Kaspersky Security Center 11

[Leliil]

Добрый день.

Имеется KSC 11, KES 11.6 + агент администрирования (сеть без доступа к сети интернет, обновления получаем исправно, не беспокойтесь).

Активировали функцию блокировки съемных носителей (т.е. в политике ввели запрет съемных носителей, добавили белый список вручную).4

Что из этого вышло:

1) Пользователь вставляет flash-накопитель;

2) Всплывает уведомление о блокировке с вариантами на выбор:

2.1) Временный доступ

2.2) Доступ

3) Пользователь запрашивает постоянный доступ, путем отправки сообщения администратору

4) Сообщение не приходит

По документации с support.kaspersky.com должно приходить уведомление в хранилище событий - запросы пользователей, но там пусто.

Как это вообще работает? Как это "починить"?

Изменено 2 марта, 2022 пользователем Leliil

[oit]

А шаблон заполнен?

По сути должен приходить.

Замки закрыты?

[Leliil]

18 hours ago, oit said:

А шаблон заполнен?

По сути должен приходить.

Замки закрыты?

Да, шаблон сделан.

Замки закрыты (пользователь не может вносить изменения).

Я так понимаю из справки по продукту, если не введен способ связи, то запрос должен приходить на сервер администрирования (по локальной сети). В данный момент в хранилище событий отображается уведомление о блокировке съемного носителя, но нет ничего об отправленного сообщения с просьбой предоставления доступа

Изменено 3 марта, 2022 пользователем Leliil

[oit]

Лучше в ТП обратиться

[mike 1]

03.03.2022 в 11:57, Leliil сказал:

Я так понимаю из справки по продукту, если не введен способ связи, то запрос должен приходить на сервер администрирования (по локальной сети).

А хост имеет связь с KSC? Что показывает klnagchk? 

[kscklub]

А где моё?

В KSC 12  да я вижу сообщения

Выборки - запросы пользователей

[Leliil]

On 05.03.2022 at 13:52, mike 1 said:

А хост имеет связь с KSC? Что показывает klnagchk? 

Имеет, klnagchk показывает адрес сервера, агент работает, защита работает.

Обновились до 13 версии, проблема осталась 😕

On 05.03.2022 at 20:37, kscklub said:

Выборки - запросы пользователей

У меня пусто... Пробовал даже свою выборку создать, думал может не попадает почему-то, но вижу лишь сообщения о том, что пользователь подключил устройство, но никаких запросов.

[kscklub]

26.04.2022 в 18:18, Leliil сказал:

Имеет, klnagchk показывает адрес сервера, агент работает, защита работает.

Обновились до 13 версии, проблема осталась 😕

У меня пусто... Пробовал даже свою выборку создать, думал может не попадает почему-то, но вижу лишь сообщения о том, что пользователь подключил устройство, но никаких запросов.

[Leliil]

On 05.05.2022 at 18:20, kscklub said:

Я в курсе про это, но у меня не работает. Текст запроса есть, пробовал менять, не помогло. Пользователь просит доступ, но на сервер не приходит ничего. Выборка по запросам пользователей пустая

Изменено 8 мая, 2022 пользователем Leliil

[kscklub]

09.05.2022 в 00:01, Leliil сказал:

Я в курсе про это, но у меня не работает. Текст запроса есть, пробовал менять, не помогло. Пользователь просит доступ, но на сервер не приходит ничего. Выборка по запросам пользователей пустая

Так я и имел ввиду что ничего сверхъестественного я не делал, и вот так выглядят данные сообщения именно там.

Что можно сделать

Создать новую группу - на эту группу создать новую политику - переместить испытуемый компьютер в эту группу.

Применить правила.

И жду ответ

[Leliil]

On 11.05.2022 at 12:46, kscklub said:

И жду ответ

Извините за столь долгое отсутствие информации.

Проверил ваш совет, сейчас будет много букв)

1 Создал новую группу для теста, создал новую политику с выбором всех параметров.

2 Включил контроль устройств, поставил замок (чтобы пользователи не могли отключить).

3 Ожидаем распространения политики (принудительная синхронизация не обновляет политику?)

3.1 Ждем, ничего не приходит, вручную через утилиту провожу подключение, политика применена.

3.2 Втыкаю флешку, она открывается, лезу в настройки KES, контроль устройств отключен, нет возможности его включить (мы ведь поставили замок, помните? пункт 2)

3.3 Проверяю созданную политику. В политике отключен контроль устройств, нет возможности его включить, wtf?

4 Делаем все заново, может я случайно его отключил? нет... все было верно. Повтор всех пунктов не привел к успеху...

5 Удаляю политику, создаю новую, меняю название (ранее просто делал приписку к тому названию, что предлагал KSC)

6 Проверяю политику, есть возможность вкл\откл замка, вкл\откл контроля устройств.

7 Распространяю политику (не жду, через утилиту вручную синхронизацию делаю)

8 Проверяю настройки, контроль включился, на подключение ругается (ага, так уже было раньше), уведомление приходит в "Запросы пользователей"

9 Пробуем добавить флешку в список разрешенных, в сообщении есть идентификатор, открываю политику, ищу флешку по идентификатору, добавляю.

10 Все работает

 

Странно, что раньше это не срабатывало или политика странно создавалась 😕 Но теперь это работает.

Как можно ускорить получение политики другими устройствами? Если я применю на 1000 арм политику, пользователю нужно будет подключить флешку, я его добавлю и ему ждать неизвестно сколько, пока дойдет его очередь среди 999 других арм?)

Ну 1000 арм это грубо сказано, не бывает такого, что все одновременно включены...

Изменено 21 мая, 2022 пользователем Leliil

[oit]

Синхронизация настраивается в политике агента. По умолчанию, 30 или 45 минут - посмотрите

[Leliil]

4 minutes ago, oit said:

Синхронизация настраивается в политике агента. По умолчанию, 30 или 45 минут - посмотрите

Посмотрю, но это только в понедельник, когда буду на работе.

Можете подсказать, если я уменьшу время автоматической синхронизации, там применяются только изменения или политика применяется снова при каждом запросе?

Я к тому, чтобы не засорять сеть впустую при каждой автоматической синхронизации (например уменьшить время до 5-10 минут, либо пользователю вручную применять политику)

[oit]

Политика должна применяться при каждой синхронизации

[mike 1]

9 часов назад, oit сказал:

По умолчанию, 30 или 45 минут - посмотрите

15 минут