Перейти к содержанию
Макс

Настройка правил блокирования приложений

Recommended Posts

Макс

Ни как не получается настроить политику блокирования майл агента. Подскажите пожалуйста на пальцах)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

В SEPM - в политиках, в Allications @ Device Control в политике которую будем применять выбираем Applications Control:

Добавляем пустое правило и обзываем его.

Пишем новый рулесет, добавляем правила. К примеру,

1) Запрещаем запуск типовых процессов:

ca2b9412b357t.jpg

2) На случай изменения названия экзешника блокируем подгрузку библиотек:

a9c2bde969d9t.jpg

3) Ну и пишем правилу что делать:

09b8e012d601t.jpg

(сорь, что то радикал подглючило, пришлось перезагрузить картинки)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Макс
В SEPM - в политиках, в Allications @ Device Control в политике которую будем применять выбираем Applications Control:

Добавляем пустое правило и обзываем его.

Пишем новый рулесет, добавляем правила. К примеру,

1) Запрещаем запуск типовых процессов:

ca2b9412b357t.jpg

2) На случай изменения названия экзешника блокируем подгрузку библиотек:

a9c2bde969d9t.jpg

3) Ну и пишем правилу что делать:

09b8e012d601t.jpg

(сорь, что то радикал подглючило, пришлось перезагрузить картинки)

Я именно так и делаю но майл агент все равно запускается))) после настройки правил делал запрос политик с клиента

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

А установлен ли компонент на клиенте (Allpication and device control)? :)

Политика точно применяется и именно на этого клиента?

Не может не работать. с версий 11.0.2 у меня эта политика. Пока из многочисленных продвинутых пользователей никто не обошел :)

Просмотрите еще раз все внимательно. Просмотрите третью картинку - т.к. по умолчанию доступ и запуск разрешен приложения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Макс
А установлен ли компонент на клиенте (Allpication and device control)? :)

Политика точно применяется и именно на этого клиента?

Не может не работать. с версий 11.0.2 у меня эта политика. Пока из многочисленных продвинутых пользователей никто не обошел :)

Просмотрите еще раз все внимательно. Просмотрите третью картинку - т.к. по умолчанию доступ и запуск разрешен приложения.

НА клиенте? а когда его устанавливать? при формировке клиента? Версия у меня 11.5 я думал он в клиенте по умолчанию стоит))) во всяком случаю "железо" он блочит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Да, на клиенте. Если железо блочит - значит установлен.

Тут с утра еще одна меня мысль осенила - а в политике это правило стоит как Test или Production?

Я имею ввиду здесь... 4f8fe7220cect.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Макс

У меня русская версия. я поставил сразу же рабочий режим

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
У меня русская версия. я поставил сразу же рабочий режим

Макс, перепроверь еще раз.

Сделай вообще правило на какой нибудь файл исполняемый для теста... Должно работать. Перепроверь еще раз. Проблем с этим компонентов не известно пока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Макс
Макс, перепроверь еще раз.

Сделай вообще правило на какой нибудь файл исполняемый для теста... Должно работать. Перепроверь еще раз. Проблем с этим компонентов не известно пока.

А при создании правила у тебя что? ты там чтонить прописываешь? вот например щелкни не правиле для майл.ру там пусто у тебя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
А при создании правила у тебя что? ты там чтонить прописываешь? вот например щелкни не правиле для майл.ру там пусто у тебя?

* стоит. В исключения можно забить процесс rtvscan.exe чтобы при полной проверке ничего не пропускалось.

05e8d34c5201t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×