Перейти к содержанию

Защитный функционал KES 10


Рекомендуемые сообщения

При прочтении инструкции по борьбе с шифровальщиками с удивлением обнаружил, что в рекомендациях по защите отсутствуют два важнейших расширения — *.xls и   *.xlsx  :lol:

 

Зато присутствует расширение  *.lnk  :zloy:

 

Неужели какому-то гению придёт на ум шифровать ярлыки со ссылками? Написал своё замечание в личном кабинете, надеюсь исправят.

 

И ещё, остаётся открытым вопрос — если троян-загрузчик закачивает на компьютер программу для шифрования, которую сам KES помещает в группу «Доверенные»,  то каким образом работают созданные правила?

Изменено пользователем Sandynist
Ссылка на комментарий
Поделиться на другие сайты

 

 


И ещё, остаётся открытым вопрос — если троян-загрузчик закачивает на компьютер программу для шифрования, которую сам KES помещает в группу «Доверенные»,  то каким образом работают созданные правила?
у тебя на троян будет ругаться KES.

Вот если твой троян-загрузчик в доверенных будет, тогда он что-угодно будет делать на твоем ПК, но опять же веб-антивирус сработает, если он попытается скачать  вирус, который есть в базе.


Вроде логика должна быть такой.

Ссылка на комментарий
Поделиться на другие сайты

Не убедил.

 

Чтобы ругаться на троян-загрузчик нужны основания. Например — наличие данных о нём в антивирусной базе или в облачном сервисе KSN,  либо вычисление его подозрительных действий проактивными методами.

 

Предположим, что троян-загрузчик абсолютно новый, и не там и не там не засветился. Остаётся надежда на проактивку? И вот он затаскивает на компьютер программу шифрования, которая: а) давным давно всем знакома б) подписана цифровой подписью в) по этим причинам помещается в группу «Доверенные».

 

В этом случае как сработают правила борьбы с шифровальщиками?

Ссылка на комментарий
Поделиться на другие сайты

 

 


Чтобы ругаться на троян-загрузчик нужны основания. Например — наличие данных о нём в антивирусной базе или в облачном сервисе KSN,  либо вычисление его подозрительных действий проактивными методами.
само собой.

у тебя один шанс, что сработает на этапе:

 

 


он затаскивает на компьютер программу шифрования
на этапе:

а) давным давно всем знакома б) подписана цифровой подписью в) по этим причинам помещается в группу «Доверенные».

программа все, что захочет - зашифрует. Поэтому можешь убрать в Контроле активности программ галочку: "Доверять программам, имеющим цифровую подпись"
  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Я об этом и толкую — нужны ли дополнительные настройки к той инструкции, которая вывешена на сайте тех.поддержки, или тех мер уже достаточно.  

 

Учитывая кейс с неуказанием двух важнейших офисных расширений, я полагаю, что и другие моменты создатели инструкции могли не учесть. 

Ссылка на комментарий
Поделиться на другие сайты

Дождемся ответа специалиста ЛК:

1. верно ли я логику понимаю?

2. какие дополнительные настройки могут пригодится к уже имеющейся инструкции согласно заданным дополнительным вопросам?

Ссылка на комментарий
Поделиться на другие сайты

Инструкцию исправили довольно таки оперативно, что даже странно ))

 

Когда на официальном сайте Лаборатории Касперского неправильно отображалась главная страница при входе из нашего региона, то исправления потребовалось ждать почти две недели.

 

post-860-0-16765900-1468000429_thumb.jpg

 

post-860-0-05367100-1468000447_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

 

 


Инструкцию исправили довольно таки оперативно, что даже странно ))
да это не самое главное))) вот реальные бы баги так исправлялись, а то тянутся из версии к версии ...
Ссылка на комментарий
Поделиться на другие сайты

Кстати, по поводу почтового антивируса молчат уже второй день, отписал багу со скриншотами, добавил к сообщению конфиг с настройками KES — пока ни ответа, ни привета ))


P.S. Спасибо, поржал от души  :lol:

Ссылка на комментарий
Поделиться на другие сайты

 

 


P.S. Спасибо, поржал от души 
ну так это к KIS относится. Заполнением могут заниматься разные люди, да и всех ссылок никто не упомнит, поэтому про каждую ссылку нужно отдельно указывать.
Ссылка на комментарий
Поделиться на другие сайты

Написал подробно в ветке бета-тестирования https://forum.kaspersky.com/index.php?showtopic=353768 ,подождём комментариев. На мой запрос тех.поддержка пока так и не ответила.

Ссылка на комментарий
Поделиться на другие сайты

 

 


программа все, что захочет - зашифрует. Поэтому можешь убрать в Контроле активности программ галочку: "Доверять программам, имеющим цифровую подпись"

 

Прочитал ещё раз не только этот, но и другой материал. В инструкции для KES нет этого пункта: 

 

 

 

С помощью Сетевого экрана  запретите программам из групп Слабые ограниченияСильные ограничения и Недоверенные выход в интернет. Таким образом программы-шифровальщики, получающие уникальный ключ для шифрования через интернет, не смогут получить этот ключ и зашифровать файлы.

 

Удивительно пишут инструкции в KL  :lol:  Но если все их почитать, то можно продукт настроить правильно ))


P.S. То есть если рассуждать логически, то примечание для KIS абсолютно верное, и даже если троян-загрузчик попадёт в группу «Слабые ограничения», то он просто не сможет скачать программу шифрования.

 

Остаётся вариант когда такая программа уже есть на компьютере, ну например — WinRAR.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • androv
      От androv
      Подключаюсь к серверу через Radmin VPN и нет доступа к KES. Помогите как это исправить.
    • zimok
      От zimok
      Коллеги, Добрый день!
      Прошу подсказать, а был ли опыт по возможности установки Kaspersky Endpoint Security for Windows по средством ansible ? Именно установкой по средством ansible роли и ОС Windows.
    • Timur644
      От Timur644
      Доброго дня всем.
      Антивирус KES последний раз активировал 3 года назад, сейчас забыл как происходит активация.
      Нынешней работе стоит KES 12.6, Kaspersky Security for Linux Mail Server 8.0.3.30. для нескольких доменов. (про него прочитал что тоже через Сервер активируется)
      Лицензия истекает 13.10.2024, ключ уже есть.
      Подскажите пожалуйста как быть с активацией, ближе к дате надо запустить задачу или в тот день?
    • Совух белобокий
      От Совух белобокий
      Добрый день, господа!
      Имеем развёрнутый Kaspersky Security Center 14.2.20222 на Windows Server 2016, лицензионный ключ для продукта "Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 25-49 Node 1 year Renewal Download Licence - Лицензия" на 27 ПК, но почему-то на последний добавленный ПК не "прилетает" лиц. ключ, может быть потому, что все 27 лицензии уже использованы? Как тогда удалить ключ с одного из ПК (или это нужно делать с удалением самого KES на этом ПК?) чтобы освободилась лицензия для последнего ПК?
      Заранее благодарю за ответы!
    • infobez_bez
      От infobez_bez
      Здравствуйте! 

      На АРМ c АстраЛинукс установлен KES 12.1 , управляется политикой с нашего сервера администрирования. 
      Пытаемся в политике настроить управление сетевым экраном. Наша цель запретить всё, кроме определенного сайта, например pochta.ru.
      Перепробовали различные комбинации:
      Запрет нижним правилом всего и правилами выше разрешение определенных IP, разрешение "Входящие/Исходящие", "Входящие пакеты/Исходящие пакеты", группы и т.д. но итог практически всегда один, интернет действительно блокируется, сайты в браузере не открываются, через консоль ip нужного сайта пингуется, пакеты доходят, но в браузере нужный сайт все равно не открывается. На странице ошибка DNS_PROBE_FINISHED_NO_INTERNET.
      Может кто-то подсказать решение? Нужно чтобы через браузер открывался только один сайт, веб контроль в данном случае не подходит, нужен именно сетевой экран. Спасибо!
       
×
×
  • Создать...