FDE Kaspersky. А вообще за обход ограничений нужно наказывать - выговор, отчисление

andrew75

andrew75

Опубликовано
Опубликовано
29 минут назад, mike 1 сказал:

. А вообще за обход ограничений нужно наказывать - выговор, отчисление

Это не просто обход ограничений, это намеренное вредительство. Так что примите административные меры чтобы другим неповадно было. Или напугайте для начала. Тут при желании уголовную статью притянуть можно.

tianddu

tianddu

Опубликовано
  • Автор
Опубликовано
47 минут назад, mike 1 сказал:

На самом деле есть одно решение - это использование FDE Kaspersky

оно же попросит ввод пароля для доступа к ОС или я не до конца в ней разобрался?

48 минут назад, mike 1 сказал:

А вообще за обход ограничений нужно наказывать - выговор, отчисление

ну это же как мазать комариные укусы от зуда, нежели использование фумигатора. Хотя тут вариантов использования "фумигатора" нет..

14 минут назад, andrew75 сказал:

Это не просто обход ограничений, это намеренное вредительство. Так что примите административные меры чтобы другим неповадно было. Или напугайте для начала. Тут при желании уголовную статью притянуть можно.

юристы сказали что 273 ук рф притянуть будет тяжело, как и нанесение ущерба, шкурка выделки не стоит. Лучше не связываться, а просто отчислить. 

mike 1

mike 1

Опубликовано
Опубликовано
2 часа назад, tianddu сказал:

оно же попросит ввод пароля для доступа к ОС или я не до конца в ней разобрался?

Можно использовать технологию SSO, если машинки в домене. 

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • spb-co
      После установки Endpoint Secrity сразу повреждены базы.
      Автор spb-co
      Здравствуйте.
      При установке 12 версии KES на главной странице пишет, что повреждены базы. Вкладка лицензия недоступна, все элементы защиты в оранжевом цвете.
      Удаление утилитой, чистка реестра, файлов не помогает.
      Установка проходит без проблем.
    • Rgn
      Как обновить ПО с помощью KSC
      Автор Rgn
      Добрый день, коллеги
      Подскажите, как  можно производиться обновление ПО с помощью KSC.
      В разделе обновления программного обеспечения  одобрил   обновления Google Chrome.
      Требуется ли  создавать задачу на устранения, если да то как?
       
    • SkhodnyaRUS
      Отключение защиты на устройствах
      Автор SkhodnyaRUS
      Добрый день. Я начинающий специалист, пытающийся понять тонкости работы KES'a на практике.

      При просмотре состояния рабочих станций в их свойствах во вкладке "События", вижу что, постоянно отключается Защита
      Где-то от имени системной учетной записи NT\AUTHORITY, где-то от имени пользователя.

      Помогите, пожалуйста, разобраться в последовательности действий, чтобы понять, в чем может быть проблема.
      Есть предположение что на устройстве установлены 2 версии KES одновременно (допустим 12.10 и 12.9) и они между собой конфликтуют.

      Прикладываю скриншоты 
      1) на устройстве стоит 1 KES 12.7 - тут более менее понятно, защиту отключает пользователь, а задачи от имени системной учетки не удается выполнить.
      (это как понял я, поправьте если что-то мог пропустить)

      2) на устройстве стоит 2 KES'a *(12.9 и 12.8)
      Вот тут я не понимаю последовательность действий, вроде где-то события говорят о том что защита была отключена активным пользователем, а где-то системой

      Понимаю, что вопросы могут быть слишком простыми, но все же, если не сложно, помогите разобраться.

      Заранее благодарю!
       
       
    • turboak
      [РЕШЕНО] Помогите удалить майнер WinAIHService, WinServiceNetworking
      Автор turboak
      Доброго дня! Прикрепил скриншоты этого майнера. Снять задачу в диспетчере хватает на 10 минут, потом он снова включается и грузит видеокарту на 100%.


    • Rgn
      После установки kas на mac начинает отключается WIfi
      Автор Rgn
      Добрый день
      после ecnfyjdrb антивирус на MacOS через каждые 30 минут начинает отключаться wifi,
      подскажите с чем возникнуть данная проблема ?
       
×
×
  • Создать...