Gronn

Symantec Endpoint Protection

В этой теме 18 сообщений

В Symantec Endpoint Protection Manager в политике "Управление приложениями и устройствами" - "Управление приложениями" включены следующие опции:

- Блокировать запуск программ со съемных носителей

- Блокировать запись на устройства USB

В обоих правилах в настройках установлено "Запретить доступ".

Если к компьютеру с такими правилами подключить USB flash, она определяется системой, появляется в списке всех дисков. Но естественно на нее войти нельзя - отказоно в доступе, как и предполагалось политикой.

Проблема заключается в следующем. Пользователь этого компьютера кликает по флешке правой кнопкой, входит в свойства и открывает ее на общий доступ, идет за соседний компьютер, входит по сети на свой компьютер и копирует нужные ему данные из шары, т.е. со своей флешки. Как закрыть такую дыру?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Gronn два варианта:

1. Заблокировать флеш на уровне устройства, также с помощью SEP

2. Запретить с помощью политики фарвола SEP делать локальные диски и принтеры открытыми для других пользователей по сети

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Второй пункт делать нельзя, потому что очень много пользователей пользуются принтерами друг друга. Да и шары нужны - пользователи пользуются общими рабочими ресурсами.

В управлениях устройствами если в список блокируемых устройств добавить USB, то symantec сразу же блокирует USB мыши. Или может нужно добавить какие то другие устройства (Disk Drives, Storage Volumes)?

В общем надо отключить USB Flash полностью так же, как например отключаются DVD-ROM (в диспетчере устройств они отображаются как отключенные и в эксплорере их совсем не видно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Gronn точно не помню, воспользуйтесь утилитой DevViewer.exe (входит в дистрибутив) со вставленным USB накопителем, скопируйте ту часть GUID которая вам нужна, если не ошибаюсь это и будет Storage Volumes, но лучше проверьте

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В Symantec Endpoint Protection Manager в политике "Управление приложениями и устройствами" - "Управление устройствами"

Есть два поля.

В верхнее добавляем устройства, которые будем блокировать

В нижнее поле добавляем исключаемые устройства

Нам помогут стандартные правила, которые есть у Symantec Endpoint Protection Manager.

Для работы через USB клавиатур, мышей, принтеров, сканеров достаточно в исключения добавить следующее:

1. Human Interface Devices (Mice, Joysticks, Gamepads, and System controls)

2. Printing Devices

3. Imaging Devices (Scanners, Digital Cameras, etc)

Вот пример как настроена у меня политика блокировки USB устройств.

USB_Device.jpg

post-4497-1234240098_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопросик в догонку. Сделал так, как говорил angel-keeper, все ок. Но клиент SEP почему то закрывает доступ к плоттеру (HP Design Jet 500) хотя казалось бы он Printing Device должен был быть. Такая же картина с GPS навигатором. По DevViewer плоттер вглядит как показано на картинке.

USB.JPG

post-5088-1234427692_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Gronn добавьте их в исключения по Device ID

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Странно, но я в списке исключений вижу только сам список и дополнительно по ID по кнопке "Добавить" возможности нет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Gronn это добавляется не здесь, а в разделе Политики -> Компоненты политик -> Устройства -> Добавить устройство:

Click Policies.

Click Policy Components.

Click Hardware Devices.

Click Add a Hardware Device...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А еще интересная вещь наблюдается. Например, установлен клиент 11.0.4000.2***, неделю клиенты работали нормально при политике отключения USB с исключением printing devices. Тут бамц и не стого ни с сего принтер оказывается в диспетчере устройств заблоченым. Добавляешь его в исключения в консоли. Все хорошо. Через пару дней другая модель принтера блочится и ее приходится добавлять. Ладно я понимаю если бы включил политику и пусть даже и на утро следующего дня (т.е. после перезагрузки) они блокировались. а то как им вздумается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Gronn, видимо придется добавить ВСЕ принтеры

вашей сети в раздел исключений. Надеюсь, их немного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Понимаю, тогда придется немного помучиться и разобраться

вот с этим

Описанные в этом документе действия можно производить и с любым другим типом данных,

например, Device ID. Для этого нужно экспортировать политику Application and Device Control

и следовать указанным шагам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тоже хочу вопросик задать по поводу флеш-накопителей.

Есть задумка сотворить политику сканирования флешек при подключении к пользовательскому ПК. Может кто уже данны вопрос рассатривал?

В данный момент у меня sav 10.1.6000, но идет испытание SEP 11.0.4014.26, так что готов проводить эксперименты на кроликах :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Есть задумка сотворить политику сканирования флешек при подключении к пользовательскому ПК. Может кто уже данны вопрос рассатривал?

На данный момент ситуация следующая - при подключении USB устройства оно автоматически начинает сканироваться Сканером Реального времени при попытке записи или чтения. Функции автоматического полного сканирования присоединенного устройства пока нет - планируется в 12 версии в конце этого года

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Очень жаль :( А может есть кулибины, кто придумал все же скан флешек. Вот мне интересно, если я допустим, на все служебные флехи выложу скрытый файл метку и скажу политике не подключать устройство без данного файла. А файлик этот смогут писать техники, только после проверки на вирусы. :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очень жаль А может есть кулибины, кто придумал все же скан флешек. Вот мне интересно, если я допустим, на все служебные флехи выложу скрытый файл метку и скажу политике не подключать устройство без данного файла. А файлик этот смогут писать техники, только после проверки на вирусы.

Это можно сделать если еще использовать Symantec NAC дополнительно: он может проверить существование файла, а с помощью дополнительной политики Контроля Устройств можно отключить флешку если эту метку не нашли

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее