6 ответов в этой теме

[Александр Б.]

Здравствуйте.

 

Возникла следующая проблема:

 

На сервере управления действует правило для everyone (spider guard для рабочих станций) - Программы для взлома -> Перемещать в карантин.

 

Оно работает без проблем.

 

Дальше на одной из рабочих станций пытаются запустить российскую программу для удаленного доступа RMS (хттпс://rmansys.ru/) - это аналог Teamviewer и прочих Anydesk.

 

Программа детектится как "Программы взлома Tool.RemoteControl.21" и попадает в карантин.

 

Перехожу в события контроля приложений, нахожу строку со срабатыванием "запуск процесса" на это программу и создаю разрешающее правило, где в качестве единственного совпадения по параметрам выбираю только издателя программы (Tektonit). Это для того, чтобы для каждой будущей версии новые правила не городить. В дальнейшем я вижу в этих События Контроля приложений, что новое правило срабатывает:

 

 

 

Профиль само собой назначен на группу, где находится искомая станция и он активен.

 

Однако каждая попытка запуска приложения все равно блокируется:

 

Что я делаю не так? 

[Kirill Polubelov]

Добрый день.

Контроль приложений и спайдер гвард -- это разные компоненты.

Насколько я понял из вашего описания, срабатывает спайдер гвард, а не КП. Соответственно, исключение надо добавлять для гварда.

[Александр Б.]

Добрый день.

Контроль приложений и спайдер гвард -- это разные компоненты.

Насколько я понял из вашего описания, срабатывает спайдер гвард, а не КП. Соответственно, исключение надо добавлять для гварда.

 

Исключения в Spider Guard можно только в виде пути/файлы и процессов указывать? Возможности указать вендора в виде той же цифровой подписи (как в правилах контроля приложений) нет?

Сообщение было изменено Александр Б.: 15 Июль 2022 - 13:24

[Kirill Polubelov]

Совершенно верно.

[Konstantin Yudin]

контроль приложений работает независимо от антивирусной части. вирусный детект отдельно, контроль отдельно. если был вирус, до КП может и не дойти ничего. так же все поведенческие детекты срабатывают ДО КП, т.е. вредоносное поведение будет нейтрализовано до любых правих КП.

[Александр Б.]

Не могу добиться от Spider Guard для рабочих станций взаимопонимания.

Для Everyone установлены исключения:

 

при этом если попытаться скопировать файл из указанного сетевого пути на рабочий стол - он оказывается в карантине:

 

но если запускать его из сетевой папки - работает.

Сообщение было изменено Александр Б.: 25 Июль 2022 - 12:18

[VVS]

Александр Б., почитайте в справке, что делает настройка исключаемых процессов в SpIDer Guard.