Перейти к содержимому


Фото
- - - - -

контроль приложений, wildcards


  • Please log in to reply
30 ответов в этой теме

#21 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 16 Март 2023 - 07:38

Afalin, спасибо за ответ..

Konstantin Yudin, вы не знаете, вредно ли будет в боевую (для теста) внедрить "контроль приложений" на группу ПК с включенным SRP?

ну типа по аналогии использования двух антивирусов??

цель: посмотреть, корректность настроенных разрешающих правил в контроле приложений, не затрагивая ранее настроенные доменные политики SRP (чтоб меньше движений делать)?


Сообщение было изменено DoggoD: 16 Март 2023 - 07:39


#22 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 27 Март 2023 - 07:57

добрый день.. продолжаю тестировать КП..

с рабочего стола на одной из машин наблюдаю возможность запуска EXE с рабочего стола (в исключение не добавлял)..

запустился konturvnc и установщик VLC player.. галочка про запускать доверенные от DrWeb не установлена..

это нормально?

настройки прежние

2. в "критерии функционального анализа" включил "Запуск приложений", "Запуск скриптовых интерпретаторов", "Установка MSI-пакетов"

3. выставил ВСЕ запреты и разрешение на запуск от компании майкрософт..

но правил нарисовал гораздо больше в "Разрешающий режим", однако разрешения на запуск с рабочего стола там нет


Сообщение было изменено DoggoD: 27 Март 2023 - 08:01


#23 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 27 Март 2023 - 08:12

вангую что эти EXE не являются приложениями (а чем тогда?)..

можно вообще про это где-то почитать (что такое приложение в контексте КП)?

при это если вот так в лоб спросить, то

 

% file konturvnc.exe
konturvnc.exe: PE32 executable (GUI) Intel 80386, for MS Windows, Nullsoft Installer self-extracting archive

PE32 executable (GUI) Intel 80386, for MS Windows ну вроде как "приложение", не?


Сообщение было изменено DoggoD: 27 Март 2023 - 08:16


#24 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 27 Март 2023 - 10:49

добрый день.. продолжаю тестировать КП..

с рабочего стола на одной из машин наблюдаю возможность запуска EXE с рабочего стола (в исключение не добавлял)..

запустился konturvnc и установщик VLC player.. галочка про запускать доверенные от DrWeb не установлена..

это нормально?

настройки прежние

2. в "критерии функционального анализа" включил "Запуск приложений", "Запуск скриптовых интерпретаторов", "Установка MSI-пакетов"

3. выставил ВСЕ запреты и разрешение на запуск от компании майкрософт..

но правил нарисовал гораздо больше в "Разрешающий режим", однако разрешения на запуск с рабочего стола там нет

Ну да, пока не используется схема с "доверенными приложениями", разрешено всё, что не запрещено. Видимо, ни под один из запретов по категориям VLC не попал, удивляться тут вроде особо нечему.


Сообщение было изменено Afalin: 27 Март 2023 - 10:49

Семь раз отрежь – один раз проверь

#25 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 28 Март 2023 - 01:55

 

добрый день.. продолжаю тестировать КП..

с рабочего стола на одной из машин наблюдаю возможность запуска EXE с рабочего стола (в исключение не добавлял)..

запустился konturvnc и установщик VLC player.. галочка про запускать доверенные от DrWeb не установлена..

это нормально?

настройки прежние

2. в "критерии функционального анализа" включил "Запуск приложений", "Запуск скриптовых интерпретаторов", "Установка MSI-пакетов"

3. выставил ВСЕ запреты и разрешение на запуск от компании майкрософт..

но правил нарисовал гораздо больше в "Разрешающий режим", однако разрешения на запуск с рабочего стола там нет

Ну да, пока не используется схема с "доверенными приложениями", разрешено всё, что не запрещено. Видимо, ни под один из запретов по категориям VLC не попал, удивляться тут вроде особо нечему.

 

не очень понятно, однако, ведь, например:

1. у меня используется именно разрешающий режим, в котором как раз указываются разрешающие исключения

2. far.exe и avz.exe на рабстоле при этом блокируются к запуску



#26 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 28 Март 2023 - 09:11

DoggoD, по логике ведь в разрешающем режиме работают запрещающие правила и наоборот, запрещающий режим имеет в качестве исключений разрешающие правила. М?



#27 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 28 Март 2023 - 09:13

DoggoD, по логике ведь в разрешающем режиме работают запрещающие правила и наоборот, запрещающий режим имеет в качестве исключений разрешающие правила. М?

нет.. в разрешающем режиме рисуются правила ЧТО РАЗРЕШЕНО..



#28 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 28 Март 2023 - 09:32

Ага. Из документации:
"Разрешающий режим подразумевает, что на всех контролируемых станциях разрешается запуск только приложений из списка Доверенные приложения и приложений, которые соответствуют разрешающим правилам. Все остальные приложения блокируются."

Хотя обычно везде это называется запрещающим режимом. Вроде как  :mellow:



#29 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 28 Март 2023 - 10:16

Режимы там мнимые, во всяком случае пока. Были разговоры об их явном определении, но воз и ныне там который год.

Как оно работает на самом деле, нарисовано тут.


Семь раз отрежь – один раз проверь

#30 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 11 Апрель 2023 - 03:03

кстати, плохо (а может даже и вовсе - неправильно), что при отключении компонента КП на станции это никак не отображается в разделе Состояние (и станция отсается зелененькой OK)..



#31 DoggoD

DoggoD

    Member

  • Posters
  • 329 Сообщений:

Отправлено 11 Апрель 2023 - 09:20

а тут то почему??

...

[attachment=59927:Снимок экрана 2023-04-11 в 17.11.57.png]

[attachment=59928:Снимок экрана 2023-04-11 в 17.13.21.png]

[attachment=59929:scheme-application-control.png]




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых