Перейти к содержанию

Настройка политики карантина/сохранение связи с сервером администрирования

infobez_bez
 Поделиться

Рекомендуемые сообщения

infobez_bez

infobez_bez

Опубликовано
Опубликовано

Здравствуйте!

Я настраиваю политику карантина для устройств под управлением Windows в KSC. При переносе устройства в эту политику у него должна блокироваться вся сетевая активность, кроме связи с сервером администрирования.

Проблема:
-В политике для Linux есть опция «Всегда добавлять разрешающее правило для портов агента администрирования», но в политике для Windows такой настройки нет.
-Я пробовал добавлять сервер администрирования в доверенные узлы, но при этом разрешались и другие локальные службы, а нужно, чтобы работала только связь с KSC.
-Также пытался вручную прописать правила в сетевом экране для портов агента (например, 13000, 14000 TCP/UDP), но это не сработало — устройство теряло связь с сервером.

Вопрос:
Как правильно настроить политику карантина для Windows, чтобы:
-Устройство имело доступ только к серверу администрирования KSC.
-Все остальные сетевые соединения (включая локальные службы) блокировались.
-Устройство могло получать обновления политик (например, при выходе из карантина).
-Нужна ли дополнительная настройка сетевого экрана или есть скрытые параметры, аналогичные функционалу для Linux?

KSC 14.2

mike 1

mike 1

Опубликовано
Опубликовано
10 часов назад, infobez_bez сказал:

В политике для Linux есть опция «Всегда добавлять разрешающее правило для портов агента администрирования», но в политике для Windows такой настройки нет.

Здравствуйте, на самом деле она есть, но в политике агента администрирования. 

10 часов назад, infobez_bez сказал:

Я пробовал добавлять сервер администрирования в доверенные узлы, но при этом разрешались и другие локальные службы, а нужно, чтобы работала только связь с KSC.

То что Вы пытаетесь сделать уже есть в KEDR и там это реализовано даже лучше и профита больше, так как там Вы можете реконструрировать всю цепочку атаки. Реализовать конечно можно попробовать через сетевой экран, но на это потребуется много времени, чтобы постараться учесть все нюансы. В сетевом экране правила работают сверху вниз. 

infobez_bez

infobez_bez

Опубликовано
  • Автор
Опубликовано

 

13 часов назад, mike 1 сказал:

То что Вы пытаетесь сделать уже есть в KEDR и там это реализовано даже лучше и профита больше, так как там Вы можете реконструрировать всю цепочку атаки. Реализовать конечно можно попробовать через сетевой экран, но на это потребуется много времени, чтобы постараться учесть все нюансы. В сетевом экране правила работают сверху вниз. 

Скорее всего так оно и есть, но у нас нет возможности использовать KEDR, работаем с тем, что есть, это KES и KSC.

 

13 часов назад, mike 1 сказал:

Здравствуйте, на самом деле она есть, но в политике агента администрирования. 

Да, проверили, этот чекбокс стоит

image.thumb.png.e25ed007e5b888248e81f55db829dc63.png

 

Но при правилах сетевого экрана в политике KES

Сверху вниз:

Разрешать Входящие/Исходящие, 15000, 14000, 13000 порты, TCP;

Разрешать Входящие/Исходящие, 15000, 14000, 13000 порты, UDP;

Блокировать Входящие/Исходящие.

 

Связь с KSC у компьютера теряется при переносе в политику с настройками выше

 

 

mike 1

mike 1

Опубликовано
Опубликовано
8 часов назад, infobez_bez сказал:

Связь с KSC у компьютера теряется при переносе в политику с настройками выше

 

Значит вероятно что-то не учли в конфигурации. Судя по тому, что Вы не смотрели направления трафика, то скорее всего перепутали термины "Локальный порт" и "Удалённый порт". К примеру, UDP 15000 нужно открывать от сервера администрирования в сторону управляющих хостов, а не в две стороны сразу. 

  • 2 недели спустя...
infobez_bez

infobez_bez

Опубликовано
  • Автор
Опубликовано
В 10.06.2025 в 17:27, А.В.С. сказал:

Возможно, эта видеоинструкция поможет. 

 

https://dzen.ru/video/watch/61a3981ce0b508230915f817

В моём случае не помогло, но много нового узнал, сделал немного по-другому. Спасибо за видео🙂

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • infobez_bez
      Автоматическое перемещение устройства между группами администрирования
      Автор infobez_bez
      Здравствуйте
      интересует такой вопрос:
      Например есть группа администрирования "Карантин" - в ней 0 устройств, управляется политикой, которая ограничивает доступ в сеть, блокирована USB шина и т.д.
      Есть группа администрирования " Не карантин" - в ней например 100 устройств, там своя политика.
       
      В KSC, во вкладке "Устройства/Правила перемещения" - есть возможность настройки автоматического перемещения устройств между группами/ распределенными и нераспределенными устройствами. Для настройки перемещения есть условия сработки правила перемещения (теги, сеть, программы и т.д.).

      Плюс есть вкладка Устройства/Выборки устройств - где собраны различные выборки, с защитой/без защиты, устаревшие базы, есть активные угрозы и т.д.
       
      Хотелось бы выполнить настройку таким образом, чтобы при наличии на устройстве активных угроз оно автоматически перемещалось в группу администрирования "Карантин".

      В правилах перемещения - условия похожего на "наличие активных угроз" - нет, перемещать по попаданию в выборку тоже нельзя, но появилась мысль зацепиться за теги, например, есть активная угроза -> назначается тег -> по тегу устройство автоматически перемещается в группу администрирования "карантин" и на него действует соответствующая политика. Но в тегах тоже ничего подходящего не смог найти.
       
      Подскажите, можно ли выполнить настройку автоматического перемещения устройства между группами администрирования (или между политиками)  по наличию на устройстве активных угроз или нахождения вирусной активности? 
      Используется KSC 14.2 для Windows
    • ACZ
      Нужна ли отдельная политика для серверов в KSC 14.2?
      Автор ACZ
      Добрый день! Не подскажите, требуется ли создавать отдельную политику для серверов в KSC 14.2? Основная политика для рабочих станций уже настроена и работает успешно. Подойдет ли она для серверов? И нужны ли какие то особые настройки политики именно для серверов?
       
      Kaspersky Security Center  "Лаборатория Касперского"  Версия: 14.2.0.26967
    • Dan4es
      Смена сервера администрирования
      Автор Dan4es
      Добрый день.
       
      Столкнулся с проблемой: пролез шифровальщик и зашифровал критичные данные для работы KSC (бд + бекап). Переустановил ОС, переустановил KSC, бд вынес на выделенный сервер. Адрес и dns имя сервера оставил прежним. Все устройства обнаружились, но все в статусе неизвестно. При выполнении задачи установка KES+Network Agent, задача останавливается на 50%. Как пере подключить все устройства обратно к этому серверу?

    • Dan4es
      Цикличный перезапуск KES 12.6.0.438 при запуске Outlook 2016
      Автор Dan4es
      Добрый день.
       
      Возникла проблема с цикличным перезапуском KES при открытии Outlook2016. Обе программы переустанавливал. Также пробовал на другом ПК с другой УЗ, поведение такое же. Клиенты под управлением KSC 14.2, KES 12.6.0.438. Скрин, примененной политики, прилагаю. Может кто сталкивался с таким поведением.





    • Andrey Aleksandrovich
      Удаление программы, запрещённой KL-категорией.
      Автор Andrey Aleksandrovich
      Всем добрый вечер, есть программа в KL-категории, которая запрещена. Об этом приходит уведомление. Через панель управления (у пользователя) не удаётся ее удалить, нет прав пишет. Что именно в политике отвечает за это? Уже все пересмотрел.
×
×
  • Создать...