Kaspersky
Solved

Нюансы работы автономной политики


Userlevel 3
Badge +1
Всем добрый день.

Ситуация:
Имеется KSC 11
Имеется тестовая группа ПК, на эту группу пк действуют
  1. Политика KES
  2. Политика KES (автономная) - тоесть политика со своими специфическими настройками которая включается по недоступности KSC сервера, режимы переключения не важны;
  3. Политика Агента администирирования
И обычная политика и автономная успешно работают и переключаются, но
В настройках обоих политик я добавил тестовую группу админов которые имеют все права на KES, проверил - все добавлено все работает, и тут начанаются важные нюансы!!
  1. Автономная политика (ее настройки) применяются к хосту только тогда когда он доступен с KSC, тоесть - если вы изменили что-то в автономке несмотря на то что она автономка нужно подключение для ее обновления, в принципе логично, согласен, иначе как система узнает о новых опциях;
  2. Как сказал в каждой политики есть группа условно группа AD "KLADMINS" которая имеет все права, дак вот пока на хост действует обычная политика я могу управлять опциями "приостановка защиты и контроля..." и "выключение политики", но как только я попадают в "автономную политику" такое ощущение что система понимая что она в "автономке" убирает мне эти опции.
Вопрос - вышеуказанные опции недоступны в автономной политике несмотря на то что группа пользователей добавлена и политика применена?...
Я для себя пытаюсь объяснить это тем что автономная политика задана для ситуации без подключения к KSC - значит эти настройки как бы перманентные и их нельзя менять так как центр недосупен...
В тоже время я могу сделать выход из касперского полностью используя учетные данные пользователя группы условной "KLADMINS", получается что все таки опция группы доступа применилась но сами опции недоступны...
Просто выключение меня не устраивает, мне нужно временное отключение политики...
Есть какие то соображения?
На скрине представлены опции примененной к хосту автономной политики



icon

Best answer by Alexey 9 August 2019, 09:02

Добрый день.

Получил в частности ответ из СА ниже.

"Опции "выключение политики" и "приостановка защиты и контроля" доступны, если программа работает под защитой паролем. В частности, если эти опции, которые выполняют указанные функции, защищены паролем.
В настройках автономной политики (настройки защиты паролем) указана группа" все". Для данной группы, опции: "выключение политики KSC" и "Выключение компонентов защиты" и "Выключение компонентов контроля" были разрешены - поэтому функции в контекстном меню значка KES в системном трее были недоступны."


Соответственно я сделал вывод что разрешая указанные опции группе "Все" мы тем самым как бы исключаем использование пароля, и сразу опции становятся недоступны соответственно. Тоесть чтобы эти опции были доступны (учетке с паролем) необходимо запретить их изменение группе "Все".
View original

14 replies

Userlevel 4
Badge +2
Здравствуйте,

Пожалуйста, приложите к своему ответу экспорт этой автономной политики.
Userlevel 3
Badge +1
Тестовая политика во вложении.
Userlevel 3
Badge +1
Немного странно но дали подсказку из CA.
Оказывается - встроенная учетка "все" была с разными настройками..... ну тоесть они не совпадали. Я привел настройку "все" к одному виду и опции стали доступны.
Странно то что я настраивал отдельную группу а не "все", но это тоже влияет...
Userlevel 4
Badge +2
Спасибо за информацию!

Пожалуйста, уточните, если для группы Everyone убрать возможность отключать политику, то у пользователя эта опция доступна?
Userlevel 3
Badge +1
Спасибо за информацию!

Пожалуйста, уточните, если для группы Everyone убрать возможность отключать политику, то у пользователя эта опция доступна?


Доброе утро.

Немного странное для меня поведение, провел эксперименты:
  1. В обоих политиках предоставляю права на "Все" запретить все (галки не стоят) - в результате в обоих политиках управлять KES и отключать политику можно
  2. В обоих политиках предоставляю права на "Все" разрешить все (все галки стоят) - в результате в обоих политиках управлять KES и отключать политику невозможно
(разве не наоборот должно быть?)
3 . В качестве эксперимента в обычной политике на "Все" разрешил все!
В авнотомной разрешил все кроме "выключение политики"
В результате в случае обычной политики опции недоступны, в автономной политике - опция "выключение политики доступно"
Опять таки исходя из пункта 3 разве не наоборот должно быть?

Конкретно отвечая на ваш вопрос:
Пожалуйста, уточните, если для группы Everyone убрать возможность отключать политику, то у пользователя эта опция доступна? - да доступна.

Но если дать группе Everyone все права то опция недоступна. Это странно так как в Everyone входит в том числе и моя группа.
Немного странная схема работы либо я чего то недопонимаю....
В целом меня устраивает что группе "Все" учитывая что ее нельзя удалить я не даю никаких прав, это то что нужно в большинстве случаев. Добавляю нужную мне группу и даю права только ей. В данном случае опции работают. Может быть в этом и задумка какая то..
Userlevel 3
Badge +1
Добрый день.

Получил в частности ответ из СА ниже.

"Опции "выключение политики" и "приостановка защиты и контроля" доступны, если программа работает под защитой паролем. В частности, если эти опции, которые выполняют указанные функции, защищены паролем.
В настройках автономной политики (настройки защиты паролем) указана группа" все". Для данной группы, опции: "выключение политики KSC" и "Выключение компонентов защиты" и "Выключение компонентов контроля" были разрешены - поэтому функции в контекстном меню значка KES в системном трее были недоступны."


Соответственно я сделал вывод что разрешая указанные опции группе "Все" мы тем самым как бы исключаем использование пароля, и сразу опции становятся недоступны соответственно. Тоесть чтобы эти опции были доступны (учетке с паролем) необходимо запретить их изменение группе "Все".
Userlevel 3
Badge +1
Всем привет еще раз - может быть кто то копал глубоко автономный режим. Возник такой вопрос.
Постараюсь коротко объяснить
  1. В политике для KES имеются профили политик, с возможностью активации по ряду условий, одно из них это "Устройство находится в автономном режиме да\нет"
  2. В политике для агента администрирования есть два профиля соединения к серверу: 1 - оффлайн режим, 2 - домашний сервер администрирования
  3. В политике для агента администрирования - имеется возможность добавить доп. профиль соединения, если это необходимо. Предположим доп. профилей не настроено!
Вопрос - в описанной ситуации по пункту 1 какие параметры будут указывать на статус устройства Устройство находится в автономном режиме - да???
По логике рассуждаю - что раз не настроен доп. профиль подключения то как только сервер KSC недоступен (другая сеть, отсутствие сети и любое другое условие) будет являться этим условием. Но хотелось бы точно узнать это.
И второе - если я по пункту №2 добавлю профиль для автономных пользователей устраивающий меня (например резолв записи в сети) будет ли это условие участвовать в свойствах опции №1 устройство находится в автономном режиме - да?

Третье - в опциях профилей политики KES при создании нового правила есть опция: Устройство находится в казанном сетевом местоположении "Вне корпоративной сети" - что подразумевается под этой опцией, ip адреса будут другие или недоступность KSC или что?


Badge +1
Автономный режим это когда сетевой агент в течении трех (если меня не ошибает память) интервалов синхронизации не может достучаться до сервера. Если такое происходит, то антивирус переключается на автономную политику в случае если оная политика была создана и применена на целевом ПК.
Полагаю для профилей работает такая же схема.
Userlevel 3
Badge +1
Автономный режим это когда сетевой агент в течении трех (если меня не ошибает память) интервалов синхронизации не может достучаться до сервера. Если такое происходит, то антивирус переключается на автономную политику в случае если оная политика была создана и применена на целевом ПК.
Полагаю для профилей работает такая же схема.


Zandatsu я скажу точно про автономку по умолчанию: автономный режим это когда не подключено ни одной сети, тогда переключение сразу, либо 3 раза не смог синхронизироваться с сервером, тоесть 15+15+15 минут. Тут все понятно.

2 . Не обязательно на автономную как правильно заметил, я и не хочу использовать автономку так как там свои нюансы + теги нельзя накинуть, я использую именно профили! тоесть переключение на ПРОФИЛЬ по попаданию в автономный режим;
3 . Полагаю для профилей работает такая же схема - в этом и вопрос, понимаешь я в агенте настроил доп. правила для профиля "оффлайн-режим". И не понимаю эти доп. правила теперь имеют влияние или переход в автономку происходит все так же, либо нет сети либо 3 раза не синхрон....

Скрин там где доп. условия перехода в автономку настраиваются ниже.
  1. И еще раз коротко вопрос - мое условие на скрине влияет на переход в автономный режим в опции KES профилей политик или нет???? (В политике для KES имеются профили политик, с возможностью активации по ряду условий, одно из них это "Устройство находится в автономном режиме да\нет")

Badge +1
Касательно п. 2 лучше дождаться ответа у поддержки. Мне самому интересно.
Userlevel 3
Badge +1
Касательно п. 2 лучше дождаться ответа у поддержки. Мне самому интересно.

Пообщался с технической поддержкой по данной теме (кто в теме и читал пост с самого начала).
В целом ответ такой - настройка агента администрирования подключения\профили соединений\параметры сетевого местоположения, и соответственно как следствие - переход в автономку по этим настройкам влияет на настройку KES профили политик если в условии переключения политик выбирать свойство "Устройство в автономном режиме - ДА"
Не совсем удобно проверять все эти настройки и влияние но в целом если получится на 100% проверить я отпишусь.
Userlevel 3
Badge +1
Ребята еще возник такой вопрос.
Например в правиле включения оффлайн-режима я использую доп. условие, скажем. Разрешимость имен определенных хостов внутри сети. Применяю эту настройку и будем считать что она влияет.
Не повлияет ли это на Kaspersky SVM??? - важно что на них тоже установлен агент администрирования, по крайне мере так сказано.
Опасаюсь ситуации что я назначу эту опцию, требованиям они например соответствовать не будут и безвозвратно провалятся в оффлайн режим. Как говорят - выстрелить себе в колено.
Userlevel 3
Badge +1
Для понимания привожу скрин. Тоесть unix машине SVM тоже установлен агент.
Вопрос в том - доп. настройка для агента администрирования при переходе в автономный режим например по разрешимости имен тут же не грохнет все SVM в оффлайн?

Userlevel 3
Badge +1
Для понимания привожу скрин. Тоесть unix машине SVM тоже установлен агент.
Вопрос в том - доп. настройка для агента администрирования при переходе в автономный режим например по разрешимости имен тут же не грохнет все SVM в оффлайн? - ответ.
Данные настройки агента (профили соединений\параметры сетевого местоположени) не влияют на агента администрирования SVM.

Reply / Ответить