Перейти к содержанию
red_eye

Блокирование устройств не работает при загрузке в безопасном режиме

Recommended Posts

red_eye

Столкнулся со следующей проблемой.

Если компьютер с SEP клиентом загрузить в safe mode и подключить к нему флешку, которая еще не была заблокирована в рабочем режиме, то она не блокируется, а прекрасно работает. Если флешка уже один раз заблокировалась, то и в safe mode она также блокируется.

Версия клиента 11.0.5002.333, ОС клиента Win XP SP3.

Что можно с этим сделать? Отключать возможность загрузки в безопасном режиме не хотелось бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Столкнулся со следующей проблемой.

Если компьютер с SEP клиентом загрузить в safe mode и подключить к нему флешку, которая еще не была заблокирована в рабочем режиме, то она не блокируется, а прекрасно работает. Если флешка уже один раз заблокировалась, то и в safe mode она также блокируется.

Версия клиента 11.0.5002.333, ОС клиента Win XP SP3.

Что можно с этим сделать? Отключать возможность загрузки в безопасном режиме не хотелось бы.

В безопасном режиме (в смотря каком) большинство драйверов и служб не грузятся. Для этого он и безопасный. То что она "заблокирована" - это означает то что sep её не разблокировал, не загрузился... Делайте выводы.

Проще всего - отключить safe mode. Либо отключать возможность загрузки с поддержкой сети и пароль лок админа им не говорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red_eye
То что она "заблокирована" - это означает то что sep её не разблокировал, не загрузился... Делайте выводы.

К сожалению, из такой игры слов очень трудно делать выводы.

Тех. поддержка Symantec говорит, что Application and Device Contorol не поддерживается в режиме safe mode, что конечно, очень жаль.

Однако, как я понял из опытов с SEP, устройства уже включенные в список заблокированных администратором устройств, блокируются и в Safe mode.

Проще всего - отключить safe mode. Либо отключать возможность загрузки с поддержкой сети и пароль лок админа им не говорить.
похоже это единственное, что можно сделать. Однако это не поможет для пользователей имеющих права локального админстратора, они смогут и восстановить возможность загрузиться в safe mode и создать локального пользователя, чтобы залогиниться без загрузки с поддержкой сети. Для таких пользователей останется только использовать дополнительный софт типа devicelock, а от него как раз хотелось избавиться, оставив только SEP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

red_eye, на уровне сейф моде не предусматривалась защита. На то он в принципе и сейф - чтобы загрузиться систему голую. У девайс лока - да, работает он там. Но там сервису имунку сделали хорошую. В случае проблем с ПО - будет оч тяжко что то сделать с восстановлением. Сейф моде, равно как и опечатывание системников, лежит несколько на разных уровнях обеспечения ИБ. Если пользователи обладают правами локального админа - ситуация страшнее нежели с сейф моде. Советую начать с неё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×