7 ответов в этой теме

[AIGrrr]

У нас 90 станций в офисе с данным антивирусом. На всех используется BitLocker. На всех Dr. Web сходит с ума и сводит с ума пользователей. Вопрос - зачем он сводит с ума пользователей подобными уведомлениями на стандартную систему Windows, вопрос номер два, как это централизованно отрубить пока пользователи не отрубили кого-то ещё? 

Прикрепленные файлы:

•  photo_2025-01-09_16-35-38.jpg   13,42К   1 Скачано раз

Сообщение было изменено AIGrrr: 09 Январь 2025 - 17:39

[VVS]

В превентивной защите разрешите svchost низкоуровневый доступ.

[AIGrrr]

Это можно централизованно сделать? Проблема ещё в том что удаленно тоже фиг сделаешь, спасибо блокировке курсора anydesk/rustdesk 

[VVS]

Это можно централизованно сделать?

Если используется Центр Управления, то можно.
 

Проблема ещё в том что удаленно тоже фиг сделаешь, спасибо блокировке курсора anydesk/rustdesk

Отключить запрет эмуляции действий пользователя.

[Strato]

В превентивной защите разрешите svchost низкоуровневый доступ.

А насколько безопасно разрешать такое? Или это стандартная практика решения подобной проблемы?

[B.Chugunov]

Не насколько не безопасно. Запрещается в т.ч. потому что ломают RDP и потом шифруют диски с помощью этой самой "стандартной системы Windows". Если по RDP сломают, то конечно все равно найдут, как навредить, там уже никакой антивирус не спасет. Но этот функционал может осложнить жизнь злоумышленникам и замедлить их, дав администратору время на реакцию. 
Правильный выход из Вашей ситуации - найти политики, которыми этот Bitlocker включается на машинах. И отключить их. Это конечно при условии, что включено оно не умышленно. Если умышленно, то только вариант с исключениями + вдумчиво прочитать написанное в https://news.drweb.ru/show/?i=14463
 

[Strato]

Это конечно при условии, что включено оно не умышленно

Включено оно именно умышленно. На корпоративных ноутбуках пользователей данные зашифрованы bit-locker'ом.

Вопрос в том, что судя по всему совершенно "законные" действия ОС антивирус принимает за угрозу.

[B.Chugunov]

Здесь уже обращаемся к вечному - что лучше, перебдеть или недобдеть   
Я думаю, что те пользователи, у которых данные зашифровались битлокером - с вами бы сильно не согласились   
То, что действия законные - не значит, что они не могу быть опасны. Спички и кухонные ножи тоже законны и вполне себе легитимны в своем роде, но почему то не всех радует, что кто-то использует их не только по прямому назначению. С помощью Bitlocker в определенный момент времени пользователей начали шифровать повально, часто и много. Да, пускай и в 99,9% случаев после предварительного взлома, но все же. И да, пускай это не единственный вариант зашифровать данные, но это может заставить злоумышленника потратить время для обхода защиты. А время в таких ситуациях - очень ценный ресурс. Оказалось, что для злоумышленников это очень удобный механизм, даже ничего загружать не надо на машину. Со стороны винды и антивируса тоже все очень законно - штатный функционал. Подключился как законный админ, взял вшитую тулзу и пошифровал все диски со своим паролем. 
Ввод запретов, кстати, в реальной жизни себя показал. Некоторые взломщики не убеждались в том, что шифрование успешно запущено. Они давали удаленно команду со взломанного сервера на конечную машину и переходили к следующей машине. Либо просто скриптами пытались это все по сети раскидать. При этом они не видели, что процесс обломался, потому что антивирус запретил запись. 

И заблокированы, к слову, не все действия. 

У Bitlocker есть несколько параметров\ключей, которые он может менять:

ActiveDirectoryBackup, RequireActiveDirectoryBackup - по умолчанию изменение разрешено со стороны превентивной защиты.

UseTPMKeyPIN, EnableBDEWithNoTPM, UseAdvancedStartup - по умолчанию изменение запрещено со стороны превентивной защиты.
 

В остальном, в жизни же все точно так же работает    Если какой-то хорошей вещью начинают злоупотреблять, то отношение закона к ней пересматривается. Сначала в серую зону, потом если не поможет - полный запрет. Возможно когда то будет оттепель. Снова начнут злоупотреблять - снова запретят и так по кругу. Для тех, кто привык чем-то таким "запретным" пользоваться - эти решения спорны и это понятно. Но это уже опять же всё философия. Стоит ли даже пара спасенных жизней - комфорта миллионов?) Никто не знает правильного ответа. Каждый для себя выбирает сам. 
Возвращаясь к битлокеру - сделали так, как сделали, по закономерным причинам. Кому его сильно нужно пользовать - есть механизм правил и исключений. Ничего железобетонно не запрещено. 
Подавляющее большинство пользователей битлокером не пользуются. В т.ч. из-за печального опыта с ним, когда данные теряли по собственной вине. Т.е. большинство здесь тоже не ущемлено. 
Жаль, что для Вашей конфигурации это стало проблемой, но все карты на столе. Можно задать исключения, можно отказаться от функций битлокера, можно еще сесть и разобраться в его настройках. Какая из опций\политик за что отвечает. Что влияет на изменение параметров UseTPMKeyPIN, EnableBDEWithNoTPM, UseAdvancedStartup и можно ли отключить это без потерь. Тогда и исключения будут не нужны.   
 

Сообщение было изменено B.Chugunov: 28 Январь 2025 - 18:57