none
Необычное поведение групповых политик RRS feed

  • Вопрос

  • Контроллеры домена - 2х Server 2012R2

    Клиенты - Win 7/8.1/10 + Kaspersky Endpoint Security 11

    Несколько дней назад обнаружил отключенный UAC на всех машинах. введённых в домен. Не доменные машины не затронуты. При работе из под учётки админа - UAC выключен, не запрашивает подтверждений. При работе из под юзера - UAC выключен, запрос на повышение прав не происходит.

    Изменил параметры групповой политики связанные с UAC из состояние "не определено" в конкретные значения по инструкциям из другого поста. После применения групповой политики, вручную включаю UAC из под админа на нескольких машинах - через пару дней проверяю - UAC опять выключен.

    Есть основания полагать, что в систему попало какое-то вредоносное ПО, не детектируемое KES11 + защитник Windows.

    Проверил групповую политику на предмет изменений в разделе "Реестр" - там только установленные мной значения. Учётная запись "администратор" с сложным паролем (смена раз в пару месяцев), все пользователи работают в ограниченной учётной записи (даже я, вводя пароль для повышения прав)

    Есть какие соображения, куда копать? сейчас изучаю taskschd.msc на предмет левых заданий


    21 октября 2019 г. 11:02

Ответы

  • проблема решилась путём включения UAC "Всегда уведомлять" - при следующем запуске ПК из под администратора пошёл запрос скрипта на выполнение действий требующих повышения, располагался в %appdata% и выполнялся при запуске, неизвестным образом обходя ограничение пользовательских учётных записей, не имевших административных прав. Отправлен в лабораторию Касперского для анализа, с машин удалён в ручном режиме =)
    • Помечено в качестве ответа Azzrael 23 октября 2019 г. 6:08
    23 октября 2019 г. 6:07

Все ответы

  • Здравствуйте,

    - Уточните пожалуйста отключается UAC на всех клиентах или только на Windows 7?
    - В некоторых случаях для установки Kaspersky Endpoint Security нужно отключить UAC, не может ли это повлиять на ваш случай? Проверьте настроки удаленной установки на KSC, возможно там и указано отключать UAC.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    22 октября 2019 г. 0:15
    Модератор
  • На всех машинах как win7 так и win10 (1903) - происходит отключение UAC который был включен. KES 11 был установлен в ручном режиме, без KSC, проблема воспроизводится на свеже-переустановленной машине с Windows 10 Pro 1903 сразу после ввода машины в домен, ещё до установки касперского.
    22 октября 2019 г. 6:16
  • На всех машинах как win7 так и win10 (1903) - происходит отключение UAC который был включен. KES 11 был установлен в ручном режиме, без KSC, проблема воспроизводится на свеже-переустановленной машине с Windows 10 Pro 1903 сразу после ввода машины в домен, ещё до установки касперского.
    В таком случае, попробуйте исключить из применения политик одну или пару рабочих станций с проблемами, чтобы понять где именно проблема в GPO или где ещё.
    22 октября 2019 г. 6:27
  • Проблема появляется после введения свеже-установленного ПК в домен. После вывода из домена проблемного ПК, проблема сохраняется. Судя по всему вредоносное ПО распространяется через групповую политику, но посторонних записей в групповой политике я не обнаружил.

    Проверил запущенные службы - всё чисто, левых служб нет. Проверил планировщик заданий - тоже всё чисто, все задания соответствуют как на проблемном ПК с win10 так и на свеже-установленном.

    UAC отключается правкой реестра ведь, как из под ограниченного пользователя это делается?

    Отправил образ системы Physical-to-Virtual собранный с помощью Microsoft Virtual Machine Converter в поддержку KES11 пусть проверят. 

    22 октября 2019 г. 10:55
  • Здравствуйте,

    А могли бы приложить ссылку на следующий лог? Он должен показать, если у Вас имеется вредоносное ПО.
    https://support.kaspersky.ru/common/diagnostics/3632

    P.S. обратите внимание, что в логе могут присутствовать данные об использования активаторов, случае использование выше указанного на ПК.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 22 октября 2019 г. 12:08 обновлено
    22 октября 2019 г. 12:05
    Модератор
  • в этих логах отображается слишком много информации )) включая тип установленных средств шифрования и защиты от несанкционированного доступа, IP адреса, открытые порты. В публичку такое не выложишь
    22 октября 2019 г. 14:28
  • Попробуйте обратить в Лабораторию Касперского, они вам должны помочь, при имеющей у Вас лицензии на их продукты.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    22 октября 2019 г. 17:29
    Модератор
  • проблема решилась путём включения UAC "Всегда уведомлять" - при следующем запуске ПК из под администратора пошёл запрос скрипта на выполнение действий требующих повышения, располагался в %appdata% и выполнялся при запуске, неизвестным образом обходя ограничение пользовательских учётных записей, не имевших административных прав. Отправлен в лабораторию Касперского для анализа, с машин удалён в ручном режиме =)
    • Помечено в качестве ответа Azzrael 23 октября 2019 г. 6:08
    23 октября 2019 г. 6:07