Перейти к содержанию

Recommended Posts

Shell

Добрый день.

Снова встали логические задачи, не позволяющие мне сделать шаг и ради функциональности понизить защиту в компании.

Я регистрировал тикет с обращением по поводу невозможности работы RDP из RDP сессии. То есть, подключившись к рабочей станции через RDP, из неё уже RDP трудно открыть - mstsc виснет и дальше без убиения процесса не пойдет. Так же, из за этого проблемы при запуске приложений из под другого пользователя (Run as).

Узкое место нашли. Это пункт политики Application&Device Control - Protect client files and registry keys (самозащита файлов и веток реестра SEP).

Эту политику я считаю важной и обрадовался, когда увидел после долгих проблем с Symantec Antivirus и боьбы с пользователями и ИТ-специалистами на всех объектах. Не секрет, что через реестр можно сделать все что угодно. И отключив данную политику на небольшой группе на 2 дня я увидел собственными глазами как ИТ-специалисты отключали протект чтобы запустить какую-либо софтинку, на которую ругается SEP.

По тикету мне отписались, что необходимо отключить данную политику и на этом закрыть тикет под предлогом что автопротекта и тампер протекшион хватает для защиты SEP. Я, например, не считаю данную проблему решенной, так как auto-ptotect и tamper-protection считаю недостаточной защитой SEP.

Хотелось бы услышать Ваши мысли по данному поводу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Shell напишите номер кейса мне в ЛС! Также, Вы можете вновь обратившись в ТП сказать диспетчеру номер кейса и добавить что Вы не согласны с его закрытием и просите его эскалировать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
    • SQx
      В качестве решения, необходимо зайти на роутер и поменять домена имя с domain.name на my.router (в качестве примера или другое несуществующее имя домена).
      Но было бы не плохо в uVS логах идентифицировать такие случае.
    • SQx
      Приветствую,

      Мне тут попалась интересная тема, которая может затронуть тысячи роутеров.
      https://forum.kasperskyclub.ru/topic/84677-postojanno-vylazit-uvedomlenie-chto-ostanovlen-perehod-na-vredonosnuju-ssylku/page/3/ Как оказалось у многих роутеров указавается доменое имя по умолчанию domain.name
      Получается, что это доменное имя реальное, и оно содержит вренодоносные настройки которые Windows 7/10 автоматически подхвытывают,
      http://185.38.111.1/wpad.dat или http://wpad.domain.name/wpad.dat

      Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?
×