none
SRP - спонтанные блокировки процессов RRS feed

  • Общие обсуждения

  • Здравствуйте.

    У нас в компании к части компьютеров применяется политика Software Restriction Policy. В ней установлен уровень безопасности по умолчанию - "Запрещено".

    Есть наборы правил:

    1) разрешающие запуск ПО из "C:\Program Files", "C:\Program Files (x86)", "C:\Windows".

    2) запрещающие запуск из некоторых подпапок вышеуказанных каталогов.

    3) разрешающие запуск некоторых файлов по хэшу.

    Всё на компьютерах работает корректно, но до поры, до времени. Иногда на некоторых машинах начинаются спонтанные блокировки разрешенных программ. Лечится либо перезагрузкой "заболевшего" ПК, либо выполнением команды gpupdate /force. И так до следующего раза.

    Помогите, пожалуйста, разобраться.

    На форумах вычитал, что такое бывает из-за штатных разрешающих правил (из пункта 1), которые адресуют каталоги через ключи реестра. Переделал на прямые пути. - Не помогло.

    На всякий случай добавил в политику антивируса исключения для файлов "C:\Windows\System32\GroupPolicy\User\Registry.pol", "C:\Windows\System32\GroupPolicy\Machine\Registry.pol", "C:\ProgramData\ntuser.pol". - Это тоже не дало эффекта.

    • Изменен тип Anton Sashev Ivanov 31 августа 2016 г. 5:59 обсуждение
    25 августа 2016 г. 14:15

Все ответы

  • Неужели ни у кого таких проблем не возникало?
    26 августа 2016 г. 6:45
  • Добавлять файлы политик антивирусу то зачем?

    Вся текущая конфигурация SRP лежит в HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer и там можно посмотреть что сейчас реально применено. Можно находу удалять/добавлять.

    Ну а что блокируется - пишется в журнал.

    https://blog.windowsnt.lv/2013/09/09/srp-auditing-english/

    26 августа 2016 г. 11:03
  • Про реестр я знаю. Были подозрения, что в момент применения (т.е. по сути импорта указанных файлов в реестр) что-то некорректно прописывается. Соответственно, антивирус попал под подозрение.

    Вопрос ни что блокируется (это по логам, и по всплывающим сообщениям видно), а почему.

    Ну, к примеру. Разрешен запуск из папки Windows и вдруг в один "прекрасный" момент начинает блокироваться запуск терминального клиента mstsc.exe. "gpupdate /force" и всё начинает работать корректно. Кто виноват и что делать?

    Разрешающих и запрещающих правил достаточно много. - На данный момент порядка 700.

    26 августа 2016 г. 12:16
  • Добрый день, Евгений. 

    Вы смогли решить проблему? У меня та же лажа. Подобное бывало на разных ОС и разном железе. Причём, проблема плавающая, то есть, то нет. Сейчас на Win 10 Pro, при этом на Win 7 всё нормально при тех же настройках. Вот примеры блокировки библиотек: 
    svchost.exe (PID = 1624) identified \??\c:\windows\system32\wkssvc.dll as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}
    svchost.exe (PID = 1624) identified \??\c:\windows\system32\cryptsvc.dll as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}
    svchost.exe (PID = 1656) identified \??\C:\Windows\SYSTEM32\ondemandconnroutehelper.dll as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}
    dwm.exe (PID = 1052) identified \??\C:\Windows\system32\Cabinet.dll as Disallowed using default rule, Guid = {11015445-d282-4f86-96a2-9e485f593302}

    Удаление антивируса проблему не решило. Пришлось временно перевести SRP в положение "Неограниченный". Причём, после перевода подобные записи в логе не появляются. Пока пытаюсь копать проблему на виртуалке, может и накопаю чего. Раньше у меня создавалось впечатление, что подобное происходит в моменты сильной загрузки ОС, но в данном случае железо мощное. 

    P.S. Я так понимаю, MS забило на SRP. Иначе, как понимать, что до сих пор нет возможности автоматизированно настроить SRP и зачем ПО OneDrive (в Win 10) кидать в профиль пользователя?
    13 июня 2017 г. 16:12
  • К сожалению, победить проблему не смог.

    Даже наоборот, в последний месяц на компьютерах стали возникать блокировки запуска любых разрешенных процессов по несколько раз в день.

    Временно помогали перезагрузка или выполнение команды "gpupdate /force".

    Самое забавное, что политики SRP не менялись, о чем было видно даже из логов проблемных компьютеров.

    Сейчас пришлось данную политику отключить, так как работать стало с ней невозможно из-за постоянных сбоев.

    Может SRP не умеет стабильно работать с большим количество правил (например, срабатывают какие-нибудь таймауты применения)? У меня их больше 700.

    Или может как-то повлияли и исправления на ОС?

    Из ПО, которое потенциально может вызывать какие-либо конфликты, у нас используются антивирус Kaspersky EndPoint Security (рекомендованные MS исключения присутствуют) и DLP-клиент Infowatch Device Monitor. Но похоже дело не в них.


    13 июня 2017 г. 18:08
  • Включите Advanced Logging как описано тут https://technet.microsoft.com/en-us/library/bb457006.aspx

    Сазонов Илья

    https://isazonov.wordpress.com/

    14 июня 2017 г. 6:37
    Модератор