Блокирование устройств не работает при загрузке в безопасном режиме - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
red_eye

Блокирование устройств не работает при загрузке в безопасном режиме

Автор red_eye, в Вопросы по Symantec Endpoint Protection

Recommended Posts

red_eye    0

red_eye
Опубликовано

Столкнулся со следующей проблемой.

Если компьютер с SEP клиентом загрузить в safe mode и подключить к нему флешку, которая еще не была заблокирована в рабочем режиме, то она не блокируется, а прекрасно работает. Если флешка уже один раз заблокировалась, то и в safe mode она также блокируется.

Версия клиента 11.0.5002.333, ОС клиента Win XP SP3.

Что можно с этим сделать? Отключать возможность загрузки в безопасном режиме не хотелось бы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано
Столкнулся со следующей проблемой.

Если компьютер с SEP клиентом загрузить в safe mode и подключить к нему флешку, которая еще не была заблокирована в рабочем режиме, то она не блокируется, а прекрасно работает. Если флешка уже один раз заблокировалась, то и в safe mode она также блокируется.

Версия клиента 11.0.5002.333, ОС клиента Win XP SP3.

Что можно с этим сделать? Отключать возможность загрузки в безопасном режиме не хотелось бы.

В безопасном режиме (в смотря каком) большинство драйверов и служб не грузятся. Для этого он и безопасный. То что она "заблокирована" - это означает то что sep её не разблокировал, не загрузился... Делайте выводы.

Проще всего - отключить safe mode. Либо отключать возможность загрузки с поддержкой сети и пароль лок админа им не говорить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

red_eye    0

red_eye
Опубликовано
То что она "заблокирована" - это означает то что sep её не разблокировал, не загрузился... Делайте выводы.

К сожалению, из такой игры слов очень трудно делать выводы.

Тех. поддержка Symantec говорит, что Application and Device Contorol не поддерживается в режиме safe mode, что конечно, очень жаль.

Однако, как я понял из опытов с SEP, устройства уже включенные в список заблокированных администратором устройств, блокируются и в Safe mode.

Проще всего - отключить safe mode. Либо отключать возможность загрузки с поддержкой сети и пароль лок админа им не говорить.
похоже это единственное, что можно сделать. Однако это не поможет для пользователей имеющих права локального админстратора, они смогут и восстановить возможность загрузиться в safe mode и создать локального пользователя, чтобы залогиниться без загрузки с поддержкой сети. Для таких пользователей останется только использовать дополнительный софт типа devicelock, а от него как раз хотелось избавиться, оставив только SEP.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано

red_eye, на уровне сейф моде не предусматривалась защита. На то он в принципе и сейф - чтобы загрузиться систему голую. У девайс лока - да, работает он там. Но там сервису имунку сделали хорошую. В случае проблем с ПО - будет оч тяжко что то сделать с восстановлением. Сейф моде, равно как и опечатывание системников, лежит несколько на разных уровнях обеспечения ИБ. Если пользователи обладают правами локального админа - ситуация страшнее нежели с сейф моде. Советую начать с неё.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Вопросы по Symantec Endpoint Protection

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.1.14.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      santy Я бы ввёл лимит - одна новая тема в сутки и всё... Кстати говоря - по поводу ИИ - я там недавно в разделе: Новые функции в ***  написал, но видимо из-за спамеров никто не читал... А между тем...
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Увы, нет технологий по противодействию спамеров на техническом форуме. По идее, после дублирования нескольких тем с одинаковым контентом учетка должна автоматически заблокироваться, и темы все автоматически удаляться через несколько дней. Где же ты ИИ? :). Спасение форума от спамеров не есть дело рук самих топик стартеров.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      https://forum.kasperskyclub.ru/topic/471996-pojavljajutsja-v-operativnoj-pamjati-membackdoorwin64agentgen-i-memtrojanmultiagentgen/page/2/#comments Task: {A67FE49E-5424-45F5-9347-257FE1179FF6} - System32\Tasks\Microsoft\Windows\Autochk\KeyPreair => C:\Program Files (x86)\Microsoft\Edge\Application\Msproedg.exe [64080 2026-03-16] (Microsoft 3rd Party Application Component -> ) 1. Предлагаю добавить в меню: Запрос к ИИ 2. Автоматически добавлять ЭТО в подозрительные. Что можно получить при разборе в ИИ. ___Ответ ИИ: ___ Резюме Анализ вредоносной строки из лога FRST   * *Суть записи:* Данная строка представляет собой запись из лога
          программы FRST (Farbar Recovery Scan Tool) и указывает на активное
          вредоносное ПО на компьютере.
        * *Маскировка файла:* Исполняемый файл |Msproedg.exe| имитирует
          легитимный браузер Microsoft Edge, маскируясь под него измененным
          именем. Оригинальный файл браузера должен называться |msedge.exe|.
          Имя |Msproedg.exe| не используется ни одним легальным софтом в мире.
        * *Аномалия размещения:* Вирус прописан в планировщике задач в ветке
          |Microsoft\Windows\Autochk|. В норме эта ветка отвечает
          исключительно за диагностику файловой системы при загрузке
          компьютера и может содержать всего одну легальную задачу — |Proxy|.
          Задача с именем |KeyPreair| здесь нелегальна.
        * *Аномалия размера:* В логе указан размер |64080| байт (около 64 КБ).
          Размер оригинального браузера измеряется в мегабайтах, а не в
          килобайтах.
        * *Аномалия даты (Timestomping):* В логе указана дата |2026-03-16|.
          Вирус намеренно использует технику подделки даты, чтобы скрыться от
          антивирусных сканеров, которые ищут недавно измененные файлы.
        * *Скомпрометированная цифровая подпись:*
            o В логе отображается строка: |(Microsoft 3rd Party Application
              Component -> )|.
            o Сертификат |Microsoft Windows Third Party Application Component|
              (и его сокращенный вариант) действительно существует. Это
              легальный сертификат Microsoft для подписи софта сторонних
              разработчиков, который официально интегрируется в систему
              (компоненты Teams, DirectX).
            o У оригинального браузера Edge подпись всегда выглядит как
              |(Microsoft Corporation)|. В данном же случае пустая стрелочка в
              конце |-> )| показывает цепочку доверия Authenticode.
            o В легальном файле FRST проверяет издателя и замыкает цепочку:
              |(Microsoft 3rd Party Application Component -> Microsoft
              Corporation)|. Пустота после стрелки в вашем логе — это
              технический признак того, что вирус скопировал чужой блок
              подписи, но криптографическая проверка Authenticode провалилась.      
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      demkd Если так с рекламой на форуме продолжиться - форум закроют :)
×