Перейти к содержанию
Gronn

Symantec Endpoint Protection

Recommended Posts

Gronn

В Symantec Endpoint Protection Manager в политике "Управление приложениями и устройствами" - "Управление приложениями" включены следующие опции:

- Блокировать запуск программ со съемных носителей

- Блокировать запись на устройства USB

В обоих правилах в настройках установлено "Запретить доступ".

Если к компьютеру с такими правилами подключить USB flash, она определяется системой, появляется в списке всех дисков. Но естественно на нее войти нельзя - отказоно в доступе, как и предполагалось политикой.

Проблема заключается в следующем. Пользователь этого компьютера кликает по флешке правой кнопкой, входит в свойства и открывает ее на общий доступ, идет за соседний компьютер, входит по сети на свой компьютер и копирует нужные ему данные из шары, т.е. со своей флешки. Как закрыть такую дыру?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Gronn два варианта:

1. Заблокировать флеш на уровне устройства, также с помощью SEP

2. Запретить с помощью политики фарвола SEP делать локальные диски и принтеры открытыми для других пользователей по сети

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

Второй пункт делать нельзя, потому что очень много пользователей пользуются принтерами друг друга. Да и шары нужны - пользователи пользуются общими рабочими ресурсами.

В управлениях устройствами если в список блокируемых устройств добавить USB, то symantec сразу же блокирует USB мыши. Или может нужно добавить какие то другие устройства (Disk Drives, Storage Volumes)?

В общем надо отключить USB Flash полностью так же, как например отключаются DVD-ROM (в диспетчере устройств они отображаются как отключенные и в эксплорере их совсем не видно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Gronn точно не помню, воспользуйтесь утилитой DevViewer.exe (входит в дистрибутив) со вставленным USB накопителем, скопируйте ту часть GUID которая вам нужна, если не ошибаюсь это и будет Storage Volumes, но лучше проверьте

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
angel-keeper

В Symantec Endpoint Protection Manager в политике "Управление приложениями и устройствами" - "Управление устройствами"

Есть два поля.

В верхнее добавляем устройства, которые будем блокировать

В нижнее поле добавляем исключаемые устройства

Нам помогут стандартные правила, которые есть у Symantec Endpoint Protection Manager.

Для работы через USB клавиатур, мышей, принтеров, сканеров достаточно в исключения добавить следующее:

1. Human Interface Devices (Mice, Joysticks, Gamepads, and System controls)

2. Printing Devices

3. Imaging Devices (Scanners, Digital Cameras, etc)

Вот пример как настроена у меня политика блокировки USB устройств.

USB_Device.jpg

post-4497-1234240098_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

Огромное спасибо всем за помощь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

Вопросик в догонку. Сделал так, как говорил angel-keeper, все ок. Но клиент SEP почему то закрывает доступ к плоттеру (HP Design Jet 500) хотя казалось бы он Printing Device должен был быть. Такая же картина с GPS навигатором. По DevViewer плоттер вглядит как показано на картинке.

USB.JPG

post-5088-1234427692_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Gronn добавьте их в исключения по Device ID

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

Странно, но я в списке исключений вижу только сам список и дополнительно по ID по кнопке "Добавить" возможности нет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Gronn это добавляется не здесь, а в разделе Политики -> Компоненты политик -> Устройства -> Добавить устройство:

Click Policies.

Click Policy Components.

Click Hardware Devices.

Click Add a Hardware Device...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

А еще интересная вещь наблюдается. Например, установлен клиент 11.0.4000.2***, неделю клиенты работали нормально при политике отключения USB с исключением printing devices. Тут бамц и не стого ни с сего принтер оказывается в диспетчере устройств заблоченым. Добавляешь его в исключения в консоли. Все хорошо. Через пару дней другая модель принтера блочится и ее приходится добавлять. Ладно я понимаю если бы включил политику и пусть даже и на утро следующего дня (т.е. после перезагрузки) они блокировались. а то как им вздумается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Gronn, видимо придется добавить ВСЕ принтеры

вашей сети в раздел исключений. Надеюсь, их немного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

Павел, их примерно 250 ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Понимаю, тогда придется немного помучиться и разобраться

вот с этим

Описанные в этом документе действия можно производить и с любым другим типом данных,

например, Device ID. Для этого нужно экспортировать политику Application and Device Control

и следовать указанным шагам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OzzY

Тоже хочу вопросик задать по поводу флеш-накопителей.

Есть задумка сотворить политику сканирования флешек при подключении к пользовательскому ПК. Может кто уже данны вопрос рассатривал?

В данный момент у меня sav 10.1.6000, но идет испытание SEP 11.0.4014.26, так что готов проводить эксперименты на кроликах :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Есть задумка сотворить политику сканирования флешек при подключении к пользовательскому ПК. Может кто уже данны вопрос рассатривал?

На данный момент ситуация следующая - при подключении USB устройства оно автоматически начинает сканироваться Сканером Реального времени при попытке записи или чтения. Функции автоматического полного сканирования присоединенного устройства пока нет - планируется в 12 версии в конце этого года

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OzzY

Очень жаль :( А может есть кулибины, кто придумал все же скан флешек. Вот мне интересно, если я допустим, на все служебные флехи выложу скрытый файл метку и скажу политике не подключать устройство без данного файла. А файлик этот смогут писать техники, только после проверки на вирусы. :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Очень жаль А может есть кулибины, кто придумал все же скан флешек. Вот мне интересно, если я допустим, на все служебные флехи выложу скрытый файл метку и скажу политике не подключать устройство без данного файла. А файлик этот смогут писать техники, только после проверки на вирусы.

Это можно сделать если еще использовать Symantec NAC дополнительно: он может проверить существование файла, а с помощью дополнительной политики Контроля Устройств можно отключить флешку если эту метку не нашли

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×