удаление папки с KES без прав

[tianddu]

Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:

Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.

Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?

[Friend]

Добрый день,
Какая операционная система? Все обновления установлены?
Какая версия KES используется?
Когда был создан новый администратор? Стоят камеры в кабинете?
В BIOS запрещена загрузка с внешних устройств? Стоит пароль?
Если нет, то стоит запретить загрузку и установить пароль.
Можете проверить на наличие уязвимостей/вирусов в соседней разделе -  

[tianddu]

вчера (23 сентября) накатили эталонный образ системы с OC windows 10 с последними обновлениями от августа.

После восстановления образа обновилась ОС до актуальной на вчерашние сутки.

KES 12.6 тоже самый актуальный.

Пароль от локального User  админа был изменен мною. Встроенная учетка администратор удалена.

Новый администратор создан сегодня утром. Камеры есть.

в bios нет не запрещена, пароль стоит. 

На вирусы проверяли, находится один троян в оперативной памяти. И 3 файла от майнера.

В принципе уже разобрались что папка с KES в безопасном режиме ни чем не защищена. Попадают в безопасный режим через многократную перезагрузку через режим восстановления, GPO там не работают, доступ к командной строке там имеется. Теперь остается вопрос как запретить вообще безопасный режим...

[Friend]

46 минут назад, tianddu сказал:

Новый администратор создан сегодня утром. Камеры есть.

Тогда стоит посмотреть камеры

47 минут назад, tianddu сказал:

в bios нет не запрещена

Попробуйте запретить. Иначе данная затея также закончится ничем:

1 час назад, tianddu сказал:

как запретить вообще безопасный режим.

[andrew75]

Не проверял, и способ какой-то достаточно варварский, но можно попробовать - https://www.actualidadgadget.com/ru/как-отключить-функцию-безопасного-режима-в-windows/

[tianddu]

11 часов назад, andrew75 сказал:

Не проверял, и способ какой-то достаточно варварский, но можно попробовать - https://www.actualidadgadget.com/ru/как-отключить-функцию-безопасного-режима-в-windows/

все эти инструкции разбиваются об переход в режим восстановления, во время запуска винды надо перезагрузить 3-5 раз через reset и ОС переходит в режим восстановления, дальше появляется доступ к командной строке с "нормальными" правами, и разрешает редактировать реестр. Пишут что может помочь еще bitlocker буду смотреть, читать, всем спасибо за помощь!

[mike 1]

На самом деле есть одно решение - это использование FDE Kaspersky. А вообще за обход ограничений нужно наказывать - выговор, отчисление

[andrew75]

29 минут назад, mike 1 сказал:

. А вообще за обход ограничений нужно наказывать - выговор, отчисление

Это не просто обход ограничений, это намеренное вредительство. Так что примите административные меры чтобы другим неповадно было. Или напугайте для начала. Тут при желании уголовную статью притянуть можно.

[tianddu]

47 минут назад, mike 1 сказал:

На самом деле есть одно решение - это использование FDE Kaspersky

оно же попросит ввод пароля для доступа к ОС или я не до конца в ней разобрался?

48 минут назад, mike 1 сказал:

А вообще за обход ограничений нужно наказывать - выговор, отчисление

ну это же как мазать комариные укусы от зуда, нежели использование фумигатора. Хотя тут вариантов использования "фумигатора" нет..

14 минут назад, andrew75 сказал:

Это не просто обход ограничений, это намеренное вредительство. Так что примите административные меры чтобы другим неповадно было. Или напугайте для начала. Тут при желании уголовную статью притянуть можно.

юристы сказали что 273 ук рф притянуть будет тяжело, как и нанесение ущерба, шкурка выделки не стоит. Лучше не связываться, а просто отчислить. 

[mike 1]

2 часа назад, tianddu сказал:

оно же попросит ввод пароля для доступа к ОС или я не до конца в ней разобрался?

Можно использовать технологию SSO, если машинки в домене.