Сегодня речь пойдёт об одной особенности работы Kaspersky Endpoint Security 11, которая не встречалась автору этой статьи в десятой версии KES. Вы можете получить сообщение «Операция с устройством запрещена» даже в том случае, если поместили устройство в белый список. При этом KES позволит вам работать с устройством. И это не баг. В чём же дело?
Итак, допустим, у нас есть съёмный диск, которым нам нужно пользоваться. Мы добавляем его в белый список в настройках компонента «Контроль устройств» в KES локально или через групповую политику Kaspersky Security Center и прописываем пользователей и/или группы пользователей, которым разрешено работать с устройством. Вроде, всё логично и правильно, и KES после таких действий позволит вам работать с этим съёмным диском из-под указанных учёток, но вы всё равно можете получить такое сообщение:
Изучив текст сообщения в журнале событий Kaspersky Security Center, я приметил следующие строки:
Как видите, речь здесь идёт о пользователе NT AUTHORITY\система, т.е. о служебной учётке, через которую операционная система пытается «достучаться» до устройства. Так как в настройках контроля устройств эта учётная запись не прописана, KES не предоставляет ей доступ. Общение с технической поддержкой Лаборатории Касперского подтвердило эту версию. Хочу ещё раз отметить, что в предыдущих версиях KES я такого поведения программы не замечал.
Всё это говорит нам о том, что в настройках компонента «Контроль устройств» нам надо прописать пользователя NT AUTHORITY\система или NT AUTHORITY\SYSTEM.
При некоторых условиях доступ также придётся предоставить учётным записям NT AUTHORITY\NETWORK SERVICE и NT AUTHORITY\LOCAL SERVICE.
Статьи по теме: