Владислав

Некорректная работа EAM

Recommended Posts

Запускаю на сервере терминалов (WS2012R2) под обычным пользователем диагностическую утилиту https://help.kontur.ru (exe-вариант), EAM сообщает, что через 30 секунд она будет помещена в карантин без вариантов (поскольку я настроил такой вариант поведения для пользователей). Открываю карантин - там пусто. Меняю в настройках EEC вариант "Quarantine with notification" на "Alert" для пунктов "Malware detections" и "PUP detections", запускаю утилиту ещё раз - её окно появляется и тут же исчезает без каких-либо сообщений, то есть EAM блокирует её выполнение по-прежнему без предоставления пользователю вариантов. Проверяю файл утилиты EAM-мом непосредственно - угроз не обнаружено. Добавляю полный путь к утилите в список исключений проверки - ничего не меняется, утилита закрывается сразу после запуска. В отчётах вижу, что названная утилита была перемещена пользователем в карантин, но в карантине по-прежнему пусто, а exe-файл утилиты находится на прежнем месте. Прав доступа на диск с утилитой у пользователя нет, утилиту я запускал после ввода админского логина и пароля при обращении к диску (после запроса на повышением прав) - возможно, поэтому опасный по мнению EAM файл и не может быть перемещён в карантин. Однако при запуске этой утилиты в профиле администратора, у которого полный доступ ко всему, и админские права в самом EAM, но всё происходит в точности так же. Проблему решает только выключение в EAM анализа поведения.

Share this post


Link to post
Share on other sites

Здравствуйте, Владислав )
Вы сами частично ответили, дело в том, что Файловая защита тут не причем,  идет обнаружение со стороны Анализа поведения, поэтому вы и должны менять настройки для анализа поведения в ЕЕС. Behavior Blocker в строке Suspicious programs поставить Alert.
Сам .ехе файл не несёт угрозы, ЕАМ определяет подозрительное поведение как только утилита начинает шуршать по вашим файлам еще используя браузер.
 Все таки некорректность поведения здесь есть в том, что есть сообщение об отправлении в карантин,а там ничего нет. Путь у это программы очень интересный Application Rule created for "C:\Users\Administrator\Desktop\https:/help.kontur.ru\KE?XUACompatible=8&backbrowser=chrome", спасибо что сообщили нам.
Если вы хотите добавить правило для действий утилиты, то вам необходимо в Анализе поведения удалить уже созданные правила, изменить настройку на для Анализа поведения на Alert

,(Показать уведомление) и перезапустить сервис: нажмите правой кнопкой мыши на иконку Щита в трее и выберите Отключить защиту, затем откройте ЕАМ снова.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.