Владислав

Некорректная работа EAM

Recommended Posts

Запускаю на сервере терминалов (WS2012R2) под обычным пользователем диагностическую утилиту https://help.kontur.ru (exe-вариант), EAM сообщает, что через 30 секунд она будет помещена в карантин без вариантов (поскольку я настроил такой вариант поведения для пользователей). Открываю карантин - там пусто. Меняю в настройках EEC вариант "Quarantine with notification" на "Alert" для пунктов "Malware detections" и "PUP detections", запускаю утилиту ещё раз - её окно появляется и тут же исчезает без каких-либо сообщений, то есть EAM блокирует её выполнение по-прежнему без предоставления пользователю вариантов. Проверяю файл утилиты EAM-мом непосредственно - угроз не обнаружено. Добавляю полный путь к утилите в список исключений проверки - ничего не меняется, утилита закрывается сразу после запуска. В отчётах вижу, что названная утилита была перемещена пользователем в карантин, но в карантине по-прежнему пусто, а exe-файл утилиты находится на прежнем месте. Прав доступа на диск с утилитой у пользователя нет, утилиту я запускал после ввода админского логина и пароля при обращении к диску (после запроса на повышением прав) - возможно, поэтому опасный по мнению EAM файл и не может быть перемещён в карантин. Однако при запуске этой утилиты в профиле администратора, у которого полный доступ ко всему, и админские права в самом EAM, но всё происходит в точности так же. Проблему решает только выключение в EAM анализа поведения.

Share this post


Link to post
Share on other sites

Здравствуйте, Владислав )
Вы сами частично ответили, дело в том, что Файловая защита тут не причем,  идет обнаружение со стороны Анализа поведения, поэтому вы и должны менять настройки для анализа поведения в ЕЕС. Behavior Blocker в строке Suspicious programs поставить Alert.
Сам .ехе файл не несёт угрозы, ЕАМ определяет подозрительное поведение как только утилита начинает шуршать по вашим файлам еще используя браузер.
 Все таки некорректность поведения здесь есть в том, что есть сообщение об отправлении в карантин,а там ничего нет. Путь у это программы очень интересный Application Rule created for "C:\Users\Administrator\Desktop\https:/help.kontur.ru\KE?XUACompatible=8&backbrowser=chrome", спасибо что сообщили нам.
Если вы хотите добавить правило для действий утилиты, то вам необходимо в Анализе поведения удалить уже созданные правила, изменить настройку на для Анализа поведения на Alert

,(Показать уведомление) и перезапустить сервис: нажмите правой кнопкой мыши на иконку Щита в трее и выберите Отключить защиту, затем откройте ЕАМ снова.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.