Kaspersky Endpoint Security
От: a9000  
Дата: 26.02.21 17:56
Оценка:
Скажите, что это за зверь?
В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.
Re: Kaspersky Endpoint Security
От: wildwind Россия  
Дата: 26.02.21 18:38
Оценка: :)
Здравствуйте, a9000, Вы писали:

A>В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.


Тут нужно уточнить, какой именно организации?
Re[2]: Kaspersky Endpoint Security
От: a9000  
Дата: 27.02.21 09:46
Оценка:
Здравствуйте, wildwind, Вы писали:

W>Тут нужно уточнить, какой именно организации?


В которой работаю. По идее у админов может быть серверная часть, где в том числе возможен сбор информации с рабочих мест.

Кстати, возможно что сабжевая софтина и не имеет такой функции, но какие-то другие имеют, и они установлены. Есть какой-то список подобного софта, чтобы можно было по списку процессов или как-то еще проверить?

Просто на всех предыдущих работах мы сами себе были алмины, сами ставили винду и весь софт какой нужно. А сейчас все стало серьезно. Я знаю что они могут устанавливать софт дистанционно, причем без смены пользователя (возможно это происходит при старте системы). Имеют полный доступ к файловой системе. Ну это понятно и ничего страшного в этом нет. А вот скриншоты... не хотелось бы чтобы был такой уровень контроля, да и это уже несколько выходит за рамки "удаленного администрирования". По крайней мере хочется быть уверенным что его нет, или знать что он есть.

Поэтому пришла в голову мысль периодически проверять список процессов и служб, может быть поставить какой-то процесс менеджер который запоминает списки процессов и служб и отслеживает новые (например anvir task manager вроде такое умеет).
Re[3]: Kaspersky Endpoint Security
От: alex Россия  
Дата: 27.02.21 12:27
Оценка:
Здравствуйте, a9000, Вы писали:

A>Здравствуйте, wildwind, Вы писали:


W>>Тут нужно уточнить, какой именно организации?


A>В которой работаю. По идее у админов может быть серверная часть, где в том числе возможен сбор информации с рабочих мест.


A>Кстати, возможно что сабжевая софтина и не имеет такой функции, но какие-то другие имеют, и они установлены. Есть какой-то список подобного софта, чтобы можно было по списку процессов или как-то еще проверить?


A>Просто на всех предыдущих работах мы сами себе были алмины, сами ставили винду и весь софт какой нужно. А сейчас все стало серьезно. Я знаю что они могут устанавливать софт дистанционно, причем без смены пользователя (возможно это происходит при старте системы). Имеют полный доступ к файловой системе. Ну это понятно и ничего страшного в этом нет. А вот скриншоты... не хотелось бы чтобы был такой уровень контроля, да и это уже несколько выходит за рамки "удаленного администрирования". По крайней мере хочется быть уверенным что его нет, или знать что он есть.


A>Поэтому пришла в голову мысль периодически проверять список процессов и служб, может быть поставить какой-то процесс менеджер который запоминает списки процессов и служб и отслеживает новые (например anvir task manager вроде такое умеет).


Административные шары и установка софта через политики — это обычный функционал любой винды.
Что такого запретного вы собрались делать на рабочем месте?
Для начала, по дефолту всем на вас положить. Не храните на рабочем компе компромат на себя, на нерабочую деятельность найдите околорабочее или личное обоснование (под музыку лучше работается и т.д.) и не парьтесь.
Re: Kaspersky Endpoint Security
От: kaa.python Сингапур http://sysdev.me/
Дата: 27.02.21 12:35
Оценка:
Здравствуйте, a9000, Вы писали:

A>Скажите, что это за зверь?

A>В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.

Это антивирус с возможностями централизованного управления настройками и сбором статистики. Скриншоты он делать не умеет, это не по части антивирусов. Если надо делать скриншоты или каким-то другим способом следить за пользователем, то надо смотреть с в сторону разных DLP систем.
Re: Kaspersky Endpoint Security
От: vsb Казахстан  
Дата: 27.02.21 12:42
Оценка: -1
Кстати подобный софт обычно антивирусами классифицируется как вредоносный. Поэтому можно периодически сканировать каким-нибудь антивирусом свой компьютер.
Re[3]: Kaspersky Endpoint Security
От: wildwind Россия  
Дата: 27.02.21 16:47
Оценка: +1
Здравствуйте, a9000, Вы писали:

A>А сейчас все стало серьезно.


Если там все действительно серьезно, то в списке процессов ты ничего подозрительного не увидишь. Под "серьезно" я имею в виду не отсутствие админских прав, а настоящую слежку. Определить ее можно по случаям наказания или предупреждения коллег.

Работать, постоянно оглядываясь, я смысла не вижу. Нужно просто решить для себя, стоит ли работать в таком месте или нет, с учетов всех прочих обстоятельств. Если все же стоит, то просто принять реальность и расслабиться.

Я бывал в такой ситуации. Свалил, как только представилась возможность. Правда, представилась она не скоро .
Re: Kaspersky Endpoint Security
От: mike_rs Россия  
Дата: 01.03.21 12:13
Оценка:
Здравствуйте, a9000, Вы писали:

A>Скажите, что это за зверь?


антивирус с корпоративными фичами (централизованное управление, политики, и т.п.)

A>В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.


нет, нету.
Отредактировано 01.03.2021 12:14 mike_rs . Предыдущая версия .
Re[4]: Kaspersky Endpoint Security
От: a9000  
Дата: 04.03.21 06:58
Оценка:
Здравствуйте, wildwind, Вы писали:

A>>А сейчас все стало серьезно.


W>Если там все действительно серьезно, то в списке процессов ты ничего подозрительного не увидишь. Под "серьезно" я имею в виду не отсутствие админских прав, а настоящую слежку. Определить ее можно по случаям наказания или предупреждения коллег.


"Настоящей слежки" персонально за мной разумеется нет. Но в современных конторах все больше вводятся всякие системы контроля за сотрудниками. Не персонально за мной, а вообще. Я вполне могу предположить, что в какой-то момент кому-то из "эффективных менеждеров" может придти в голову мысль установить какую-нибудь систему для "повышения эффективности", которая в том числе будет снимать скриншоты с экранов.

Вот собственно наличие или отсутствие такой системы я и хочу определить (и сейчас и в будущем — т.к. даже если ее нет сейчас, я не могу гарантировать что ее не будет в будущем).
Re[2]: Kaspersky Endpoint Security
От: a9000  
Дата: 04.03.21 06:58
Оценка:
Здравствуйте, kaa.python, Вы писали:

KP>Если надо делать скриншоты или каким-то другим способом следить за пользователем, то надо смотреть с в сторону разных DLP систем.


А есть софт для определения DLP модулей на компе?
Re: Kaspersky Endpoint Security
От: Rhino  
Дата: 15.05.21 11:53
Оценка:
Здравствуйте, a9000, Вы писали:

A>Скажите, что это за зверь?

A>В частности, интересует, есть ли у этого софта, помимо собственно антивирусных функций, еще и функции слежки за пользователем, в особенности снятие скриншотов с какой-то периодичностью и отправка их на сервер организации.
Вот тут авер подробнее рассказывает обо всём этом.

Если кратко — нужно читать EULA, там написано что у куда отправляет антивирь (правда, в свете "на свои сервера", а не "сервера организации").
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[2]: Kaspersky Endpoint Security
От: wildwind Россия  
Дата: 15.05.21 12:20
Оценка: +1
Здравствуйте, Rhino, Вы писали:

R>Вот тут авер подробнее рассказывает обо всём этом.



Тоже посмотрел недавно. Как-то мутно он рассказывает, больше хи-хи, ха-ха. От подробных ответов уходит, может специально, может нет.

В то же время я помню, как другой каспер рассказывал, что есть функция забора семплов задетекченной малвари, в т.ч. и с удаленным подключением оператора в особо сложных случаях.
Re[3]: Kaspersky Endpoint Security
От: kaa.python Сингапур http://sysdev.me/
Дата: 15.05.21 12:33
Оценка: +1
Здравствуйте, wildwind, Вы писали:

W>Тоже посмотрел недавно. Как-то мутно он рассказывает, больше хи-хи, ха-ха. От подробных ответов уходит, может специально, может нет.

W>В то же время я помню, как другой каспер рассказывал, что есть функция забора семплов задетекченной малвари, в т.ч. и с удаленным подключением оператора в особо сложных случаях.

Да там говорить особо не о чем, если сходить из следующих предпосылок верных для всех антивирусов:

а) любой антивирус перехватывает все системные события как минимум на Windows. На новых macOS есть некоторые нюансы, но в целом похоже.
б) любой антивирус подгружает "базы" со своих серверов.
в) "базы" — это не просто банальный набор сэмплов для сопоставления с образцом, а тем или иным способом исполнимый код.

Это значит что любой антивирус может, в теории, делать то, что захочет его производитель и это никак не подконтрольно конечному пользователю. При этом, насколько я знаю, еще ни одного производителя антивируса не поймали за руку или не видели даже косвенных подтверждений чему-то подобному.
Re[4]: Kaspersky Endpoint Security
От: wildwind Россия  
Дата: 15.05.21 14:27
Оценка:
Здравствуйте, kaa.python, Вы писали:

KP>При этом, насколько я знаю, еще ни одного производителя антивируса не поймали за руку или не видели даже косвенных подтверждений чему-то подобному.


Поймать не поймали. Но подозрения были пару лет назад, как раз против Каспера. После этого американцы запретили его использования в гос. организациях.
Re[3]: Kaspersky Endpoint Security
От: Rhino  
Дата: 15.05.21 23:26
Оценка:
Здравствуйте, wildwind, Вы писали:

W>Тоже посмотрел недавно. Как-то мутно он рассказывает, больше хи-хи, ха-ха. От подробных ответов уходит, может специально, может нет.

Полностью согласен. Если в первой части было что-то интересное для олдов (типа 200 сэмплов за рабочий день), то вторая часть для домохозяек получилась.
Ну и пиар Каспера задолбал: ну не верю я, что специалист такого уровня пользуется хоть каким-то антивирусом.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[5]: Kaspersky Endpoint Security
От: kaa.python Сингапур http://sysdev.me/
Дата: 16.05.21 05:33
Оценка: +3
Здравствуйте, wildwind, Вы писали:

W>Поймать не поймали. Но подозрения были пару лет назад, как раз против Каспера. После этого американцы запретили его использования в гос. организациях.


Там было типичное "highly likely" без какого либо подкрепления фактами или поддержки со стороны ИБ сообщества.

  классика современной политики, что уж тут
https://n1s2.hsmedia.ru/db/50/5e/db505e3bbec1e3b7afb2217bc965d90a/1018x625_0xac120003_5207375961618899022.jpg
Re[4]: Kaspersky Endpoint Security
От: kaa.python Сингапур http://sysdev.me/
Дата: 16.05.21 05:36
Оценка:
Здравствуйте, Rhino, Вы писали:

R>Ну и пиар Каспера задолбал: ну не верю я, что специалист такого уровня пользуется хоть каким-то антивирусом.


Ты серьезно считаешь что специалист такого уровня на лету бинарнки дизасемблирует, JS в браузере анализирует и линки на фрод проверяет?
Отредактировано 16.05.2021 7:54 kaa.python . Предыдущая версия .
Re[5]: Kaspersky Endpoint Security
От: mike_rs Россия  
Дата: 16.05.21 07:48
Оценка: +1
Здравствуйте, wildwind, Вы писали:

W>Поймать не поймали. Но подозрения были пару лет назад, как раз против Каспера. После этого американцы запретили его использования в гос. организациях.


исходники каспера доступны для просмотра и анализа в центрах прозрачности, но highly likely все равно побеждает
Re[5]: Kaspersky Endpoint Security
От: Rhino  
Дата: 16.05.21 09:09
Оценка:
Здравствуйте, kaa.python, Вы писали:

R>>Ну и пиар Каспера задолбал: ну не верю я, что специалист такого уровня пользуется хоть каким-то антивирусом.

KP>Ты серьезно считаешь что специалист такого уровня на лету бинарнки дизасемблирует, JS в браузере анализирует и линки на фрод проверяет?
Конечно же нет, как ты мог такое подумать?!
Но если первая часть интервью вызывала хотя бы здоровый смех кто в теме, то вторая вызывает лишь раздражение. Об этом мой спич был.

Ну и да, я ему верю:
1) что привезли в БЦ искать всякое;
2) что снилась IDA/Hiew. Дизасм в уме — это байки для бедных. Максимум — пролог функции найти глазами, да и то если паттерн будет вида CC CC .. CC CC 55 8B EC
3) теоретически допускаю, что по графу вызовов можно определить семейство ВПО. О двухстах семплах за рабочий день речь не идёт само собой.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[6]: Kaspersky Endpoint Security
От: wildwind Россия  
Дата: 16.05.21 09:24
Оценка: -1
Здравствуйте, mike_rs, Вы писали:

_>исходники каспера доступны для просмотра и анализа в центрах прозрачности,


Это не может снять подозрения полностью, т.к. нет воспроизводимых билдов.
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.