Перейти к содержанию
NewCammer

Не могу заблокировать ip адрес.

Автор NewCammer, в Symantec - комплексная информационная безопасность

Recommended Posts

NewCammer    0

NewCammer
Опубликовано

Доброго всем времени суток. Возникла такая проблема. Необходимо заблокировать IP. Входящий и исходящий трафик. Я создаю соответствующее правило.

Указываю IP, все IP протоколы, входящий и исходящий трафик. Жму ОК... Не работает, трафик идет. Добавляю конкретное приложение для которого нужно это сделать. Не работает. В чем проблема? Может я что то забыл? Или просто прав нету? У нас антивирус корпоративный. Может админы что позакрывали? Буду очень признателен за любую помощь!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

deviss    75

deviss
Опубликовано
Доброго всем времени суток. Возникла такая проблема. Необходимо заблокировать IP. Входящий и исходящий трафик. Я создаю соответствующее правило.

Указываю IP, все IP протоколы, входящий и исходящий трафик. Жму ОК... Не работает, трафик идет. Добавляю конкретное приложение для которого нужно это сделать. Не работает. В чем проблема? Может я что то забыл? Или просто прав нету? У нас антивирус корпоративный. Может админы что позакрывали? Буду очень признателен за любую помощь!

Здравствуйте.

А можно чуть поболее исходных данных:

1. какой продукт (версия)?

2. какова модель использования (если корпоративный продукт, то управляемый/неуправляемый клиент)?

3. используется ли в сети корпоративный шлюз/файрвол (например, ISA Server с файрволл-клиентом или какой-то другой) - или шире - как построена сеть?

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Shell    301

Shell
Опубликовано

NewCammer, Скорее всего дело в порядке правил :) Обратитесь к вашему админу, если вы пытаетесь это сделать в Symantec Endpoint Protection.

В противном случае у вас ничего не выйдет при грамотной настройке правил на сервере админами.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Symantec - комплексная информационная безопасность

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Если пишет что файлов нет то так оно и есть, по пути в принципе видно, что их там точно быть не может.
      Проблема же в том что при запуске под SYSTEM, API windows не способен правильно разбирать некоторые ярлыки, где не указан абсолютный путь, такие ярлыки меняют цель в зависимости от того под каким пользователем работает конкретный процесс, зачем это сделал microsoft для меня загадка.
      Единственное решение - это написать api для разбора любых ярлыков с нуля и добавить еще нехилую надстройку для анализа относительных путей в них, но это довольно сложная задача и на данный момент реализована лишь в малой части и скорее всего никогда не будет реализована на 100%.
      Потому если хочется удалить ссылки на отсутствующие объекты имеющие ярлыки то нужно запускаться под текущим пользователем, проблем будет меньше... если пользователь один Все системные файлы имеют внешнюю эцп и вполне определенные имена.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      uVS  в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
      Имя файла                   CALIBRE-PORTABLE.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
      ---------------------                 Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
      --------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись.                                 
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Предлагаю добавлять в лог - информацию по пользователям типа: Account: (Hidden) User 'John' is invisible on logon screen Account: (RDP Group) User 'John' is a member of Remote desktop group и т.д.      
×