49 ответов в этой теме

[Ghost_PSK]

День добрый.

Имею dr.web enterprise security suite 12, есть необходимость централизовано закрыть флешки (кроме нескольких ПК), при этом не запрещать работу принтеров (которые тоже работают через USB)/

В 10 версии вроде была функция закрытия флешек, в 12 не нашел.

Помогите с решением этой задачи.

[Afalin]

На той же вкладке, где была галка в 10, теперь есть блокировка устройств по классам и шинам.

Только надо иметь в виду, что если каждая флэшка скорее всего окажется переносным накопителем, то вот нынешние мобилки могут представлять свои накопители устройствами кучи разных классов, в зависимости от реализации.

Сообщение было изменено Afalin: 09 Ноябрь 2020 - 15:28

[SergSG]

На той же вкладке, где была галка в 10, теперь есть блокировка устройств по классам и шинам.

Только надо иметь в виду, что если каждая флэшка скорее всего окажется переносным накопителем, то вот нынешние мобилки могут представлять свои накопители устройствами кучи разных классов, в зависимости от реализации.

А если блокирнуть шину USB и поставить в исключение принтеры или "очереди печати"?

[Afalin]

На той же вкладке, где была галка в 10, теперь есть блокировка устройств по классам и шинам.

Только надо иметь в виду, что если каждая флэшка скорее всего окажется переносным накопителем, то вот нынешние мобилки могут представлять свои накопители устройствами кучи разных классов, в зависимости от реализации.

А если блокирнуть шину USB и поставить в исключение принтеры или "очереди печати"?

Неа, разрешения по классам и шинам нет, только по instance path устройств. Все принтеры туда вбить одной записью наверняка нереально.

[Afalin]

Но вариант конечно заманчивый.

[SergSG]

Но вариант конечно заманчивый.

Был более заманчивый вариант, особенно для ES - 149948 Но мне не удалось его донести до аналитической подсистемы разработчиков и менеджеров.

Наверно для этого нужен кто то более настойчивый.

 

 

 

А если блокирнуть шину USB и поставить в исключение принтеры или "очереди печати"?

Неа, разрешения по классам и шинам нет, только по instance path устройств. Все принтеры туда вбить одной записью наверняка нереально.

Что имелось ввиду в белом списке в интерфейсе под "Очереди печати" мне не очень понятно, как, впрочем, и многое другое там, но по названию смахивает на принтеры, иначе какой вообще смысл в этом пункте.

[Konstantin Yudin]

Заблокировать на usb шине дисковый класс. На принтерах это никак не отразится.

[Afalin]

Заблокировать на usb шине дисковый класс. На принтерах это никак не отразится.

Это сработает для флэшек, но не сработает для мобилок и прочей нечисти. Там надо заблокировать минимум 3-4 класса, чтобы добиться результата.

[Afalin]

 

Но вариант конечно заманчивый.

Был более заманчивый вариант, особенно для ES - 149948 Но мне не удалось его донести до аналитической подсистемы разработчиков и менеджеров.

Наверно для этого нужен кто то более настойчивый.

Насчёт заманчивости такого для ES – как раз довольно спорный вопрос.

Такой белый список устройств нельзя собрать для группы машин сразу, потому что зоопарк.

И поддерживать белые списки для каждой машины поштучно – тоже как-то не выглядит лёгким.

[SergSG]

 

 

Но вариант конечно заманчивый.

Был более заманчивый вариант, особенно для ES - 149948 Но мне не удалось его донести до аналитической подсистемы разработчиков и менеджеров.

Наверно для этого нужен кто то более настойчивый.

Насчёт заманчивости такого для ES – как раз довольно спорный вопрос.

Такой белый список устройств нельзя собрать для группы машин сразу, потому что зоопарк.

И поддерживать белые списки для каждой машины поштучно – тоже как-то не выглядит лёгким.

 

Вот совсем не нужно ничего этого делать.

Админ отдает команду Агентам "Зафиксировать конфигурацию", Агент, получив эту команду, проставляет птички на всех уже имеющихся в Докторе шинах и классах, затем считывает ID активных девайсов и заносит их в белый список. Админ может просмотреть и изменить что нужно индивидуально по каждой машине

Это просто обертка-автомат над тем, что уже есть в Докторе. Активное на момент фиксации будет разрешено через белый список, а все новое будет запрещено.

 

Наверно я слишком подробно там всё расписал, потому что кроме Игоря суть, похоже, никто не понял.   

[basid]

Т.е. воткнул пользователь "запрещённый девайс", а в это время админ сделал белый список ...

И вот уже сидит сидит админ и смотрит белые списки с пары сотен компов ...

[SergSG]

Т.е. воткнул пользователь "запрещённый девайс", а в это время админ сделал белый список ...

И вот уже сидит сидит админ и смотрит белые списки с пары сотен компов ...

Теоретически такое может произойти. Но то, что есть сейчас ни понять, ни юзать вообще невозможно. Разве что ТП и разработку постоянно спрашивать.

И что будет с сотрудником, когда админ увидит в списке запрещенный девайс?

Сообщение было изменено SergSG: 10 Ноябрь 2020 - 13:02

[Afalin]

 

 

 

Но вариант конечно заманчивый.

Был более заманчивый вариант, особенно для ES - 149948 Но мне не удалось его донести до аналитической подсистемы разработчиков и менеджеров.

Наверно для этого нужен кто то более настойчивый.

Насчёт заманчивости такого для ES – как раз довольно спорный вопрос.

Такой белый список устройств нельзя собрать для группы машин сразу, потому что зоопарк.

И поддерживать белые списки для каждой машины поштучно – тоже как-то не выглядит лёгким.

 

Вот совсем не нужно ничего этого делать.

Админ отдает команду Агентам "Зафиксировать конфигурацию", Агент, получив эту команду, проставляет птички на всех уже имеющихся в Докторе шинах и классах, затем считывает ID активных девайсов и заносит их в белый список. Админ может просмотреть и изменить что нужно индивидуально по каждой машине

Это просто обертка-автомат над тем, что уже есть в Докторе. Активное на момент фиксации будет разрешено через белый список, а все новое будет запрещено.

 

Наверно я слишком подробно там всё расписал, потому что кроме Игоря суть, похоже, никто не понял.   

 

Вы описали как раз второй сценарий, но сказали, что не нужно этого делать.

Собрать-то несложно, оно и так всё собирается, вот только тут получится очень много персональной конфигурации для каждой станции, которую придётся поддерживать.

[Konstantin Yudin]

Заблокировать на usb шине дисковый класс. На принтерах это никак не отразится.

Это сработает для флэшек, но не сработает для мобилок и прочей нечисти. Там надо заблокировать минимум 3-4 класса, чтобы добиться результата.

так и просят флешки. это сработает для всех дисковых устрйоств на usb. для мобилок которые не просили можно добавить блок MTP/MTD класса.

[Afalin]

 

 

Заблокировать на usb шине дисковый класс. На принтерах это никак не отразится.

Это сработает для флэшек, но не сработает для мобилок и прочей нечисти. Там надо заблокировать минимум 3-4 класса, чтобы добиться результата.

 

так и просят флешки. это сработает для всех дисковых устрйоств на usb. для мобилок которые не просили можно добавить блок MTP/MTD класса.

Просят флэшки, потому что ещё не столкнулись с мобилками.

MTD емнип было недостаточно.

DVD/CDROM тоже кстати стоит блокировать (но только USB), хоть в большинстве случаев кроме дров на мобилку ничего не пронести.

Сообщение было изменено Afalin: 10 Ноябрь 2020 - 17:45

[SergSG]

Вы описали как раз второй сценарий, но сказали, что не нужно этого делать.

 

Собрать-то несложно, оно и так всё собирается, вот только тут получится очень много персональной конфигурации для каждой станции, которую придётся поддерживать.

Не нужно делать потому, что это сделает автомат на каждом Агенте. Не нужна тут централизация. Работа Агента собрать у себя на ПК ID активного оборудования и внести себе же в белый список, а потом отключить у себя же все шино-классы. Админу тут вообще ничего не нужно ни делать, ни поддерживать - нажал кнопку, команда ушла на все Агенты и спи спокойно. Он потом может только просмотреть и откорректировать какую то машину, если нужно. Ему уже не нужно будет сидеть и медитировать какие же классы на каких шинах нужно блокировать сразу на всех ПК в конторе, чтоб все не отвалилось и работало на совершенно разном железе и ОС.

И с индивидуальными настройками сейчас тоже не конфетка  - одному разрешены флешки, другому WiFi, третьему принтер, а внести ID дистанционно тоже задачка.

[Afalin]

Не нужна тут централизация.

Он потом может только просмотреть и откорректировать какую то машину, если нужно.

Вы сами себе противоречите.

[Ghost_PSK]

Кажись получилось вот так сделать.

[Ghost_PSK]

Фото

Прикрепленные файлы:

•  123.JPG   77,26К   4 Скачано раз

[Afalin]

Кстати, добавим белый список классов устройств. Чтоб можно было просто запретить usb-шину и разрешить при этом те же принтеры, все.

Но это нескоро будет.