Перейти к содержанию
glb_ussr

SEP 12 клиент и политика ограничения использования программ

Recommended Posts

glb_ussr

Добрый всем день.

Тестово внедряем "политику ограничения использования программ" как один из механизмов борьбы с не лицензионными, вредоносными и прочими ПО. Пока реализован самый простой механизм, можно запускать только то, что в папке program files. Столкнулись с проблемой, на компах, с провами пользователя интерфейс SEP не открывается, значек помечен красным круглешком, как будто SEP и вовсе не запущен, скриншот я прикрепил.

В интернете что то подобное я видел, но есть желание услышать другие мнения.

Image_210.jpg

post-4518-1379487631.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
Добрый всем день.

Тестово внедряем "политику ограничения использования программ" как один из механизмов борьбы с не лицензионными, вредоносными и прочими ПО. Пока реализован самый простой механизм, можно запускать только то, что в папке program files. Столкнулись с проблемой, на компах, с провами пользователя интерфейс SEP не открывается, значек помечен красным круглешком, как будто SEP и вовсе не запущен, скриншот я прикрепил.

В интернете что то подобное я видел, но есть желание услышать другие мнения.

1. По какой инструкции включали политику? "Из коробки" она работает плохо.

2. Что говорит журнал Application, события 865?

3. Если там ничего, включали ли дополнительное журналирование политики через реестр?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

1. да нашел статью, там в принципе то и статья не нужна ))). Работает плохо- слишком обширно. В принцепе есть грабли, автокад не работает, вот SEP мозг выносит.

2. есть, но к SEP никакого отношения, какие то утили из темпа пытаются что то сделать.

3. включал, ничего нового, попробую еще раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

расширенный лог какой то не "лог" ))

svchost.exe (PID = 924) identified C:\WINDOWS\system32\igfxsrvc.exe as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}Smc.exe (PID = 1256) identified C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}Smc.exe (PID = 1256) identified C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}Smc.exe (PID = 1256) identified C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}Smc.exe (PID = 1256) identified C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}Smc.exe (PID = 1256) identified C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}DWRCS.EXE (PID = 756) identified C:\WINDOWS\dwrcs\DWRCST.exe as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}Smc.exe (PID = 1256) identified C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe as Unrestricted using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}winlogon.exe (PID = 696) identified userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}winlogon.exe (PID = 696) identified C:\WINDOWS\system32\userinit.exe as Unrestricted using path rule, Guid = {191cd7fa-f240-4a17-8986-94d480a6c8ca}

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

Вот такие политики

Image_212.jpg

post-4518-1379557550_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

при запуске SEP через "пуск" , открывается вот такое окно

Image_214.jpg

post-4518-1379565038_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

Так же данная проблема только в SEP 11, 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×