Як відключити політику безпеки із захищеним клієнтом КПП VPN-1?

3

Щоб підключитися до мережі клієнтів, мені довелося встановити Check point VPN-1 secure client.

Інформація про версію:

VPN-1 SecureClient NGX R60 HFA2 (Build001)

Інструмент блокує весь вхідний трафік на мій комп'ютер. (Що добре для мене , якщо я підключений до віддаленого сайту, але навіть якщо VPN-з'єднання неактивне, до мого комп'ютера не можна підключитися (наприклад, для сеансу VNC колеги в нашій корпоративній мережі).

Я вже спробував:

  • Вимкнути брандмауер Windows (також послуга повністю)
  • відключити / зупинити службу Check Point VPN-1 Securemote + її сторожову службу
  • (речі, запропоновані Павлом у своїй відповіді, дивіться у коментарях)

Я не можу використовувати [Значок лотка контрольних точок] -> [Інструменти] -> [Вимкнути політику безпеки], як це недозволено.

Як я можу ЦІЛЬНО відключити цю річ?

У мене є повний доступ адміністратора на моїй машині (як ще я можу відключити мій брандмауер (сервіс!) Та сервіс CP Windows.

Це машина Win XP sp3.

Ще раз зазначу: я не заперечую, щоб інструмент блокував те, що він хоче, поки він активний, але він також повністю блокує вхідні з'єднання, поки він не активний - навіть поки його служба Windos навіть не працює! (Зауважте, що діагностична утиліта Check Point у своєму журналі показує скинуті вхідні пакети.)

Ще одне уточнення: інструмент не блокує вихідний трафік, тобто я можу переглядати мережу, перевіряти пошту тощо навіть під час активної роботи. Однак це робить блокувати всі вхідні з'єднання ( в основному , як брандмауер Windows буде робити за умовчанням, скинувши всі вхідні пакети).

Я можу тільки припустити, що я або пропустив іншу службу цього, або він встановив драйвер пристрою або корінь набір якихось типів, щоб застосовувати свою так звану політику безпеки, поки вона навіть не використовується.

windows  vpn  checkpoint 
Мартін
джерело
Напевно, з фільтром пов’язаний драйвер пристрою, якщо ви можете визначити відповідний драйвер, інструмент командного рядка sc може дозволити вам зупинити його. Звичайно, не всі драйвери пристроїв можна зупинити без перезавантаження системи.
Гаррі Джонстон
1
Одне можливе вирішення: видаліть клієнт VPN, а потім встановіть його у віртуальну машину. Основна увага полягає в тому, що залежно від того, як ліцензується ваша копія Windows, вам може знадобитися придбати додаткову ліцензію для VM. :-(
Гаррі Джонстон
Чи не існує другої служби під назвою "Checkpoint Watchdog" чи щось подібне? Чи намагалися ви відключити і цього?
mich732
@ mich732 - так, я також відключив цю. не згадував про це. Я відредагую.
Мартін
З вашим оновленням моя відповідь зовсім не має сенсу, тому я її видалив :-)
Rory Alsop

Відповіді:

2

Яка версія клієнта це? Версіям, що пізніше R65, стає все важче контролювати політику безпеки. І серія 7x заблокує вхідний трафік незалежно від того.

Це можна зробити з командного рядка за допомогою

scc sp off

Однак для цього потрібно змінити файл usersc.c, щоб він містив:

api_manual_slan_control=true

Але це, можливо, не спрацює. Моє рішення для цього - встановити бастідну річ у VM та отримати доступ до неї через консоль.

Пол
джерело
Пол - мабуть, це версія R60 whatnot
Мартін
Сумно: C:\Programme\CheckPoint\SecuRemote\bin>scc sp off-> Failed to disable policy
Мартін
О, мій: у C:\Programme\CheckPoint\SecuRemote\database\userc.Cмене зараз його змінили на :api_manual_slan_control (true)(це було помилково) та перезавантажили ПК - не пощастило: Варіант у меню "Лоток" все ще є сірим кольором, а в командному рядку я також все ще отримуюFailed to disable policy
Мартін
0

Я працюю на сервері Windows, і ця проблема також відключає з'єднання RDP від ​​користувачів. Ми знайшли спосіб все одно відключити.

Сподіваємось, SecureClient NGX R60 HFA 3 з підтримкою Windows 7 32bit працює нормально на сервері Windows, тому WinXP повинен працювати добре.

SecureClient NGX R60 HFA 3 з підтримкою Windows 7 32bit

Для параметра "Відключення політики безпеки" вона буде автоматично ввімкнена знову при успішному вході в мережу VPN. Ну, його можна відключити вручну за допомогою команди типу:

C: /> C: \ Програмні файли \ CheckPoint \ SecuRemote \ bin \ scc.exe sp off

Насправді ви можете автоматизувати це, створивши заплановане завдання для виконання вищевказаної команди, скажімо, кожні 5 хвилин, щоб уникнути відключення політики безпеки. Проблема полягає в тому, що нам потрібно ініціювати віддалене підключення до робочого столу до сервера, у якого може бути включений SecureClient (також із політикою безпеки, яка блокує з'єднання RDP). Ця команда вимикає політику безпеки та дозволяє користувачеві RDP віддалено входити в систему.

Кен Пега
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.