Symantec Endpoint Protection - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
Guest AnDi

Symantec Endpoint Protection

Recommended Posts

Guest AnDi

Теоритически по документации вроде все понятно... а на практике следующее - как закрыть/открыть доступ на запись (имено на запись а не полностью) на конкретную Flash (по ID экземпляра)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Вот здесь - как я делаю http://www.anti-malware.ru/forum/index.php?showtopic=8308

Можете пойти от обратного, добавить в список блокируемых по Device id эту флешку. Учтите только, что если флешка не имеет постоянного ID - сделать только на 1 флешку не получится (например, часть флешек от LG). device id может изменяться при подключении к различным портам и компам, но на 1 и том же порту остается всегда один.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Мы говорим об управлении устройствами или об управлении приложениями? Потому как все что вы написали по указанной ссылке относится вроде как к управлению устройствами... Закрыть/открыть полностью получается и по Class ID и по Device ID... меня интересует именно закрітие только на запись!!! а єто возможно сделать (насколько я понимаю) только через управление приложениями? так? вот тут то и загвоздка... все делаю а не срабатывает... вот тут нужна помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

AnDi,

Вот отличная статья!

Надеюсь, это решит ваш вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Спасибо, но єто я тоже знаю... USBSTOR\* - получается, но єто блокирует на все съмные USB устройства... а вот если вместо USBSTOR\* ввести конкретный ID класса или устройства, то правило не действует... так вот как сделать что бы оно действовало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

\* - это лишь маска. Если ввести конкретный Device ID, то должно

работать. Как заметил Shell, обратите внимание на то, что Device ID разный при

подключении к разным портам...

А проще - воспользуйтесь утилитой DevViewer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Да спасибо, эти тонкости по смене Device ID я заметил... Загвоздка была именно во воде Device ID (напрямую без приставки USBSTOR\)... Тоесть, если я правильно вас понял, если USBSTOR\{Device ID}, а не пргосто, как делал я, {Device ID} ... Должно все рабьотать? попробую, отпишусь... Еще раз спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Господа Pavel Polyanskiy и Shell опуская все тонкости непостоянства и разнообразия Device ID,поставлю задачу так - есть одна флеш, втыкаемая в один и то-же порт... то-есть Device ID фиксирован и известен... если его ввести в "Управление устройствами" - то все работает - можно и запретить его и разрешить (НО!!! полностью), если мне надо запретить/разрешить только запись - вводим его в "Управление приложениями" - и как результат полное бездействие... правило не работает... Как закрыть/открыть запись на определенную флеш?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Тогда давайте разберемся, почему не работает.

1. См. раздел How to create a rule that will allow only specific USB’s on to your network.

вот здесь

2. Какая версия SEP используется?

3. Установлены ли компоненты PTP и NTP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

1. Делаю как описано... блокирует все (исключенная флеха тоже блокирована!!!)... Пример вводимого Device ID - STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM ... Пробовал наоборот ничего не исключать, а блокировать только STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM - эффект нулевой - не блокирует...

2. Клиент - 11.0.4000.2295

3. Да установлены и PTP и NTP. (собственно я уже писал что блокирование устройств через "управление устройствами" работает).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Господа, а тут есть представители Symantec? Может кто помочь в этой проблеме? это что-то неправильное в моих действиях или это ошибка в программе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Господа, а тут есть представители Symantec? Может кто помочь в этой проблеме? это что-то неправильное в моих действиях или это ошибка в программе?

Да, представители здесь!

Если все делали, как описано, то проблем быть не должно.

А вы пробовали блокировать устройства по Class ID и добавлять исключения?

Попробуйте такой способ. Если не поможет - обратитесь в тех. поддержку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
1. Делаю как описано... блокирует все (исключенная флеха тоже блокирована!!!)... Пример вводимого Device ID - STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM ... Пробовал наоборот ничего не исключать, а блокировать только STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM - эффект нулевой - не блокирует...

Вы должны ввести всего 2 Device ID:

1 - общий Device ID, характеризующий все USB-устройства (USBSTOR\*). Можно вместо него

использовать Class ID.

2 - Device ID конкретного устройства: STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM

Их добавляем в Hardware Devices и называем своими именами, например

1 - "All USB drives"

2 - "My USB drive 1", "My USB drive 2", "My USB drive n"

Далее - заходим в политику ADC и добавляем новую (или можно использовать уже готовые

шаблоны политик). Можно активировать 2 набора правил (Rule Sets) при условии, что они не противоречат друг другу.

В Device Control в разделе Blocked Devices добавить "All USB drives", а в

Devices Excluded from Blocking - "My USB drive 1, 2...n".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Подскажите пожалуйста адрес тех поддержки (русской). И спасибо за помощь... ситуация разрешилась... не тот Device ID брал (хотя он же в разделе управление устройствами работал адекватно и предсказуемо).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Да спасибо, эти тонкости по смене Device ID я заметил... Загвоздка была именно во воде Device ID (напрямую без приставки USBSTOR\)... Тоесть, если я правильно вас понял, если USBSTOR\{Device ID}, а не пргосто, как делал я, {Device ID} ... Должно все рабьотать? попробую, отпишусь... Еще раз спасибо.

И еще один замечательный вариант проверить - работает политика или нет:

включить опциии "Enable Logging" и "Notify User" при конфигурировании наборов правил (Rule Sets).

Тогда можно точно отследить, когда политика срабатывает, а когда нет,

даже не блокируя сами устройства или запись на них.

Подскажите пожалуйста адрес тех поддержки (русской). И спасибо за помощь... ситуация разрешилась... не тот Device ID брал (хотя он же в разделе управление устройствами работал адекватно и предсказуемо).

Телефон тех. поддержки - 641-22-91

Обращайтесь, если будут возникать вопросы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Ну тогда еще вопросик... а что имеет приоритет Управление устройствами или управление приложениями? если одно устройство будет там заблокировано а там исключено, или наоборот?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Приоритет имеет Device Control, т.е. если заблокировать определенное

устройство, а потом через Application Control разрешить, например, запись,

и добавить исключение "Only match process running from the following device id type",

то устройство все равно будет заблокировано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×