Перейти к содержанию
ejik

политика разрешающая доступ к флешке по ее ID

Recommended Posts

ejik

Всем привет!!!

Подскажите, может что то не так делаю, вообщем нужно дать доступ к флешкам по их ID, то есть, что бы с "левыми" флешками не работали.

Делаю так: в SEPM->Политики->Компоненты политики->Устройства. Добавляю новое устройства (имя и ид).

2.jpg

Потом иду в Управления приложеними и устройствами, создаю новую политику, управления приложениями добавляю новое правило. Как показано на снимке.

1.jpg

В закладки Действия ставлю разрешения на чьтение, а на создание, копирования и удаления ставлю запрет.

3.jpg

4.jpg

Обновляю на клиенте политики, проверяю не работает.

Юзер может и создавать и удалять папки и файлы.

post-4273-1261999298_thumb.jpg

post-4273-1261999311_thumb.jpg

post-4273-1261999326_thumb.jpg

post-4273-1261999336_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

ejik а до этого хоть одна политика Контроля Устройств или Приложений использовалась?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ejik

Да. Запрет на все внешние носители.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

В политике на втором скрине добавьте устройство выше на 1 пункт. Или добавьте там "*" .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ejik
В политике на втором скрине добавьте устройство выше на 1 пункт. Или добавьте там "*" .

Не понял где именно поднять? В самом правиле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

На один пункт выше. В самом верхнем правиле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ejik
На один пункт выше. В самом верхнем правиле.

Так?

1.jpg

post-4273-1262680127_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Да. Решилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ejik
Да. Решилось?

Нет, может здесь что то не так сделал?

11.jpg

Хотя логически вроде все правильно. :(

post-4273-1262687846_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Вообще, я блочу Storage Volums, а открываю доступ полный по Device ID. Целиком класс USB не лочу. Попробуйте также. Где то я на форуме здесь уже писал своё решение блокировки. Но повторяю, я открываю полный доступ на корпоративные флешки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ejik
Вообще, я блочу Storage Volums, а открываю доступ полный по Device ID. Целиком класс USB не лочу

Хорошо, сейчас попробую.

Но повторяю, я открываю полнуй доступ на корпоративные флешки

Мне именно это и нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ejik

Все равно не получается, может ид флешки не правельно просматрел?

ид флешки взял здесь:

usb_id.jpg

post-4273-1262690714_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

с помощью DevViewer (на втором диске SEPа) взять Device ID при подключенном устройстве именно в тот порт, в котором оно будет использоваться.

из ветки Storage Volums – выбрать Generic Volums.. Device ID должен соответствовать GUID {71a27cdd.......}

прочитайте эту тему http://www.anti-malware.ru/forum/index.php?showtopic=8308. внимательно. многое станет понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aarony
с помощью DevViewer (на втором диске SEPа) взять Device ID при подключенном устройстве именно в тот порт, в котором оно будет использоваться.

из ветки Storage Volums – выбрать Generic Volums.. Device ID должен соответствовать GUID {71a27cdd.......}

прочитайте эту тему http://www.anti-malware.ru/forum/index.php?showtopic=8308. внимательно. многое станет понятно.

А если после создания правила девайс в другой порт воткнуть, правило не сработает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Aarony, есть флешки на которых меняется Device ID (при включении в другой порт\комп), есть с постоянным (Kingston, transcend). Все зависит от флешки.... Если ID будет меняться - естественно, она будет заблочена.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Коллеги, рекомендую вот этот документ - там некоторые моменты по ADC изложены более подробно - SEP_Application_and_Device_Control_Best_Practise.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ejik

Кирилл Керценбаум

А на русском нет такого документа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×