49 ответов в этой теме

[SergSG]

Даже если эти конфигурации один раз соберутся автоматически, только вот никто не знает, что там соберётся, верифицировать это уже невозможно.

Я исхожу из того, что все познается в сравнении. Сейчас ведь тоже совсем не айс - фиче 5 лет и внезапно выяснилось, что залочить смарты она не может. Да и индивидуальные разрешения для юзеров никуда не денутся - печать, флешки, накопители, WiFi, колонки... Они будут при любой реализации.

С моей колокольни "фиксация" представляется меньшим злом. И перефиксировать станцию можно в любой момент.

Предустановки может даже лучше, но они сложнее в реализации, да и нужен анализ реально востребованных блокировок.

 

Я, вот, вроде как, знаком и с шинами, и с классами, но не знаю ответ даже на простые вопросы - если я заблокирую USB шину, у меня сразу отвалятся мышь и клава или подождут, пока я внесу их в белый список? И с HDD тоже.
 

Сообщение было изменено SergSG: 13 Ноябрь 2020 - 21:30

[basid]

Очередное гениальное решение.

Основные внешние съёмные устройства, через которые идёт обмен - клавиатура и мышь. "Отключить и не пущать".

 

P.S.

Да, это сарказм, но видеть такой цирк - уже не смешно.

[Afalin]

и внезапно выяснилось, что залочить смарты она не может.

Пруф, пожалуйста. По моей информации – может.

Предустановки может даже лучше, но они сложнее в реализации, да и нужен анализ реально востребованных блокировок.

Ничуть не сложнее, это тривиально. Нужно только оценить, какие шаблоны имеют смысл.

[Afalin]

У меня тоже есть сомненя на этот счет, но так устроена нынешняя система шино-классов. Менять ее никто не будет, поэтому я и отталкивался от нее, а по другому в один клик не получится.

Нынешняя система позволяет это сделать. Проблема только в том, что в тырпрайзе эта схема скорее всего будет мертворождённой.

[SergSG]

 

и внезапно выяснилось, что залочить смарты она не может.

Пруф, пожалуйста. По моей информации – может.

Да пруф спорный, наверно.  Класса "Смарты" не существует и нужно угадывать что лочить, чтоб и они тоже попались. Обо всём этом нужно догадаться и потом верить, что это сработает на всех смартах.

 

 

Предустановки может даже лучше, но они сложнее в реализации, да и нужен анализ реально востребованных блокировок.

Ничуть не сложнее, это тривиально. Нужно только оценить, какие шаблоны имеют смысл.

Все таки здесь требуется больше телодвижений и умозаключений. Хотя лично мне больше нравится этот вариант, вряд ли можно надеяться на его реализацию.

Плюс этого варианта в том, что он будет более наглядным и понятным и для пользователя SS, и для админа ES. И будет ближе к реальным потребностям.

Ведь все то грядло надуманных шино-классов избыточно, запутает и испугает любого, особенно с текущим юзер-френдли гуи. Тем более, что по факту никакие шино-классы не блокируются, решение по блокировке принимается на каждый конкретный девайс и просто учитывается на какой шине он сидит и к какому классу относится.

 

 

У меня тоже есть сомненя на этот счет, но так устроена нынешняя система шино-классов. Менять ее никто не будет, поэтому я и отталкивался от нее, а по другому в один клик не получится.

Нынешняя система позволяет это сделать. Проблема только в том, что в тырпрайзе эта схема скорее всего будет мертворождённой.

В реализации этот вариант самый примитивный - для него уже всё есть, а работает в один клик. Он вполне сгодится для офисной конторы.

Есть в нем и минусы - никакого смысла блокировать левые мониторы, мыши, клавы и хиды я не вижу, а вот заблокировать активные CD-ROMы совсем бы не помешало.
 

[Jumbo Frame]

День добрый.

Имею dr.web enterprise security suite 12, есть необходимость централизовано закрыть флешки (кроме нескольких ПК), при этом не запрещать работу принтеров (которые тоже работают через USB)/

В 10 версии вроде была функция закрытия флешек, в 12 не нашел.

Помогите с решением этой задачи.

 

 

Лайфхак - если мигрировать с десятой версии на двенадцатую, то группы, у которых съёмные носители были запрещены, бонусом получат ещё один пункт в настройках ЦУ.

Более того, он работает! )

 

Если установлена 12-я версия начисто, то экспортируем настройки нужной группы в xml и изменяем в нём настройку следующим образом:

<setting name='LockRemovable' seq='0'>
      <![CDATA[1]]>
    </setting>

Импортируем обратно. Суслик-таки есть, хотя и в стелс-режиме. При снятии галки пункт пропадёт.

Самое интересное - непосредственно на машинах в агенте настройка доступа к съёмным носителям явно присутствует...

Прикрепленные файлы:

•  Capture.JPG   28,67К   0 Скачано раз
•  Capture1.JPG   26,84К   0 Скачано раз

Сообщение было изменено Jumbo Frame: 16 Ноябрь 2020 - 12:17

[Afalin]

Jumbo Frame приводит тут вредный совет, не делайте так.

[Jumbo Frame]

Jumbo Frame приводит тут вредный совет, не делайте так.

 

почему вредный? Перед тем как запостить - проверил, опция работает так же, как и работала в 10-й версии, флэшка монтируется, но на её том зайти нельзя...

[Afalin]

Jumbo Frame приводит тут вредный совет, не делайте так.

 

почему вредный? Перед тем как запостить - проверил, опция работает так же, как и работала в 10-й версии, флэшка монтируется, но на её том зайти нельзя...

Потому что опцию убрали не просто так, есть сценарии, когда её работа пользователя не обрадует. Даже на форуме есть пример.

[Jumbo Frame]

Потому что опцию убрали не просто так, есть сценарии, когда её работа пользователя не обрадует. Даже на форуме есть пример.

 

У меня во всём зоопарке при попытке зайти на флэшку со включенной политикой стабильно писало "Отказано в доступе", и ни слова про форматирование. ОС Win7/10.

Ну ОК, понято, принято.