Symantec Endpoint Protection

[Shell 301]

Добрый день.

Использую функции SEP по максимуму. Столкнулся с интересной проблемой.

Решил заблокировать некорпоративные флешки. Нашел способ. При подключении к компьютеру, флешка в диспетчере устройств выглядит как 2 устройства. Первое - в Disk Drives, второе - в Storage Volums. Блокируем все Storage Volums c GUID {71a27cdd-812a-11d0-bec7-08002be2092f}, а потом разрешаем в исключениях по Device ID. Таким образом удалось добиться того чтобы на неописанные неразрешенные носители не могли ничего записать и ничего с них прочитать.

Пошел дальше. Пользователи то не спят. Начали пользоваться кардридерами и фотоаппаратами. Для кардридеров существует GUID: {50dd5230-ba8a-11d1-bf5d-0000f805f530}, для фотоаппаратов GUID: {6bdd1fc6-810f-11d0-bec7-08002be2092f}.

Кардридеры с несколькими слотами для карточек при подключении создают ряд устройств: в Disk drives = количеству слотов и в Storage Volums тоже по количеству слотов типа Device ID Storage\Removablemedia\7&3AB9701&0&RM. Device ID у всех слотов разный. Но это еще не все. Device ID не зависит от того какая карточка вставлена. При подключении карточки к кардридеру в диспетчере устройств равным счетом ничего не меняется (насколько увидел). Тоесть, разрешенный кардридер будет обрабатывать (читать\записывать) все карточки.

Непростая ситуация возникла и с фотоаппаратами\видеокамерами. Подключаю фотоаппарат Canon. В системе он рисуется отдельным устройством с GUID: {6bdd1fc6-810f-11d0-bec7-08002be2092f}. Но тут попал в лужу. Дело в том, что при подключении в разные USB слоты его Device ID меняется. Например, при 4х подключениях к одному и тому же компьютеру его идентификаторы выглядели следующим образом

USB\VID_04A9&PID_30F8\5&F78DEB8&0&2USB\VID_04A9&PID_30F8\5&EB2B09A&0&1USB\VID_04A9&PID_30F8\5&EB2B09A&0&1USB\VID_04A9&PID_30F8\5&EB2B09A&0&2

Ломаю голову как разрешить только избранные устройства (кардридеры, фотоаппараты\видеокамеры\сканеры) с помощью SEP. Может, у кого то есть решение?)

[Pavel Polyanskiy 65]

Попробуйте блокировать не по Device ID, а по Class ID.

[Shell 301]

Попробуйте блокировать не по Device ID, а по Class ID.

Павел, я так не достигну своей цели. Если блокировать по Class ID - все устройства этого класса будут заблокированы (например - фотоаппараты\видеокамеры\сканеры), а исключения я добавить не смогу.

Я и так блокирую сначала по классу, а потом в исключениях указываю конкретные Device ID.

[Кирилл Керценбаум 671]

Я и так блокирую сначала по классу, а потом в исключениях указываю конкретные Device ID

А попробуйте поиграться с масками - * и ? также поддерживаются

[Shell 301]

А попробуйте поиграться с масками - * и ? также поддерживаются

Cпасибо, Кирилл. Поддержка масок порадовала.

Итак, тестирую фотоаппарат Canon.

GUID ID=Class={6bdd1fc6-810f-11d0-bec7-08002be2092f}

USB\VID_04A9&PID_30B7\5&7A2EF8F&0&2 - 1 USBUSB\VID_04A9&PID_30B7\5&7A2EF8F&0&1 - 2 USBUSB\VID_04A9&PID_30B7\6&39AD6FBC&0&3 (через монитор DELL)USB\VID_04A9&PID_30B7\6&39AD6FBC&0&4 (через монитор DELL, 2й разьем)USB\VID_04A9&PID_30B7\5&4A26971&0&2 -3 USB, через 2 шнурка.

На другом компьютере этот же фотоаппарат:

USB\VID_04A9&PID_30B7\5&26219BEF&0&2USB\VID_04A9&PID_30B7\5&34765F2F&0&2USB\VID_04A9&PID_30B7\5&34765F2F&0&1USB\VID_04A9&PID_30B7\5&26219BEF&0&1USB\VID_04A9&PID_30B7\5&2A155DBD&0&2

Четкой закономерности как у флешек не вижу.

Если применить маску на Device ID

USB\VID_04A9&PID_30B7\*

то, кажется разрешатся фотоаппараты даннной модели все?

На 1 компьютере только! разрешить насколько я понимаю можно маской

USB\VID_04A9&PID_30B7\5&7A2EF8F&0&*

или

USB\VID_04A9&PID_30B7\6&39AD6FBC&0&*

но нужно его будет подключать в 1 из парных разъемов USB.

[Pavel Polyanskiy 65]

Подключая одно устройство к различным usb-портам, мы получаем различные device id, например,

я подключаю флешку к двум различным usb-портам на ноутбуке:

Порт 1: USBSTOR\DISK&VEN_&PROD_&REV_5.00\08093005000025&0

Порт 2: USBSTOR\DISK&VEN_&PROD_&REV_5.00\08014205000031&0

Чтобы все USB-порты компьютера могли читать какое-то конкретное устройство,

необходимо добавить в SEPM исключения для 2-х, 3-х...device id для соответствующих портов.

[Shell 301]

Павел, может у нас разные флешки Проверил на 2х компьютерах на 2х флешках. Не меняется Device id ни в ветке Disk drives (откуда вы брали ID), ни в ветке Storage Volums. До этого специально тестировал еще на нескольких флешках. Вариант мой рабочий. По крайней мере, ни один пользователь мотающийся с корпоративной флешкой по Филиалам не обращался)

Если кто может - тоже посмотрите ради эксперимента. Повтыкайте флешку в разные порты\на разных компьютерах Насколько я помню, когда то даже привязывали Device id флешки к софту - потому что он не менялся.

По портам применительно к только одному компьютеру - понятно. Добавить несколько ID или один ID с маской на конце после знака &.

К фотоаппаратам - чтобы только один корпоративный фотоаппарат могли использовать на нескольких компьютерах - варианты есть?)

[Pavel Polyanskiy 65]

К фотоаппаратам - чтобы только один корпоративный фотоаппарат могли использовать на нескольких компьютерах - варианты есть?)

А при подключении к другому компьютеру (и к другим портам другого компьютера)

у фотоаппарата меняется device id или нет?

[Shell 301]

А при подключении к другому компьютеру (и к другим портам другого компьютера)

у фотоаппарата меняется device id или нет?

Да, в сообщении № 5 я описал что на разных портах и на разных компьютерах ID разный. Если по портам еще можно увидеть зависимость, то между компьютерами зависимости Device ID фактически нет.

[Pavel Polyanskiy 65]

Попробуйте посмотреть изменения Device ID в подразделе Storage Volumes в Device Manager?

Может там выявится закономерность...

[Shell 301]

Попробуйте посмотреть изменения Device ID в подразделе Storage Volumes в Device Manager?

Может там выявится закономерность...

Неа. С фотоаппаратами сложнее. Они определяются только в одной ветке.

В том то и суть - что нет карточки или носителя фотоаппарата ни в одной ветке. Есть только 1 устройство.

[Pavel Polyanskiy 65]

Тогда только по маскам. Маски должны работать в любом случае.

[Shell 301]

Тогда только по маскам. Маски должны работать в любом случае.

Тоесть, маска в конкретном примере будет

USB\VID_04A9&PID_30B7\*

Так? Но, насколько понимаю, если пользователь принесет такой же фотоаппарат - то он успешно его подключит?

В случае с кардридерами - так как и описал вначале. Доступ можно разрешить для конктретных слотов под карточки данного типа, а остальные слоты и кардридеры как устройства блокировать. При этом отследить - какая из карт памяти используется (носитель) средствами SEP и через диспетчер устройств не представляется возможным. Device ID слота на других компьютерах не меняется. По крайней мере, так с 2мя кардридерами которые оказались у меня под рукой.

[Pavel Polyanskiy 65]

Тоесть, маска в конкретном примере будет

USB\VID_04A9&PID_30B7\*

Так? Но, насколько понимаю, если пользователь принесет такой же фотоаппарат - то он успешно его подключит?

Если пользователь не будет подключать его через монитор, то можно так:

USB\VID_04A9&PID_30B7\5&*

[Shell 301]

Да... По фотоаппаратам разрешение для использования на всех компьютерах в качестве исключения скорее всего будет иметь такой вид с маской. Естественно, существует риск того что ID совпадет с некорпоративным фотоаппаратом принесенным пользователем. Но этого им лучше не знать

Буду собирать информацию по ID с Филиалов своих.

К одному компьютеру еще можно было как то привязать фотоаппарат по более длинному ID.