Kaspersky
Solved

Удаление файлов


Всем доброго дня!
Никто не сталкивался с задачей удаления папки с файлами с WS через KSC?
И возможно ли это?
icon

Best answer by Kommunist7304 3 April 2019, 11:05

View original

12 replies

Userlevel 3
Badge +2
Можно батник написать и пускать его на исполнение на нужных ПК.
Батник это первое что приходит на ум, но это так себе решение. Каждый раз его переписывать? Задачу-то проще создавать.
Userlevel 3
Badge +2
Ещё проще "подумать и помечтать", а задача сама появится и исполнится в лучшем виде, но давайте рассуждать из функционала что реально доступен. Большинство батников можно написать с изначально избыточным функционалом и переписывать по 10 раз их не потребуется.
Хорошо перефразирую вопрос, видимо плохо изложил.
Есть ли в KSC функционал по удалению папки с файлами (например портабл версий)?
Или на WS можно удалять только программы?
P.S.: надеюсь так более ясна суть вопроса, а не "мечтаний"
Userlevel 3
Badge +2
Средствами KSC можно удалять только то ПО, которое было каталогизировано в базу KSC и даже в этом случае автоматический подбор параметров удаления весьма ограничен и часто приходится прописывать ключи удаления и пути самостоятельно. Портативные версии ПО крайне редко заносятся в базу KSC, т.к. они не оставляют следов в реестре, соответственно их удаление чаще всего невозможно без использования сторонних инструментов.
Userlevel 4
Badge +2
День добрый
Я правильно понимаю что у Вас на WindowsServer пользователи создают папки с портаблверсиями и запускают их? А на самом сервер у Вас какой антивирь стоит?
WS - это work station. На сервере ничего не запускают, а вот на своих местах любят это делать. Вот и хотелось бы это дело периодически чистить. Клиент же при инвентаризации и поиске вирусов проверяет файлы, значит гипотетически у него есть инфа о месте размещения, имени и расширении файла на компе.
Но если нет, то нет... Будем костыли делать....
Userlevel 3
Badge +2
Нужно запрещать запуск исполняемых файлов с любых устройств, а в исключение добавить windows и program files. Пока у пользователей не запрещен запуск чего ни попадя на АРМ всегда есть риск что шифровальщик шифранет все данные на компе и в сетевой шаре, а это гемора принесет гораздо больше. Что-то решение проблемы не с той стороны вы начали сударь.
Что-то Ваши речевые обороты нику не соответствуют. Да и кто Вам сказал что столь милостливо подсказанное решение не реализовано? Запуск-то запрещен, кроме белого списка. Но еще раз повторяю, для тех кто только с броневика слышит, что вопрос не в запрете запуска, а в удалении с компов самых умных, создаваемых в РАЗРЕШЕННЫХ (или у Вас таких нет?) местах папок с файлами. Потому что не взирая на запрет, их периодически пытаются запустить. Когда компов с десяток, то и фиг с ним, но если их больше 3000? батнички на каждого умного рисовать заколебешься, да и времени жалко.
Мне вот прям стало интересно а как это у вас пользователи смогли что-то записать в c:\windows & c:\ProgramFiles?
ИМХО: Это НЕ задача антивирусного ПО удалять пользовательские файлы. Вам требуются другие решения более направленные на аудит пользовательских данных/файлов.
Интересно, а где я сказал что пишут в windows и programfiles? У Вас пользователи в своем профиле вообще не могут писать файлы? Один из обычных сценариев - сохранение с разрешенного носителя архива или папки, например в "загрузки" или "документы", а потом попытка запуска. Естественно ничего не выходит, но алерт шлепается. Особо дотошные могут так пытаться запустить до нескольких раз в день.
По поводу того что это не задача антивирусного ПО удалять пользовательские файлы я согласен, но тогда и установка/удаление программ тоже не его задача, а она реализована. Вот и поинтересовался, может и такой функционал есть.
А вообще, я уже писал выше, что нет - так нет, будем другое решение искать.
А из пользовательских расположений вы можете удалять файлы при помощи универсального del /f /s /q $Users/*.exe. Но будьте осторожней с заданием пути для удаления файлов по маске.
ИМХО: Удаление ПО реализовано так как ПО может не отвечать требованиям ИБ компании.

Reply