Jump to content

dvz

Members
  • Content Count

    597
  • Joined

  • Last visited

Everything posted by dvz

  1. Ваше приложение должно быть подписано ЭЦП доверенных поставщиков. (самоподписанный не подойдет)
  2. Сергей Масленников В консоли управления KSС посмотрите "Хранилища"-"Резервное хранилище" там есть этот файл ?
  3. он не умеет с категориями работать. Надо Oleg Bykov спросить, когда он на форуме появится.
  4. это для рабочих станций с KES. Для серверов с KSWS10.1 тоже не нашел как хеш самому указать.
  5. Создаете новую пользовательскую категорию программ с вашими индикаторами IOC https://support.kaspersky.ru/12769 , его заполняете хеш-суммами, именами и т.п. Категорию указываете в блокировках в компоненте "Контроль запуска программ" в политике. upd: вам на серверах только блокировка нужна ? В KSWS 10.1 хеш действительно указать нельзя....
  6. То-же самое (INC000009844702). В обед заводил. Сейчас проблема ушла, но официального ответа на тикет нет.
  7. Добрый день. На сервере, в ходе проверки был обнаружен возможно зараженный файл с вердиктом "HEUR:Trojan.PDF.Phish.gen". Файл был автоматически помещен в Резервное хранилище. Далее, я из консоли управления KSC, в Резервном хранилище, пытаюсь выполнить задачу "Отправить в Лабораторию Касперского". Указываю местоположение папки для сохранения файла. Но файл сохраняется не в том формате - должен быть архив "avp.zip" и в нем три файла, а получается "object.cab". При этом имя оригинального файла - "doc.pdf"
  8. upd: сохраненный файл "object.cab"- это архив с нужными тремя файлами. Только называется не "avp.zip" , а "object.cab". Это баг или фича ?
  9. Один раз настроенный бекап, дальше делается автоматически. Посмотрите, есть что-нибудь по пути "C:\ProgramData\KasperskySC\SC_Backup" ? Или поиском поищите по дискам папки с именем типа "klbackup2018-11-03#02-00-11" (Cценарии восстановления, переноса, завязаны на бекап KSC)
  10. Давно подписаны. А узнаем первыми из форума. Нет там такой новости https://support.kaspersky.ru/email_subscriptions/subscriptions-archive
  11. работает. Но перезагрузка и системное сообщение "осуществляется установка обновлений" в ходе нее, незаметно не даст его распространить... подожду автоисправление.
  12. Добрый день. Поясните пожалуйста как диагностировать такие сработки. Модуль "Защита от эксплоитов" срабатывает на защищаемый процесс "IEXPLORE.EXE". Но сервер обновляется регулярно. Установлен октябрьский ролап. Версия IE: 11.0.9600.19155 11.0.90 (kb4462949). Что не так в защищаемом процессе ? Имя события Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости Важность: Критическое событие Программа: Kaspersky Security 10.1 для Windows Server Номер версии: 10.1.0.622 Название задачи: Устройство: xxxxxxxx Группа: App Время: 12.11.2018 11:06:14 Имя виртуального Сервера: Описание: Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости. Причина: исполняемые страницы в стеке. Имя объекта: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE и вот: Имя события Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости Важность: Критическое событие Программа: Kaspersky Security 10.1 для Windows Server Номер версии: 10.1.0.622 Название задачи: Устройство: xxxxxxxx Группа: App Время: 12.11.2018 10:17:50 Имя виртуального Сервера: Описание: Выполняется уязвимый процесс: обнаружен факт эксплуатации уязвимости. Причина: попытка загрузки запрещенного модуля. Имя объекта: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
  13. Nikolay Arinchev Evgeny_E Добрый день. Могу вам экспорт VM (.ova) прислать с проблемой . Если это поможет ускорить поиск решения.
  14. Добрый день. Подготавливаю оптимальный сценарий смены антивируса (был sep14, станет kes11) с минимумом перезагрузок. На тестовой VM с установленным SEP14 запускаю задачу удаленной установки пакета KES11 с включенной опцией "Удалять несовместимые программы автоматически". Задача завершается успешно, но KES11 устанавливается параллельно c Symantec. И не удаляет его, и не прекращает свою установку. P.S. Антивирусы работают без видимых ошибок. В журнале SEP есть замечания на подозрительную активность KES. Из любопытства проверил их работу на Eicar. SEP перехватывает первым.
  15. Sergul пересоберите пакет. Вот как я делал: Редактирую установочный пакет. У меня он в "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Administration Kit\Share\Packages\KES_11.0.0.6499" 1. Правлю файл .\exec\incompatible.txt -добавляю в него по аналогии названия новых билдов 2. Добавляю новые ini файлы в .\exec\cleaner.cab скопировал из пакета cleaner.cab в c:\temp и распаковываю его во временный .\cleaner: mkdir c:\temp\cleaner expand cleaner.cab -F:*.* .\cleaner Копирую новые ini файлы в .\cleaner в конфиге "cleanapi.ini" добавляю записи с новыми ini по аналогии запаковываю cab назад: dir /b /l /A-D /O:N .\cleaner > filelist.txt cd .\cleaner makecab /d MaxDiskSize=0 /f c:\temp\filelist.txt 3. Полученный cab переименовываю и возвращаю на место в пакет. Обновленный пакет готов. Теперь при назначении его к установке, он обучен удалять новые билды.
  16. Олег, здравствуйте ! Настройки в Exploit Prevention это EMET ? Очень похоже. Обращение к запрещенному модулю в трассировках нашел. Это Java: "C:\Program Files (x86)\Java\jre1.8.0_144\bin\jp2iexp.dll" Accessed by "XXXX\User\C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" PID(43360) Delayed : 0 Только там вердикта не обнаружил. Он должен быть ? По второй части сработки информацию собираю.
  17. Добрый день. Вопрос можно пометить решенным. Спасибо. Запрос отправил, (INC000009797685) получил ini файл. Поместил его в " C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Data\Cleaner" и удаление стало возможным.
  18. Добрый день. В новых версиях заявлена функция - добавлять в сообщения Х-заголовки X-MS-Exchange-Organization-SCL. Поясните пожалуйста как она должна работать. Сейчас такой заголовок не добавляется. Письма обрабатываются шлюзом, спам фильтруется, добавляются заголовки "X-KSMG-хххххх", а "X-MS-Exchange-Organization-SCL" нет. Версия ksmg 1.1.2.12.
  19. Сделали так: в транспортном правиле Exсhange , ищем в письмах заголовок " X-KSMG-AntiSpam-Status: spam" и при наличии добавляем "X-MS-Exchange-Organization-SCL: 9". Такие письма будут автоматически у пользователя перемещаться в Junk. Вопрос можно отметить решенным. Спасибо.
  20. Добрый день. Выяснилось, что если KSMG передает почту Exchange, как анонимный источник (а это типовой сценарий интеграции), то Exchange будет удалять в поступающих письмах заголовок "X-MS-Exchange-Organization-SCL".
  21. Доброе утро. Скрины заголовков письма и правила прилагаю. Специальных настроек для X-заголовков не обнаружил.
×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.