удаление папки с KES без прав

[tianddu 0]

Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:

Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.

Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?

[Friend 1 286]

Добрый день,
Какая операционная система? Все обновления установлены?
Какая версия KES используется?
Когда был создан новый администратор? Стоят камеры в кабинете?
В BIOS запрещена загрузка с внешних устройств? Стоит пароль?
Если нет, то стоит запретить загрузку и установить пароль.
Можете проверить на наличие уязвимостей/вирусов в соседней разделе -  

[tianddu 0]

вчера (23 сентября) накатили эталонный образ системы с OC windows 10 с последними обновлениями от августа.

После восстановления образа обновилась ОС до актуальной на вчерашние сутки.

KES 12.6 тоже самый актуальный.

Пароль от локального User  админа был изменен мною. Встроенная учетка администратор удалена.

Новый администратор создан сегодня утром. Камеры есть.

в bios нет не запрещена, пароль стоит. 

На вирусы проверяли, находится один троян в оперативной памяти. И 3 файла от майнера.

В принципе уже разобрались что папка с KES в безопасном режиме ни чем не защищена. Попадают в безопасный режим через многократную перезагрузку через режим восстановления, GPO там не работают, доступ к командной строке там имеется. Теперь остается вопрос как запретить вообще безопасный режим...

[Friend 1 286]

46 минут назад, tianddu сказал:

Новый администратор создан сегодня утром. Камеры есть.

Тогда стоит посмотреть камеры

47 минут назад, tianddu сказал:

в bios нет не запрещена

Попробуйте запретить. Иначе данная затея также закончится ничем:

1 час назад, tianddu сказал:

как запретить вообще безопасный режим.

[andrew75 1 464]

Не проверял, и способ какой-то достаточно варварский, но можно попробовать - https://www.actualidadgadget.com/ru/как-отключить-функцию-безопасного-режима-в-windows/