Перейти к содержанию
Guest AnDi

Symantec Endpoint Protection

Recommended Posts

Guest AnDi

Теоритически по документации вроде все понятно... а на практике следующее - как закрыть/открыть доступ на запись (имено на запись а не полностью) на конкретную Flash (по ID экземпляра)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Вот здесь - как я делаю http://www.anti-malware.ru/forum/index.php?showtopic=8308

Можете пойти от обратного, добавить в список блокируемых по Device id эту флешку. Учтите только, что если флешка не имеет постоянного ID - сделать только на 1 флешку не получится (например, часть флешек от LG). device id может изменяться при подключении к различным портам и компам, но на 1 и том же порту остается всегда один.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Мы говорим об управлении устройствами или об управлении приложениями? Потому как все что вы написали по указанной ссылке относится вроде как к управлению устройствами... Закрыть/открыть полностью получается и по Class ID и по Device ID... меня интересует именно закрітие только на запись!!! а єто возможно сделать (насколько я понимаю) только через управление приложениями? так? вот тут то и загвоздка... все делаю а не срабатывает... вот тут нужна помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

AnDi,

Вот отличная статья!

Надеюсь, это решит ваш вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Спасибо, но єто я тоже знаю... USBSTOR\* - получается, но єто блокирует на все съмные USB устройства... а вот если вместо USBSTOR\* ввести конкретный ID класса или устройства, то правило не действует... так вот как сделать что бы оно действовало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

\* - это лишь маска. Если ввести конкретный Device ID, то должно

работать. Как заметил Shell, обратите внимание на то, что Device ID разный при

подключении к разным портам...

А проще - воспользуйтесь утилитой DevViewer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Да спасибо, эти тонкости по смене Device ID я заметил... Загвоздка была именно во воде Device ID (напрямую без приставки USBSTOR\)... Тоесть, если я правильно вас понял, если USBSTOR\{Device ID}, а не пргосто, как делал я, {Device ID} ... Должно все рабьотать? попробую, отпишусь... Еще раз спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Господа Pavel Polyanskiy и Shell опуская все тонкости непостоянства и разнообразия Device ID,поставлю задачу так - есть одна флеш, втыкаемая в один и то-же порт... то-есть Device ID фиксирован и известен... если его ввести в "Управление устройствами" - то все работает - можно и запретить его и разрешить (НО!!! полностью), если мне надо запретить/разрешить только запись - вводим его в "Управление приложениями" - и как результат полное бездействие... правило не работает... Как закрыть/открыть запись на определенную флеш?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Тогда давайте разберемся, почему не работает.

1. См. раздел How to create a rule that will allow only specific USB’s on to your network.

вот здесь

2. Какая версия SEP используется?

3. Установлены ли компоненты PTP и NTP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

1. Делаю как описано... блокирует все (исключенная флеха тоже блокирована!!!)... Пример вводимого Device ID - STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM ... Пробовал наоборот ничего не исключать, а блокировать только STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM - эффект нулевой - не блокирует...

2. Клиент - 11.0.4000.2295

3. Да установлены и PTP и NTP. (собственно я уже писал что блокирование устройств через "управление устройствами" работает).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Господа, а тут есть представители Symantec? Может кто помочь в этой проблеме? это что-то неправильное в моих действиях или это ошибка в программе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Господа, а тут есть представители Symantec? Может кто помочь в этой проблеме? это что-то неправильное в моих действиях или это ошибка в программе?

Да, представители здесь!

Если все делали, как описано, то проблем быть не должно.

А вы пробовали блокировать устройства по Class ID и добавлять исключения?

Попробуйте такой способ. Если не поможет - обратитесь в тех. поддержку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
1. Делаю как описано... блокирует все (исключенная флеха тоже блокирована!!!)... Пример вводимого Device ID - STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM ... Пробовал наоборот ничего не исключать, а блокировать только STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM - эффект нулевой - не блокирует...

Вы должны ввести всего 2 Device ID:

1 - общий Device ID, характеризующий все USB-устройства (USBSTOR\*). Можно вместо него

использовать Class ID.

2 - Device ID конкретного устройства: STORAGE\REMOVABLEMEDIA\7&2BE33979&0&RM

Их добавляем в Hardware Devices и называем своими именами, например

1 - "All USB drives"

2 - "My USB drive 1", "My USB drive 2", "My USB drive n"

Далее - заходим в политику ADC и добавляем новую (или можно использовать уже готовые

шаблоны политик). Можно активировать 2 набора правил (Rule Sets) при условии, что они не противоречат друг другу.

В Device Control в разделе Blocked Devices добавить "All USB drives", а в

Devices Excluded from Blocking - "My USB drive 1, 2...n".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Подскажите пожалуйста адрес тех поддержки (русской). И спасибо за помощь... ситуация разрешилась... не тот Device ID брал (хотя он же в разделе управление устройствами работал адекватно и предсказуемо).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Да спасибо, эти тонкости по смене Device ID я заметил... Загвоздка была именно во воде Device ID (напрямую без приставки USBSTOR\)... Тоесть, если я правильно вас понял, если USBSTOR\{Device ID}, а не пргосто, как делал я, {Device ID} ... Должно все рабьотать? попробую, отпишусь... Еще раз спасибо.

И еще один замечательный вариант проверить - работает политика или нет:

включить опциии "Enable Logging" и "Notify User" при конфигурировании наборов правил (Rule Sets).

Тогда можно точно отследить, когда политика срабатывает, а когда нет,

даже не блокируя сами устройства или запись на них.

Подскажите пожалуйста адрес тех поддержки (русской). И спасибо за помощь... ситуация разрешилась... не тот Device ID брал (хотя он же в разделе управление устройствами работал адекватно и предсказуемо).

Телефон тех. поддержки - 641-22-91

Обращайтесь, если будут возникать вопросы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest AnDi

Ну тогда еще вопросик... а что имеет приоритет Управление устройствами или управление приложениями? если одно устройство будет там заблокировано а там исключено, или наоборот?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Приоритет имеет Device Control, т.е. если заблокировать определенное

устройство, а потом через Application Control разрешить, например, запись,

и добавить исключение "Only match process running from the following device id type",

то устройство все равно будет заблокировано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×