Kaspersky
Question

Не отображается исполняемый файл

  • 26 April 2019
  • 4 replies
  • 757 views

Badge
KSC 11.0.0.1131, на клиентах агенты этой же версии.
На многих устройствах установлена программа ImageMagick 6.9.3-7-Q16 x64. В её комплекте есть несколько исполняемых файлов для командной строки, в частности используется файл convert.exe. Используется - в смысле он реально запускается.
Если в KSC зайти в раздел Управление программами/Исполняемые файлы и поискать этот файл, то он не отображается. Также он не отображается в списке исполняемых файлов выбранного устройства.
При этом, если в свойствах устройства посмотреть реестр программ, то ImageMagic в списке присутствует.

И ещё: в некоторых событиях на устройстве этот файл отображается (объект):
code:
Тип события:     Сработало правило Контроля активности программ
Программа\Название: imgconv.bat
Программа\Путь: c:\users\USER\appdata\local\temp\
Программа\ID процесса: 3616
Пользователь: USER (Активный пользователь)
Компонент: Контроль активности программ
Результат\Описание: Разрешено
Результат\Тип: Доступ к параметрам безопасности
Результат\Название: Внедрение кода
Результат\Степень угрозы: Низкая
Результат\Точность: Точно
Действие: Внедрение кода
Объект: c:\program files\imagemagick-6.9.3-q16\convert.exe
Объект\Тип: Процесс
Объект\Путь: c:\users\USER\appdata\local\temp\
Объект\Название: convert.exe
Причина: Внедрение кода


Почему этот файл пропускается? Каким образом заставить KSC этот файл "увидеть"? Не видно файла - не получается настроить для него контроль активности программ.

4 replies

Userlevel 3
Badge +1
День добрый.

Уточните версию KES.

Проверьте настроена ли в политике передача данных на сервер администрирования о запускаемых программах. (Раздел Отчеты и хранение - кнопка "Настройка")


Запустите на рабочих станциях задачу инвентаризации.
Badge
День добрый.

Уточните версию KES.

Проверьте настроена ли в политике передача данных на сервер администрирования о запускаемых программах. (Раздел Отчеты и хранение - кнопка "Настройка")


Запустите на рабочих станциях задачу инвентаризации.


KES 10.2.6.3733

Да, передача информации о запускаемых программах включена (включено всё, кроме информации о найденных уязвимостях). Можно даже сказать естественно включена, ведь информация о других файлах передаётся.

Запустил задачу инвентаризации на одном компьютере. Файл не появился, хотя на вскидку показалось, что исполняемых файлов с этого компьютера стало отображаться больше.
На всякий случай: несколько записей convert.exe отображаются, но совершенно отчётливо видно, что это программа из комплекта Windows (которая файловые системы конвертирует).
Userlevel 5
Badge +4
Здравствуйте,

Пожалуйста, приложите к своему ответу экспорт политик агена администрирования и KES.
Badge
Здравствуйте,

Пожалуйста, приложите к своему ответу экспорт политик агена администрирования и KES.


Ответил приватным сообщением.

Reply