Перейти к содержанию

удаление папки с KES без прав


Рекомендуемые сообщения

Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:

Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.

Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?

Ссылка на сообщение
Поделиться на другие сайты

Добрый день,
Какая операционная система? Все обновления установлены?
Какая версия KES используется?
Когда был создан новый администратор? Стоят камеры в кабинете?
В BIOS запрещена загрузка с внешних устройств? Стоит пароль?
Если нет, то стоит запретить загрузку и установить пароль.
Можете проверить на наличие уязвимостей/вирусов в соседней разделе -  

Ссылка на сообщение
Поделиться на другие сайты

вчера (23 сентября) накатили эталонный образ системы с OC windows 10 с последними обновлениями от августа.

После восстановления образа обновилась ОС до актуальной на вчерашние сутки.

KES 12.6 тоже самый актуальный.

Пароль от локального User  админа был изменен мною. Встроенная учетка администратор удалена.

Новый администратор создан сегодня утром. Камеры есть.

в bios нет не запрещена, пароль стоит. 

На вирусы проверяли, находится один троян в оперативной памяти. И 3 файла от майнера.

В принципе уже разобрались что папка с KES в безопасном режиме ни чем не защищена. Попадают в безопасный режим через многократную перезагрузку через режим восстановления, GPO там не работают, доступ к командной строке там имеется. Теперь остается вопрос как запретить вообще безопасный режим...

Ссылка на сообщение
Поделиться на другие сайты
46 минут назад, tianddu сказал:

Новый администратор создан сегодня утром. Камеры есть.

Тогда стоит посмотреть камеры ;)

47 минут назад, tianddu сказал:

в bios нет не запрещена

Попробуйте запретить. Иначе данная затея также закончится ничем:

1 час назад, tianddu сказал:

как запретить вообще безопасный режим.

Ссылка на сообщение
Поделиться на другие сайты

Не проверял, и способ какой-то достаточно варварский, но можно попробовать - https://www.actualidadgadget.com/ru/как-отключить-функцию-безопасного-режима-в-windows/

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, andrew75 сказал:

Не проверял, и способ какой-то достаточно варварский, но можно попробовать - https://www.actualidadgadget.com/ru/как-отключить-функцию-безопасного-режима-в-windows/

все эти инструкции разбиваются об переход в режим восстановления, во время запуска винды надо перезагрузить 3-5 раз через reset и ОС переходит в режим восстановления, дальше появляется доступ к командной строке с "нормальными" правами, и разрешает редактировать реестр. Пишут что может помочь еще bitlocker буду смотреть, читать, всем спасибо за помощь!

Ссылка на сообщение
Поделиться на другие сайты

На самом деле есть одно решение - это использование FDE Kaspersky. А вообще за обход ограничений нужно наказывать - выговор, отчисление

Ссылка на сообщение
Поделиться на другие сайты
29 минут назад, mike 1 сказал:

. А вообще за обход ограничений нужно наказывать - выговор, отчисление

Это не просто обход ограничений, это намеренное вредительство. Так что примите административные меры чтобы другим неповадно было. Или напугайте для начала. Тут при желании уголовную статью притянуть можно.

Ссылка на сообщение
Поделиться на другие сайты
47 минут назад, mike 1 сказал:

На самом деле есть одно решение - это использование FDE Kaspersky

оно же попросит ввод пароля для доступа к ОС или я не до конца в ней разобрался?

48 минут назад, mike 1 сказал:

А вообще за обход ограничений нужно наказывать - выговор, отчисление

ну это же как мазать комариные укусы от зуда, нежели использование фумигатора. Хотя тут вариантов использования "фумигатора" нет..

14 минут назад, andrew75 сказал:

Это не просто обход ограничений, это намеренное вредительство. Так что примите административные меры чтобы другим неповадно было. Или напугайте для начала. Тут при желании уголовную статью притянуть можно.

юристы сказали что 273 ук рф притянуть будет тяжело, как и нанесение ущерба, шкурка выделки не стоит. Лучше не связываться, а просто отчислить. 

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, tianddu сказал:

оно же попросит ввод пароля для доступа к ОС или я не до конца в ней разобрался?

Можно использовать технологию SSO, если машинки в домене. 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Timur644
      От Timur644
      Доброго дня всем.
      Антивирус KES последний раз активировал 3 года назад, сейчас забыл как происходит активация.
      Нынешней работе стоит KES 12.6, Kaspersky Security for Linux Mail Server 8.0.3.30. для нескольких доменов. (про него прочитал что тоже через Сервер активируется)
      Лицензия истекает 13.10.2024, ключ уже есть.
      Подскажите пожалуйста как быть с активацией, ближе к дате надо запустить задачу или в тот день?
    • ГГеоргий
      От ГГеоргий
      В процессе локальной установки  КЕС на устройство, оно выключилось и включилось уже с синим экраном
      error code 0xc00000f 
       "The operating system couldnt be loaded because a critical driver  missing or contains error" File: \Windows\System32\DRIVERS\Klelam.sys.
      в Safemode зайти не удается - всё равно выкидывает ошибку
      точки восстановления нет
      что делать? 
      мы ставили на два идентичных устройства до этого - всё прошло успешно
       
    • rumslava
      От rumslava
      Добрый день,
      У нас используется лицензия Kaspersky Endpoint Security для бизнеса Стандартный
      После обновления KES до версии 12.6 на серверных ОС стали недоступны некоторые компоненты:
      - Контроль устройств;
      - Контроль приложений;
      - Веб контроль;
      - Защита от веб угроз;
      - Защита от почтовых угроз.
      Из-за этого значок Касперского в трее подсвечен теперь серым цветом, что немного раздражает. Как это исправить? Произошли какие-то изменения в лицензионной политике серверных ОС?  На клиентских ОС такой проблемы не наблюдается. 
    • Виталий Чебыкин
      От Виталий Чебыкин
      Добрый день, хотел бы поинтересоваться почему после обновления версии в моем случае с KES 11.8 до 12.3 версия для Window, ПК просит перезагрузку? Хотя компьютер периодически выключается и включается но все равно требует перезагрузку. Можно ли как то включить обновление версии при выключении/включении ПК? как например это происходит с обновлениями Windows. 
       
      PS  Стоит ли задача перед разработчиками о возможности обновлений при выключении/включении ПК?
    • Timur644
      От Timur644
      Добрый день.
      Очень нужна ваша помощь, я начинающий пользователь по программам ЛК.
      Как в KES давать права пользователю на изменение категории программ?
      Скриншоте видно:
       
       

×
×
  • Создать...