Guest AnDi

Symantec Endpoint Protection

В этой теме 17 сообщений

Теоритически по документации вроде все понятно... а на практике следующее - как закрыть/открыть доступ на запись (имено на запись а не полностью) на конкретную Flash (по ID экземпляра)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот здесь - как я делаю http://www.anti-malware.ru/forum/index.php?showtopic=8308

Можете пойти от обратного, добавить в список блокируемых по Device id эту флешку. Учтите только, что если флешка не имеет постоянного ID - сделать только на 1 флешку не получится (например, часть флешек от LG). device id может изменяться при подключении к различным портам и компам, но на 1 и том же порту остается всегда один.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы говорим об управлении устройствами или об управлении приложениями? Потому как все что вы написали по указанной ссылке относится вроде как к управлению устройствами... Закрыть/открыть полностью получается и по Class ID и по Device ID... меня интересует именно закрітие только на запись!!! а єто возможно сделать (насколько я понимаю) только через управление приложениями? так? вот тут то и загвоздка... все делаю а не срабатывает... вот тут нужна помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

AnDi,

Вот отличная статья!

Надеюсь, это решит ваш вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, но єто я тоже знаю... USBSTOR\* - получается, но єто блокирует на все съмные USB устройства... а вот если вместо USBSTOR\* ввести конкретный ID класса или устройства, то правило не действует... так вот как сделать что бы оно действовало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

\* - это лишь маска. Если ввести конкретный Device ID, то должно

работать. Как заметил Shell, обратите внимание на то, что Device ID разный при

подключении к разным портам...

А проще - воспользуйтесь утилитой DevViewer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да спасибо, эти тонкости по смене Device ID я заметил... Загвоздка была именно во воде Device ID (напрямую без приставки USBSTOR\)... Тоесть, если я правильно вас понял, если USBSTOR\{Device ID}, а не пргосто, как делал я, {Device ID} ... Должно все рабьотать? попробую, отпишусь... Еще раз спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Господа Pavel Polyanskiy и Shell опуская все тонкости непостоянства и разнообразия Device ID,поставлю задачу так - есть одна флеш, втыкаемая в один и то-же порт... то-есть Device ID фиксирован и известен... если его ввести в "Управление устройствами" - то все работает - можно и запретить его и разрешить (НО!!! полностью), если мне надо запретить/разрешить только запись - вводим его в "Управление приложениями" - и как результат полное бездействие... правило не работает... Как закрыть/открыть запись на определенную флеш?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тогда давайте разберемся, почему не работает.

1. См. раздел How to create a rule that will allow only specific USB’s on to your network.

вот здесь

2. Какая версия SEP используется?

3. Установлены ли компоненты PTP и NTP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Делаю как описано... блокирует все (исключенная флеха тоже блокирована!!!)... Пример вводимого Device ID - STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM ... Пробовал наоборот ничего не исключать, а блокировать только STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM - эффект нулевой - не блокирует...

2. Клиент - 11.0.4000.2295

3. Да установлены и PTP и NTP. (собственно я уже писал что блокирование устройств через "управление устройствами" работает).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Господа, а тут есть представители Symantec? Может кто помочь в этой проблеме? это что-то неправильное в моих действиях или это ошибка в программе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Господа, а тут есть представители Symantec? Может кто помочь в этой проблеме? это что-то неправильное в моих действиях или это ошибка в программе?

Да, представители здесь!

Если все делали, как описано, то проблем быть не должно.

А вы пробовали блокировать устройства по Class ID и добавлять исключения?

Попробуйте такой способ. Если не поможет - обратитесь в тех. поддержку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. Делаю как описано... блокирует все (исключенная флеха тоже блокирована!!!)... Пример вводимого Device ID - STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM ... Пробовал наоборот ничего не исключать, а блокировать только STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM - эффект нулевой - не блокирует...

Вы должны ввести всего 2 Device ID:

1 - общий Device ID, характеризующий все USB-устройства (USBSTOR\*). Можно вместо него

использовать Class ID.

2 - Device ID конкретного устройства: STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM

Их добавляем в Hardware Devices и называем своими именами, например

1 - "All USB drives"

2 - "My USB drive 1", "My USB drive 2", "My USB drive n"

Далее - заходим в политику ADC и добавляем новую (или можно использовать уже готовые

шаблоны политик). Можно активировать 2 набора правил (Rule Sets) при условии, что они не противоречат друг другу.

В Device Control в разделе Blocked Devices добавить "All USB drives", а в

Devices Excluded from Blocking - "My USB drive 1, 2...n".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите пожалуйста адрес тех поддержки (русской). И спасибо за помощь... ситуация разрешилась... не тот Device ID брал (хотя он же в разделе управление устройствами работал адекватно и предсказуемо).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да спасибо, эти тонкости по смене Device ID я заметил... Загвоздка была именно во воде Device ID (напрямую без приставки USBSTOR\)... Тоесть, если я правильно вас понял, если USBSTOR\{Device ID}, а не пргосто, как делал я, {Device ID} ... Должно все рабьотать? попробую, отпишусь... Еще раз спасибо.

И еще один замечательный вариант проверить - работает политика или нет:

включить опциии "Enable Logging" и "Notify User" при конфигурировании наборов правил (Rule Sets).

Тогда можно точно отследить, когда политика срабатывает, а когда нет,

даже не блокируя сами устройства или запись на них.

Подскажите пожалуйста адрес тех поддержки (русской). И спасибо за помощь... ситуация разрешилась... не тот Device ID брал (хотя он же в разделе управление устройствами работал адекватно и предсказуемо).

Телефон тех. поддержки - 641-22-91

Обращайтесь, если будут возникать вопросы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну тогда еще вопросик... а что имеет приоритет Управление устройствами или управление приложениями? если одно устройство будет там заблокировано а там исключено, или наоборот?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Приоритет имеет Device Control, т.е. если заблокировать определенное

устройство, а потом через Application Control разрешить, например, запись,

и добавить исключение "Only match process running from the following device id type",

то устройство все равно будет заблокировано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS