Jump to content

Oleg Bykov

KL Russia
  • Content Count

    1,259
  • Joined

  • Last visited

About Oleg Bykov

  • Rank
    Product Developer

Recent Profile Visitors

3,992 profile views
  1. В трейсах вот чего: 15:35:51.057 756a8754f4error [bl] TaskManager::ProcessTaskAction(PrepareStartPersistent): failed due following error: Win32Error occured at bl\ramdisk.cpp(165). Subsystem: 0x1. Code: 0x80070002. Description: Could not create RamDisk. Это ж Windows Server 2003? Там наша оптимизация с RAMDisk не будет работать, нужно в опциях задачи обновления убрать флажок "Снизить дисковое I/O за счёт памяти".
  2. Не EMET, наша собственная реализация. Но что похоже, отпираться не буду. Это не те трассировки, нужно смотреть трассировки от kavfswh.exe. И там имени загружаемого модуля, скорее всего, не будет. Придётся определять модуль опытным путём.
  3. А трейсы WSEE, собранные во время работы задачи обновления, можно посмотреть?
  4. I see... Edwin, have you restarted the OS after changing the dump type? If you don't restart after changing it, it won't change, and will stay "small".
  5. Скажите, а связь по указанному адресу ('http://ksc.flagman.int:13000') реально есть? С машины, которая пытается обновляться. Ладно Вам пугать человека. Обновления WSEE получать не перестанет (именно 1 января не перестанет), но мы внутри Лаборатории не будем больше тестировать каждое новое обновление баз на совместимость с этой версией продукта. Так что время на переход есть, и если пока переход на новую версию затруднён, можно побыть и на WSEE. С проблемами пишите на форум - поможем.
  6. Здравствуйте, Вот с этим можно побороться. Посмотрите в настройках Exploit Prevention - там для IEXPLORE.EXE задано, загрузка каких модулей является потенциальной уязвимостью. Наверняка срабатывание идёт из-за загрузки туда vbscript.dll - попробуйте убрать этот модуль из списка запрещённых. А вот это какое-то более сильное колдунство. Чтобы точно дать ответ, ложное это срабатывание или нет, нам нужен дамп процесса IEXPLORE.EXE - для этого нужно сконфигурировать Exploit Prevention в режим терминирования скомпрометированных процессов, настроить на машине WER, включить в KSWS генерацию дампов и воспроизвести ситуацию. Собранный дамп передать в поддержку, а они уже заведут на нас инцидент. Пока, как workaround, можно (после сбора дампа) отключить для IEXPLORE.EXE техники Anti ROP, чтобы не было срабатывания.
  7. Hello, Nope, "*\abc.exe" won't work as you expect - an asterisk here is intended to represent only one folder, not any number of folders and subfolders. You have the following options: 1. You can use mask symbols ('?' and '*') to mask the part of the path that is different on different servers - keeping in mind that '*' here is only one folder, not many. An example of this: "?:\Profiles\*\" 2. You can first add the processes you want to make trusted, add them via the UI and set the trusting criteria to "by full path". Then export these settings to an XML file, open the exported file and find the record for this file. It should look like this: <element> <__VersionInfo> <element>1</element> <element>1</element> </__VersionInfo> <ExecuteModule>audiodg.exe</ExecuteModule> <ExecutePath>C:\Windows\System32\</ExecutePath> <ExecuteModuleHash>4200eb8aede8ed59</ExecuteModuleHash> <ExecuteModuleHashType>2</ExecuteModuleHashType> <IsTrustedProcess>yes</IsTrustedProcess> Then in an editor remove the value of the <ExecutePath> parameter. Like this: <element> <__VersionInfo> <element>1</element> <element>1</element> </__VersionInfo> <ExecuteModule>audiodg.exe</ExecuteModule> <ExecutePath></ExecutePath> Then import this file back to the Trusted Processes section. It will do exactly what you want - any process by the name "audiodg.exe" will be trusted (that is, its file activity won't be intercepted by the Real-time File Protection component), regardless of its contents or location on disk. I agree that it is not very secure, so do it only if you know what you're doing. Meanwhile we'll rework the UI for adding Trusted Processes so that your scenario can be done without messing with exported XML files, and make new version of Administration Tools and KSC plugin available via a KB article. Thanks for the suggestion!
  8. Здравствуйте, Для такого сценария подойдёт использование компонента KSWS AppControl в режиме Default Allow - при этом запуск всех приложений будет разрешён, кроме тех, для которых созданы запрещающие правила (по сертификату, хэшу или полному пути). Здесь подробнее написано, как сконфигурировать такой режим: https://support.kaspersky.ru/13981 KSWS 10.1 создавался как раз с расчётом на терминальный сервер - в нём есть компонент Traffic Security для защиты и контроля трафика, а также защитный плагин для Outlook.
  9. Thank you, Edwin. This dump is a "small memory dump" (https://support.microsoft.com/en-us/help/254649/overview-of-memory-dump-file-options-for-windows), it doesn't contain a lot of information (if at all). Can you configure the dumps to be either of Kernel or Complete type?
  10. Спасибо большое за Ваше сообщение. Приму только Вашу благодарность на счёт не себя, а всей команды KSWS, которая работает не покладая рук, а не шарится по форуму, как я. Также хочу разделить эту благодарность со специалистами поддержки, которые, в отличие от меня, не имеют доступа к исходному коду и не могут дёргать разработчиков в любой момент. А вам, пользователям, огромное спасибо за то, что выбираете наш антивирус и миритесь с его недостатками. Мы обязательно сделаем его лучше.
  11. Плагин 10.1.1 заменяет собой плагин от 10.1.0. Он "из коробки" поддерживает политики и задачи от 10.1.0, так что конвертировать ничего не нужно. Но при установке плагина он детектит предыдущий и автоматически его обновляет до новой версии. Приведу кусок из migration.txt к версии 10.1.1.746: ОБНОВЛЕНИЕ СРЕДСТВ УПРАВЛЕНИЯ: КОНСОЛЬ KASPERSKY SECURITY При установке средств администрирования и оснастки MMC версии 10.1.1.746 поверх предыдущих версий выполняется автоматическое обновление. Переход поддерживается со всех поддерживаемых обновляемых версий, включая версии, входящие в пакет критических интегрированных исправлений (например, KB14496). Рекомендуется устанавливать пакет средств администрирования новой версии совместно с программой той же версии, так как при различии версионности между программой и Консолью могут возникать проблемы при отображении параметров программы, а также ошибки управления ими. ОБНОВЛЕНИЕ СРЕДСТВ УПРАВЛЕНИЯ: ПЛАГИН УПРАВЛЕНИЯ KASPERSKY SECURITY CENTER Программа поддерживает обновление Плагина управления Kaspersky Security Center до версии 10.1.1.746 только с мажорных версий Плагина 10.1. Программа поддерживает обновление Плагина внутри мажорной версии. Программа поддерживает формирование политик Kaspersky Security Center на основе уже созданных политик любых версий программ Антивирус Касперского для Windows Servers Enterprise Edition и Kaspersky Security для Windows Server. Программа поддерживает "подхват" политик, уже настроенных для обновляемой версии программы. А вот этого быть не должно. Ни в каких сценариях установки и апгрейда KSWS перезагрузка сервера не предусмотрена. Можно посмотреть на Ваш лог установки 10.1.1? Наверняка там известная ситуация с блокировкой rollback-файлов MSI и просьбу о перезагрузке можно было игнорировать.
  12. Вот если честно... (только не показывайте это моё сообщение никому из KL, чтобы мне не дали по шапке) ... Для сноса KSWS не нужен KAVRemover. Мягко говоря не нужен. Пользуйтесь штатными средствами удаления продукта - и всё будет хорошо.
  13. Oleg Bykov

    KS4WS 10.1 core1 - No update required

    When the issue is reproduced again, please collect KSWS traces from the service start + 15 minutes (as described above), and the traces from the Update task. We'll see why the licensing ticket cannot be refreshed - might be some networking problems.
×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.