KSC и KES, политика для записи в папку Temp

[prodvi]

Доброго дня, форумчане!
Вопрос у меня этот стоит давно, но разрешить я его пока не смог.

Есть домен, есть KSC 10, настроена политика и есть правило, запрещающее изменять файлы на ПК (против шифровальщиков). Изменять файлы могут только доверенные программы, либо писать их можно только в разрешённые директории.

Но вот незадача - есть программы, которые периодически обновляются. И всё бы ничего, если бы они ставились в "Program Files", но ведь они ставятся в APPDATA пользователя, и используют папку Temp пользователя.

ВОПРОС:

Какое нужно добавить в KSC правило, чтобы папку Temp добавить в разрешённые директории(или чтобы каспер игнорировал эту папку)?

Изменено 18 июня, 2019 пользователем prodvi

[oit]

Решал я эту проблему.

Добавлять папки темпа определенные в исключения (например разрешить только от имени определенных пользователей запускать). Либо процессы, запускающие обновления в доверенные включить

[prodvi]

Решал я эту проблему.

Добавлять папки темпа определенные в исключения (например разрешить только от имени определенных пользователей запускать). Либо процессы, запускающие обновления в доверенные включить

сложность в том, что если пользователей 5, то можно добавить и каждого.

Но если пользователей 20даже, то уже добавлять 20правил на Temp - это не по-админски, это костыли. А если их 100, 1000?) А конкретно процессов, запускающих обновления - нет, их запускают сами пользователи. А если обновляется прога сама, то, она всё равно лежит в APPDATA каждого пользователя

Поэтому хочется знать, может можно в касперский добавить переменные PATH, типо %usersdata% и прочих ?

Изменено 18 июня, 2019 пользователем prodvi

[oit]

@prodvi, так вы определитесь: от шифровальщика хотите защититься? Если разрешить в темп записывать, то толку от этой настройки?

И да, маски поддерживаются при добавлении доверенных приложений

[prodvi]

@prodvi, так вы определитесь: от шифровальщика хотите защититься? Если разрешить в темп записывать, то толку от этой настройки?

И да, маски поддерживаются при добавлении доверенных приложений

если шифровальщик что-то повредит в папке Temp - никто не пострадает. Поэтому её можно и открыть

А вот использовать "маски" - у меня не получалось, сколько не пробовал. Но попробую в очередной раз

[oit]

маски формата %allusersprofile% %windir% поддерживаются

 

 

если шифровальщик что-то повредит в папке Temp - никто не пострадает.

так вы же разрешаете программе записывать. Шифровальщик использует легальное ПО.

Я наоборот решал проблему: запрещал записывать в temp-кие папки (костыль был такой, но и проблем было из-за этого, конечно немало). Разрешал либо от определенных пользователей запуск ПО, либо определенный подкаталог папки temp.

https://support.kaspersky.ru/8244

Изменено 18 июня, 2019 пользователем oit

[prodvi]

маски формата %allusersprofile% %windir% поддерживаются

 

 

если шифровальщик что-то повредит в папке Temp - никто не пострадает.

так вы же разрешаете программе записывать. Шифровальщик использует легальное ПО.

Я наоборот решал проблему: запрещал записывать в temp-кие папки (костыль был такой, но и проблем было из-за этого, конечно немало). Разрешал либо от определенных пользователей запуск ПО, либо определенный подкаталог папки temp.

https://support.kaspersky.ru/8244

 

У меня настроено так: запрет на изменение файлов стоит по расширению. Изменять эти файлы могут только программы из списка доверенных (например doc - для ворда и тд). Да, пришлось вначале достаточно много всяких расширений добавлять и программы прописывать, но сейчас вообщем-то прибегаю к изменениям в политике - редко.

ps/ маска - это не переменные. Маски работают, переменные - пока не знаю

Изменено 18 июня, 2019 пользователем prodvi