Перейти к содержимому


Фото
- - - - -

падение firefox после обновления на agent 11 (DEP-triggered exception)

DEP firefox

  • Please log in to reply
43 ответов в этой теме

#1 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 25 Август 2016 - 09:25

Здравствуйте.

Мы большая организация, в которой используется внутреннее веб-приложение для расчетов с клиентами (в том числе и при личном контакте).

Наши операторы, общающиеся с клиентами, стали испытывать неожиданные проблемы с бесследным внезапным исчезновением Firefox прямо во время общения с клиентом через окошко. Это любого человека обескуражит и заставит неприятно нервничать, особенно если к окошку стоит очередь из людей (их тоже это заставит нервничать).

 

Версии Firefox Mozilla Firefox 31.6.0 ESR (x86 ru) в обоих нижеперечисленных случаях (да, известно что они устарели, но системы авто распространения и обновления софта у нас пока нет).

На сервере стояла версия, предшествующая версии ES 10 11-08-2016 04:00:00.

 

Выясняется, что падать начинает после автоматического обновления агента на версию 11. Нашел, что в логах появляется такое:

-----------------

2016-Aug-24 09:40:07.776418 [2604] [INF] [2136] [arkdll]
id: 4457, type: ShellGuard (50), flags: 1 (wait: 1), cid: 2988/1828:\Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe
  hips: type: 23, action: deny [5]
  address: 0x2eaaa818
  Provided message: "DEP-triggered exception"
Additional information: ""
Mitigation type: DEP-triggered exception
Registers:
EAX = 0x0035E938
ECX = 0x2EAAA818
EDX = 0x00000002
EBX = 0xFFFFFF87
ESP = 0x0035E8AC
EBP = 0x0035E8D4
ESI = 0x00000002
EDI = 0x05DA0AE0
ThreadId = 1828

Instruction address is 0x2EAAA818
  signer: C=US|ST=CA|L=Mountain View|O=Mozilla Corporation|CN=Mozilla Corporation, timestamp: 26.03.2015 10:34:48.0000, thumbprint: 9153980cc186df478f35229e11c9a7310449a1aa
  hash: 5072124fec0ea4ab9d4f5ee3e224e85c18aa5c72 status: db_cert_white_list, signed, pe32 (0x100204) / signed / unknown
send user blocked alert
id: 4457 ==> denied [5], time: 0.625811 ms
2016-Aug-25 09:40:02.585420 [2804] [INF] [event-manager] process_hips_event
2016-Aug-25 09:40:02.585420 [2816] [INF] [2296] [arkdll]

id: 3413, type: ShellGuard (50), flags: 1 (wait: 1), cid: 528/3692:\Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe
  hips: type: 23, action: deny [5]
  address: 0x37ac6df0
  Provided message: "DEP-triggered exception"
Additional information: ""
Mitigation type: DEP-triggered exception
Registers:
EAX = 0x002CE2F8
ECX = 0x37AC6DF0
EDX = 0x00000002
EBX = 0xFFFFFF87
ESP = 0x002CE26C
EBP = 0x002CE294
ESI = 0x00000002
EDI = 0x05F8BEE0

ThreadId = 3692
Instruction address is 0x37AC6DF0

  signer: C=US|ST=CA|L=Mountain View|O=Mozilla Corporation|CN=Mozilla Corporation, timestamp: 26.03.2015 10:34:48.0000, thumbprint: 9153980cc186df478f35229e11c9a7310449a1aa
  hash: 5072124fec0ea4ab9d4f5ee3e224e85c18aa5c72 status: db_cert_white_list, signed, pe32 (0x100204) / signed / unknown
send user blocked alert
id: 3413 ==> denied [5], time: 0.329648 ms

----------------------------

 

Наши операторы начинают массово жаловаться, что они не могут обслуживать клиентов, клиенты начинают жаловаться на нас, начинаются волнения в очередях, и .т.пп - в общем, очень неприятное напряжение начинается.

 

Внимание, вопросы

1.  "DEP-triggered exception" - это то, что называется в новой версии сервера "Защита от Эксплойтов"?

2.  чтобы ее отключить, надо сначала догадаться что сервер надо обновить до версии "11-08-2016 04:00:00.", потому что иначе в интерфейсе ее просто нет?

3. Почему эта функция срабатывает на _подписанном_ приложении из белого списка ( "status: db_cert_white_list, signed,") ?

4. сообщение в логе

-------------

2016-Aug-25 09:51:48.135809 [2816] [INF] [hips] reinit excludes. Got 0 values
2016-Aug-25 09:51:48.135809 [2816] [INF] [hips] Set ShellGuard status: disable
2016-Aug-25 09:51:48.135809 [2800] [INF] [DPH] reinit objects...
2016-Aug-25 09:51:48.135809 [2800] [INF] [HIPSObject] Total 156 values for protect
2016-Aug-25 09:51:48.135809 [2800] [INF] [DPH] reinit objects success

-----------------

говорит о том, что на этой станции эта защита отключена?

5. почему при попытке изменить эту настройку (версия сервера обновлена до "11-08-2016 04:00:00."), т.е. выбор в выпадающем списке значения "разрешать" и нажатие на кнопку "сохранить" появляется окно "эта страница просит вас подтвердить, что вы хотите уйти", и два выбора - остаться (ничего не меняется) и уйти - интерфейс управления пропадает и появляется json-список на пустом белом фоне такой:

-------------

http://drweb.samges.ru:9080/esuite/network/enterpriseagent.ds?editSettings=1

{"can_fade_out":true,"elements":["Операция успешно завершена"],"className":"info","personal":0,"with_fade_icon":true,"title":"SAMG103. Заданы персональные настройки."}

------------

И фиг поймешь, сохранилась настройка или нет. (на самом деле сохранилась).

 

6. ну и вопрос риторический - не могли бы вы осторожнее подходить к таким обновлениям, которые вводят новые функции, и не вызывать народных волнений более тщательным кодированием и тестированием ?

 

Прошу ответить так же попунктно, пожалуйста.

 

ЗЫ так же пришлось вносить в исключения другую специфичную для нас программу сторонней разработки, которая тоже перестала запускаться...

 

 

 

 

 

 

 

 

 

 



#2 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 25 Август 2016 - 10:02

да, и еще один вопрос - где в интерфейсе центра управления можно посмотреть, что на данной станции были срабатывания данной защиты?

если смотреть в "антивирусная сеть - станция - угрозы, ошибки, статистика угроз, состояние" - ни в одном разделе ничего нет (данные не найдены, количество записей = 0), хотя в логе падения есть.

Как можно отфильтровать все такие события на всех станциях сразу (т.е. получить список, что "защита от эксплойтов - срабатывание на станции 1  время 1, на станции 2 время 2" и т.д.



#3 Aleksey Tarakhti

Aleksey Tarakhti

    Poster

  • Members
  • 961 Сообщений:

Отправлено 25 Август 2016 - 11:19

Здравствуйте.

Мы большая организация, в которой используется внутреннее веб-приложение для расчетов с клиентами (в том числе и при личном контакте).

Наши операторы, общающиеся с клиентами, стали испытывать неожиданные проблемы с бесследным внезапным исчезновением Firefox прямо во время общения с клиентом через окошко. Это любого человека обескуражит и заставит неприятно нервничать, особенно если к окошку стоит очередь из людей (их тоже это заставит нервничать).

 

Версии Firefox Mozilla Firefox 31.6.0 ESR (x86 ru) в обоих нижеперечисленных случаях (да, известно что они устарели, но системы авто распространения и обновления софта у нас пока нет).

На сервере стояла версия, предшествующая версии ES 10 11-08-2016 04:00:00.

 

Выясняется, что падать начинает после автоматического обновления агента на версию 11. Нашел, что в логах появляется такое:

-----------------

2016-Aug-24 09:40:07.776418 [2604] [INF] [2136] [arkdll]
id: 4457, type: ShellGuard (50), flags: 1 (wait: 1), cid: 2988/1828:\Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe
  hips: type: 23, action: deny [5]
  address: 0x2eaaa818
  Provided message: "DEP-triggered exception"
Additional information: ""
Mitigation type: DEP-triggered exception
Registers:
EAX = 0x0035E938
ECX = 0x2EAAA818
EDX = 0x00000002
EBX = 0xFFFFFF87
ESP = 0x0035E8AC
EBP = 0x0035E8D4
ESI = 0x00000002
EDI = 0x05DA0AE0
ThreadId = 1828

Instruction address is 0x2EAAA818
  signer: C=US|ST=CA|L=Mountain View|O=Mozilla Corporation|CN=Mozilla Corporation, timestamp: 26.03.2015 10:34:48.0000, thumbprint: 9153980cc186df478f35229e11c9a7310449a1aa
  hash: 5072124fec0ea4ab9d4f5ee3e224e85c18aa5c72 status: db_cert_white_list, signed, pe32 (0x100204) / signed / unknown
send user blocked alert
id: 4457 ==> denied [5], time: 0.625811 ms
2016-Aug-25 09:40:02.585420 [2804] [INF] [event-manager] process_hips_event
2016-Aug-25 09:40:02.585420 [2816] [INF] [2296] [arkdll]

id: 3413, type: ShellGuard (50), flags: 1 (wait: 1), cid: 528/3692:\Device\HarddiskVolume2\Program Files (x86)\Mozilla Firefox\firefox.exe
  hips: type: 23, action: deny [5]
  address: 0x37ac6df0
  Provided message: "DEP-triggered exception"
Additional information: ""
Mitigation type: DEP-triggered exception
Registers:
EAX = 0x002CE2F8
ECX = 0x37AC6DF0
EDX = 0x00000002
EBX = 0xFFFFFF87
ESP = 0x002CE26C
EBP = 0x002CE294
ESI = 0x00000002
EDI = 0x05F8BEE0

ThreadId = 3692
Instruction address is 0x37AC6DF0

  signer: C=US|ST=CA|L=Mountain View|O=Mozilla Corporation|CN=Mozilla Corporation, timestamp: 26.03.2015 10:34:48.0000, thumbprint: 9153980cc186df478f35229e11c9a7310449a1aa
  hash: 5072124fec0ea4ab9d4f5ee3e224e85c18aa5c72 status: db_cert_white_list, signed, pe32 (0x100204) / signed / unknown
send user blocked alert
id: 3413 ==> denied [5], time: 0.329648 ms

----------------------------

 

Наши операторы начинают массово жаловаться, что они не могут обслуживать клиентов, клиенты начинают жаловаться на нас, начинаются волнения в очередях, и .т.пп - в общем, очень неприятное напряжение начинается.

 

Внимание, вопросы

1.  "DEP-triggered exception" - это то, что называется в новой версии сервера "Защита от Эксплойтов"?

2.  чтобы ее отключить, надо сначала догадаться что сервер надо обновить до версии "11-08-2016 04:00:00.", потому что иначе в интерфейсе ее просто нет?

3. Почему эта функция срабатывает на _подписанном_ приложении из белого списка ( "status: db_cert_white_list, signed,") ?

4. сообщение в логе

-------------

2016-Aug-25 09:51:48.135809 [2816] [INF] [hips] reinit excludes. Got 0 values
2016-Aug-25 09:51:48.135809 [2816] [INF] [hips] Set ShellGuard status: disable
2016-Aug-25 09:51:48.135809 [2800] [INF] [DPH] reinit objects...
2016-Aug-25 09:51:48.135809 [2800] [INF] [HIPSObject] Total 156 values for protect
2016-Aug-25 09:51:48.135809 [2800] [INF] [DPH] reinit objects success

-----------------

говорит о том, что на этой станции эта защита отключена?

5. почему при попытке изменить эту настройку (версия сервера обновлена до "11-08-2016 04:00:00."), т.е. выбор в выпадающем списке значения "разрешать" и нажатие на кнопку "сохранить" появляется окно "эта страница просит вас подтвердить, что вы хотите уйти", и два выбора - остаться (ничего не меняется) и уйти - интерфейс управления пропадает и появляется json-список на пустом белом фоне такой:

-------------

http://drweb.samges.ru:9080/esuite/network/enterpriseagent.ds?editSettings=1

{"can_fade_out":true,"elements":["Операция успешно завершена"],"className":"info","personal":0,"with_fade_icon":true,"title":"SAMG103. Заданы персональные настройки."}

------------

И фиг поймешь, сохранилась настройка или нет. (на самом деле сохранилась).

 

6. ну и вопрос риторический - не могли бы вы осторожнее подходить к таким обновлениям, которые вводят новые функции, и не вызывать народных волнений более тщательным кодированием и тестированием ?

 

Прошу ответить так же попунктно, пожалуйста.

 

ЗЫ так же пришлось вносить в исключения другую специфичную для нас программу сторонней разработки, которая тоже перестала запускаться...

 

Добрый день.

Пожалуйста ,сорфмируйте отчёт SysInfo со станции, на которой происходит ошибка. И сразу же спрошу, на рабочей станции установлен EMET?



#4 Valentina Yugai

Valentina Yugai

    Poster

  • Members
  • 1 102 Сообщений:

Отправлено 25 Август 2016 - 12:06

Добрый день.

 

1. Да.

 

2. Вообще-то в новости об этом было сказано. И сервер рекомендуется обновлять после выхода новой версии. Как вы себе представляете управление новой настройкой, которой ранее не было, из необновленного сервера?

 

3. Потому что вы трактуете это запись некорректно.

 

4. Да.

 

5. Подозреваю, что вам нужно сбросить кеш в браузере.

 

6. Мы стараемся. :) Если вы сможете приложить нужную информацию, мы постараемся в кратчайшие сроки выпустить обновление, которое исправит данные ложные срабатывания. Также хотелось бы узнать, какая именно программу сторонней разработки после нашего обновления перестала запускаться? Если это возможно, мы были бы благодарны за дистрибутив.

 

7. По дополнительным вопросам - статистика превентивной защиты, так же как и в более ранних версиях, к сожалению, не отсылается на сервер.



#5 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 25 Август 2016 - 13:10

Валентина, спасибо вам за четкие ответы по пунктам.

 

2. Используете ли вы почтовую рассылку с анонсами подобных обновлений (желательно не всех подряд по всем продуктам, а сервера), чтобы она приходила сама (вышел продукт такой-то для того-то, изменения такие-то, вам нужно предпринять то-то) не надо было выискивать, где вы опубликовали то что "в новости сказано"? Смотрю, например, на рассылку Hewlett-Packard аналогичную, удобно.

 

3. Я трактовал бы так: приложение подписано, вот сертификат подписи: "C=US|ST=CA|L=Mountain View|O=Mozilla Corporation|CN=Mozilla Corporation", организация приличная, внесена в белый список, не применяем к приложению превентивные проверки (по кр. мере связанные с DEP). У вас сделано разве не так?

 

5. да, в отдельном приватном (для очистки кук и кеша) окне работает нормально, спасибо.

 

6. Прикладываю sysinfo c одной из машин, в логе dwservice.log падения за последний период отмечены. Еслия  понимаю сокращения, то EMET - это "Microsoft Enhanced Mitigation Experience Toolkit", и специально руками он не устанавливался. В списке установленных приложений его нет, только если название продукта у него какое-то другое в этом списке.

 

7. Было бы неплохо, если бы вы добавили такую функцию, чем срабатывания "превентивной защиты" хуже других событий. Неприятно то что с традиционным "вирусом" хоть все понятно - вот он вирус, вот уведомление пользователю, вот статистика. А тут бах - и окна нет, и всё. упал ли он сам, или ему кто помог - неясно, только в логах след и нашелся.

 

 

 

 

 

Прикрепленные файлы:



#6 Valentina Yugai

Valentina Yugai

    Poster

  • Members
  • 1 102 Сообщений:

Отправлено 25 Август 2016 - 13:48

2. Мне казалось, что покупатель продукта автоматически подписывается на такую рассылку при регистрации лицензии. Странно, что у вас не приходят письма.

 

3. По поводу защиты от эксплойтов - похоже, вы не совсем поняли, что именно делает эта функция. Дело в том, что эксплойты - это специальные атаки на валидное, подписанное, часто используемое приложение, вызывающие выполнение в нем неавторизованного кода (через переполнение буфера, стека, другие техники). То есть, вы своим полностью чистым браузером заходите на страницу, где размещен вредоносный скрипт, который эксплуатирует уязвимость (ошибку в коде) в этом браузере и выполняет свой вредоносный код из процесса браузера. Вот такой вредоносный код мы и ловим нашим модулем. Правда, иногда случаются ошибки, как с любыми детектами, и по ошибке штатное поведение браузера воспринимается как атака. Мы стараемся их по возможности быстро исправлять.

 

6. Спасибо, будем смотреть.

 

7. Мы подумаем, как это лучше сделать, спасибо за фидбэк.



#7 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 25 Август 2016 - 14:06

2. а где можно подписаться вручную позже тем, кто всё пропустил?

 

3. понятно, спасибо. в данном случае падало на нашем внутреннем веб -приложении, написанном нами, с доступным нам исходным кодом и собираемом нами. Причем только после определенных действий (захода в формы ввода). Так что вряд ли там в приложении есть что-то вредоносное. Что интересно, при апгрейде на версию 45ESR падения прекращались.



#8 Aleksey Tarakhti

Aleksey Tarakhti

    Poster

  • Members
  • 961 Сообщений:

Отправлено 25 Август 2016 - 14:22

combr, проблема оказалась интересной.

 

Могли бы вы снять дамп с процесса firefox.exe в момент воспроизведения проблемы?

 

Что нужно сделать:

  1. Установить Защиту от эксплойтов в интерактивный режим. Это можно сделать либо через веб-консоль, либо в настройках агента непосредственно на рабочей станции (Настройки -> Компоненты защиты -> Превентивная защита -> Защита от эксплойтов).

  2. Воспроизвести проблему. При этом у вас в правом нижнем углу экрана появится уведомление "Блокировать исполнение неавторизованного кода?". Не закрывайте это уведомление(!!!).

  3. Снять дамп процесса. Можно воспользоваться Диспетчером задач Windows, кликнуть правой кнопку мыши на процессе firefox.exe и выбрать пункт "Создать файл дампа памяти".

После снятия дампа можно в нотификации "Блокировать исполнение неавторизованного кода?" выбрать "Разрешить" и продолжить работу.



#9 Alien

Alien

    Member

  • Posters
  • 175 Сообщений:

Отправлено 25 Август 2016 - 16:28

Агент обновился. Проблема решена?



#10 Valentina Yugai

Valentina Yugai

    Poster

  • Members
  • 1 102 Сообщений:

Отправлено 25 Август 2016 - 16:36

2. По идее, подписаться можно тут: https://news.drweb.ru/news/subscribe/

 

3. Имеется в виду самописный веб-клиент или веб-сервер?


Сообщение было изменено Valentina Yugai: 25 Август 2016 - 16:36


#11 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 26 Август 2016 - 09:04

итак, кое-что сделал из предлагаемого.

2. подписался, спасибо.

3. сервер tomcat + приложение на Java для интрасети.

 

Вчера на одном компьютере пытался включить "интерактивный режим", но компьютер стоит в другом офисе за несколько километров, и удаленно было видно только что Firefox "перестал отвечать", и причем закрыть его, снять процесс никак не получалось (просто оставался висеть, что ни пытайся). Окна от drweb не было.

Но на другом компьютере сегодня сработало.

-----------------

 2016-Aug-26 09:08:22.170220 [2756] [INF] [2376] [arkdll]
id: 2115, type: ShellGuard (50), flags: 1 (wait: 1), cid: 4248/4252:\Device\HarddiskVolume2\Program Files\Mozilla Firefox\firefox.exe
  hips: type: 23, action: ask [0]

 address: 0x3fd223b8
  Provided message: "DEP-triggered exception"

Instruction address is 0x3FD223B8

user selected action: allow [2]

-------------------------------

Причем два раза подряд:

--------------------

2016-Aug-26 09:09:12.017204 [2740] [INF] [2376] [arkdll]

id: 2435, type: ShellGuard (50), flags: 1 (wait: 1), cid: 4248/4252:\Device\HarddiskVolume2\Program Files\Mozilla Firefox\firefox.exe
  hips: type: 23, action: ask [0]
  address: 0x3fd223b8

-----------

Последнее обновление баз: drwtoday.vdb 11.00 26-08-2016 06:23:00

Версия агента: SpIDer Agent for Windows 11.0.9.08230

(т.е. последние обновления, которые были с утра, не помогли)

 

В этот раз интерактивный режим сработал, дал разрешить, Перед разрешением сделал дамп firefox.exe, в сжатом виде 7z maximum занимает 81Мб

Положил на google drive :

https://doc-10-5g-docs.googleusercontent.com/docs/securesc/snbkivrf3eite30r5ocvqqr0c47ook4n/vl6s0c55pfbmodl5jsrcks939s3i5190/1472184000000/00157979485547075749/00157979485547075749/0B10WCgFgBDnBdHpnSUt3QThaYlk?e=download&gd=true&access_token=ya29.Ci9LA7NBSGR180hwz00OlvOgEp0L0ir9TTFcYqlwJht9er_FotD4NH0WH3N3Huc0FQ

 

 


Сообщение было изменено combr: 26 Август 2016 - 09:05


#12 Aleksey Tarakhti

Aleksey Tarakhti

    Poster

  • Members
  • 961 Сообщений:

Отправлено 26 Август 2016 - 11:33

итак, кое-что сделал из предлагаемого.

2. подписался, спасибо.

3. сервер tomcat + приложение на Java для интрасети.

 

Вчера на одном компьютере пытался включить "интерактивный режим", но компьютер стоит в другом офисе за несколько километров, и удаленно было видно только что Firefox "перестал отвечать", и причем закрыть его, снять процесс никак не получалось (просто оставался висеть, что ни пытайся). Окна от drweb не было.

Но на другом компьютере сегодня сработало.

-----------------

 2016-Aug-26 09:08:22.170220 [2756] [INF] [2376] [arkdll]
id: 2115, type: ShellGuard (50), flags: 1 (wait: 1), cid: 4248/4252:\Device\HarddiskVolume2\Program Files\Mozilla Firefox\firefox.exe
  hips: type: 23, action: ask [0]

 address: 0x3fd223b8
  Provided message: "DEP-triggered exception"

Instruction address is 0x3FD223B8

user selected action: allow [2]

-------------------------------

Причем два раза подряд:

--------------------

2016-Aug-26 09:09:12.017204 [2740] [INF] [2376] [arkdll]

id: 2435, type: ShellGuard (50), flags: 1 (wait: 1), cid: 4248/4252:\Device\HarddiskVolume2\Program Files\Mozilla Firefox\firefox.exe
  hips: type: 23, action: ask [0]
  address: 0x3fd223b8

-----------

Последнее обновление баз: drwtoday.vdb 11.00 26-08-2016 06:23:00

Версия агента: SpIDer Agent for Windows 11.0.9.08230

(т.е. последние обновления, которые были с утра, не помогли)

 

В этот раз интерактивный режим сработал, дал разрешить, Перед разрешением сделал дамп firefox.exe, в сжатом виде 7z maximum занимает 81Мб

Положил на google drive :

https://doc-10-5g-docs.googleusercontent.com/docs/securesc/snbkivrf3eite30r5ocvqqr0c47ook4n/vl6s0c55pfbmodl5jsrcks939s3i5190/1472184000000/00157979485547075749/00157979485547075749/0B10WCgFgBDnBdHpnSUt3QThaYlk?e=download&gd=true&access_token=ya29.Ci9LA7NBSGR180hwz00OlvOgEp0L0ir9TTFcYqlwJht9er_FotD4NH0WH3N3Huc0FQ

 

Спасибо. Но могли бы вы выложить дамп куда-то ещё? По указанной ссылке скачать не получается.



#13 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 26 Август 2016 - 12:04

выложил тут https://yadi.sk/d/6ljSP84iuW4Qt



#14 Aleksey Tarakhti

Aleksey Tarakhti

    Poster

  • Members
  • 961 Сообщений:

Отправлено 26 Август 2016 - 12:48

выложил тут https://yadi.sk/d/6ljSP84iuW4Qt

 

Благодарю. Всё скачалось. Пока больше информации не нужно. Будем разбираться.



#15 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 29 Август 2016 - 06:56

ждем результатов



#16 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 29 Август 2016 - 11:33

Пока спрошу - а как можно составить такой отчет:

 

станции, на которых была изменена некая конкретная настройка на персональную, в частности "превентивная защита - защита от эксплойтов" установлена в положение "такое-то"?

 

Если у меня, допустим, 300 станций и я по необходимости на 25 из них установил "разрешить исполнение", а потом захочу сделать  на 20 из них "блокировать" (а на 5 еще нет), то как, кроме как тыкания в каждую станцию, выяснить на каких она изменена? (не устанавливая для всей группы настройку насильно).



#17 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 29 Август 2016 - 11:38

combr, можно создавать подгруппы. Если что.



#18 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 29 Август 2016 - 15:57

изменять настройку для станции и переносить ее вручную сразу в подгруппу "группа с измененной настройкой"? это как-то не совсем то, вопрос в том как получить отчет "станции, для которых настройка изменена на то-то".



#19 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 29 Август 2016 - 17:01

select id from station_cfg where component=? and name=? and value=? Конкретика будет сильно зависеть от конкретной настройки.

Это именно персональные настройки для станции. Не наследуемые от первичной группы.


Семь раз отрежь – один раз проверь

#20 combr

combr

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 30 Август 2016 - 08:54

есть ли новости по основному вопросу?

поскольку статистика событий по срабатыванию превентивной защиты на сервер не отправляется, то о ее срабатывании можно узнать только по периодически возникающим звонкам людей работающих на станциях. Или придется отключить "превентивную защиту - защиту от эксплойтов" для всех (что не хотелось бы).

Сейчас еще один проявился:

----

2016-Aug-30 09:35:48.864038 [2516] [INF] [2088] [arkdll]
id: 3422, type: ShellGuard (50), flags: 1 (wait: 1), cid: 3736/304:\Device\HarddiskVolume1\Program Files (x86)\Mozilla Firefox\firefox.exe
  hips: type: 23, action: deny [5]
  address: 0x35e58478

--

Обновления баз сегодня 08:05, агент вчерашний "SpIDer Agent for Windows

  11.0.9.08230 spideragent.exe 19826160 9fff9a4297b1cd6ea0f5faa3dade25d7 20-01-2016 17:18:49 29-08-2016 09:14:55        
"




Also tagged with one or more of these keywords: DEP, firefox

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых