Jump to content

aehrlich

Members
  • Content Count

    383
  • Joined

  • Last visited

Posts posted by aehrlich


  1. Из руководства пользователя складывается впечатление, что возможно включить на компьютере с уже установленным Windows аппаратное шифрование (если железо это поддерживает, т.е. есть TPM, диск умеет AES256 и Opal/eDrive, WinPro/Ent, ...) на системном диске.

    Поскольку стандартными средствами Windows/BitLocker это либо невозможно, либо спрятано так, что Гугл об этом не знает, то вопрос: действительно ли это возможно с помощью Касперского, по крайней мере, по задумке разработчиков.

    В настройках политик смущает примечание у галки "Use hardware encryption; Note: if hardware-based encryption is unavailable, then software-based encryption is applied automatically" и галка "Encrypt used disk space only", отмеченная в то же самое время.

     


  2. Задача: исключить из проверки кеши всяких средств разработки, например, IntelliJ, Maven и т.д., которые свое файло держат в пользовательских каталогах:

    C:\Users\*\.IntelliJIdea14\

    C:\Users\*\.IntelliJIdea2016.1\

     

    Вопрос: как этого добиться в организации, где у каждого пользователя, естественно, свое имя и свой каталог под C:\Users?

     

    Help | File or folder name window говорит нам:

    Only file name masks with full paths to files can be entered.

    For example: C:\dir\*.* ...

     

    Или все врут Help врет и таки можно использовать маски в путях?

    KES 10.2.4.674 mr2, KSC 10.2.434


  3. Всё ясно.

    Теперь можно считать, что разобрались в проблеме ?

    Спасибо.

    Если Вы хотите услышать "да, закрывайте", то... да, закрывайте. Формально. Благодаря последующим (запоздавшим) ответам вирусных аналитиков по другим каналам. Но по сути -- плохая понимаемость и противоречивость содержания присланного мейла никуда не делась. Понять, что ввел пользователь, что пришло в качестве диагностики (особенно в предположительном случае, когда отправлял файл на сканирование один человек/усер, а результат на мейл получил друой/админ), сложно.

    Содержимое ответа-"диагностики" (точно не пользовательский ввод) "New malicious software was found in this file. It's detection will be included in the next update" точно не соответствует ситуации "отправляем файл с обнаруженной угрозой и подозренем на ложное срабатывание".

    Так что -- как хотите ;-/. А вдруг request for improvement сам собой заведется...


  4. Всё-таки на сайте как какие клики были ?

    Kaspersky Security Center | Administration Server XXX | Repositories | Backup | выбрать <проблемный компьютер/объект> | Send to Kaspersky Lab

    После скачивания и упаковки объекта вылезает Kaspersky Online Scanner (https://scan.kaspersky.com/Home/), заливает avp.zip, сканирует...

    Но, поскольку вирусные аналитики ЛК уже прислали ответ "Это было ошибочное срабатывание. Оно будет исправлено.", то воспроизвести дальнейшие действия не могу. А по памяти... память соврет "как очевидец". То, что онлайн-сканирование выдало один красный ответ из трех, это инфа 100%. А вот что я вводил после нажатия кнопки "I disagree with scan results" и был ли текст "Malware false positive" введен мной или выставлен системами ЛК, это я уже сказать не смогу, склероз, извините.


  5. Загрузил файл, где обнаружился троян, на сайт Касперского. Не могу понять из ответа, ложное это срабатывание или троян таки присутствует.

    В теме письма:

    Re: [VirLabSRF][VD2][Malware false positive][M:1][LN:en][L:0] [KLAN-4702638731]

    В теле письма:

    This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

    docker.exe - Trojan.Win32.Ebowla.adm

    New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

    Best Regards, Kaspersky Lab


  6. Дело в том, что, как я уже писал ранее в сообщении №21, по каким-то причинам некорректно работает коннектор KES к сетевому агенту.

    Именно это и приводит к тому, что де-факто все работает, но статус хоста в KSC остается красным ввиду того, что сетевой агент не получает информации от KES из-за неправильной работы коннектора.

    Чтобы понять, что именно приводит к его некорректной работе недостаточно трассировок КЕS и сетевого агента, нужны трассировки самого коннектора.

    В большинстве случаев ошибки в работе коннектора вызваны некорректной установкой и решаются переустановкой всего KES, хотя можно переустановить коннектор и отдельно, но настоятельно рекомендуется переустановить KES целиком.

     

    Если у вас возникнут какие-либо дополнительные вопросы, мы с удовольствием на них ответим.

     

    СпасибО!

    После перезапуска службы klnagent (в виду статьи "Создание файла трассировки коннектора к агенту администрирования Kaspersky Security Center 10") статус проблемного клиента сменился с красного на зеленый. Логи могу выложить. И что с этим делать? Со включенными трассировками ждать, пока оно опять покраснеет?


  7. В этом случае, пожалуйста, запустите трассировки KES, перезапустите службу агента чтобы включить трассировки коннектора.

    Убедитесь, что проблема воспроизвеласть, выключите трассировки и предоставьте их нам.

     

    Т.к. объем трассировок может быть весьма значительным, сообщите, если вам потребуется доступ к FTP.

     

    СпасибО!

    Я таки не понял. Я только что дождался воспроизведения проблемы, включил трассировки, выложил их. И Вы предлагаете мне проделать все то же самое заново? Чем этот "новый" раз дожен отличаться от "старого"? Да, пардон, "перезапустите службу агента чтобы включить трассировки коннектора" не делал, ограничился получением $klnagent-1103.log, ибо в инструкции по получению трассировок данного пункта не заметил.


  8. Согдласно отчету GSI :"[KLCONNAPPINST] Launched connector does not respond in a timeout. #1197 Operation failed because the timeout period expired"

    Это свидетельствует о том, что коннектор KES к сетевому агенту работает некорректно.

    Пожалуйста, переустановите KES10 заново.

     

    Если проблема воспроизведется, пожалуйста, приложите к своему ответу трассировки KES, сетевого агента и коннектора(для этого нужно перезапустить службу агента при включенных трассировках).

     

    Спасибо!

     

    Простые решения... это было "на отвяжись"? Спасибочки, конешно (с)

    После перезагрузки безо всяких переустановок клиент видится в KSC "зеленым" (как уже писалось в этой теме), агент и антивирус рапортуются как запущенные. Может, все-таки можно решать проблемы не путем открывания-закрывания дверей у вставшей на шоссе машины?


  9. Соберите пожалуйста трассировки сервера, консоли и агента администрирования с сервера а также трассировки KES и агента администрирования с клиента в момент воспроизведения проблемы, также желательно предоставить GSI6 логи с клиента. Выложить данные файлы вы можете на любой файлообменник и предоставить из нам.

    Отправил PM.


  10. Т.е. хосты развертывались из образов с предустановленным Сетевым агентом/антивирусом? Или же они устанавливались после?

    Хосты развертывались с предустановленным антивирусом, но без установленного сетевого агента; агент "персонально" устанавливался и подключался к KSC позже, после полного конфигурирования машины.


  11. Есть ли признаки, характерные именно для машин, где возникает проблема (определенная версия ОС, специфичное установленное ПО, нахождение в определенной подсети)?

    Все машины в сети созданы с двух образов (W7Pro или W8.1Pro) с общим набором "общего" ПО. Специфичное... у каждого может быть свое (это все лаптопы разработчиков ПО или близкого по профилю народа), но общих черт я не вижу ни по базовому профилю, ни по специфичному установленному софту.

    Основная общая черта -- это все лаптопы (и те, где есть проблемы, и те, где проблем нет), где пользователь может в любой момент встать и уйти из локальной сети и пойти куда-то еще, подключить впн-другой-третий (а что делать, клиенты разные, впн-решения у них тоже бывают разные); хорошо еще если машину в sleep загонит перед покиданием сети, а может и просто из дока вынуть, под мышку сунуть и в wifi уйти.

    При общении с KSC используется две "частично подсети" (обычная проводная локальная и bridged VPN, подсеть для них на самом деле одна, 10.31.*.*), проблемы наблюдаются (или не наблюдаются) в обоих случаях.


  12. Здравствуйте.

     

    Пожалуйста, уточните вопросы. заданные ранее.

    Проблема является воспроизводимой? Т.е. известны условия, при которых возникает ошибка?

    Количество машин, на которых ошибка "Агент установлен некорректно", неизменно? Либо число таких машин произвольно увеличивается? Есть ли в локальных журналах событий сообщения о падении службы Агента, поврежденных файлах? Продолжает ли проблема возникать после переустановки Агента на одной из машин?

     

    Спасибо.

    Нет, проблема невоспроизводима. Воспроизводим способ лечения -- ребут, но это же не наш метод. Количество подверженных проблеме машин колеблется около 10% от всего парка; часть проблемных машин постоянная, но появляются и исчезают проблемы на разных машинах.

    Агент, бывает, падает, но на той машине, откуда приложен дамп, агент работал (klnagchk) и _до_ дампа не падал (забавно, что он упал, вывалив дамп, в 17:17, т.е. _после_ дампов/sleep/resume).

    Правда, агент, хоть с утра и работал, но каждые 2 минуты выдавал в лог сообщение:

    [KLCONNAPPINST] Launched connector does not respond in a timeout. #1197 Operation failed because the timeout period expired

     

    klmover не помогает, переустановку агента не пробовал.


  13. Поднимаю тему. Агент обновлен до патча e: 10.2.434 (a; d; e).

    Поскольку проблема проявилась на моей машине, получил и прикладываю trace-500-файлы клиента.

    Вывод klnagchk не изменился.

    Starting utility 'klnagchk'...
    Checking command line options...OK
    Initializing basic libraries...OK
    Current computer is 'SHIRE\LAP-ALEX'
    Network Agent version is '10.2.434 (a; d; e)'
    
    Reading the settings...OK
    Settings verification...OK
    Network Agent settings:
        Used profile: 'LAN'
        Administration Server address: 'srv-kak-ice.icefire'
        Use SSL connection: 1
        Compress traffic: 1
        Numbers of the Administration Server SSL ports: '13000'
        Numbers of the Administration Server ports: '14000'
        Use proxy server: 0
        Administration Server certificate: available
        Open UDP port: 1
        Numbers of UDP ports: '15000'
    
    Profiles
    
        Profile name: 'VPN'
        Administration Server address: 'srv-kak-ice.icefire'
        Use SSL connection: 1
        Compress traffic: 1
        Numbers of the Administration Server SSL ports: '13000'
        Numbers of the Administration Server ports: '14000'
        Use proxy server: 0
        Switch to out-of-office mode: 1
    
        Profile name: 'LAN'
        Administration Server address: 'srv-kak-ice.icefire'
        Use SSL connection: 1
        Compress traffic: 1
        Numbers of the Administration Server SSL ports: '13000'
        Numbers of the Administration Server ports: '14000'
        Use proxy server: 0
        Switch to out-of-office mode: 0
    
    Locations
    
        Location name: Switch to VPN
        Profile to use: "VPN"
        Default gateway:     none of 10.31.2.1
    
        Location name: Switch to LAN
        Profile to use: "LAN"
        Default gateway:     one of 10.31.2.1
    
        Synchronization interval (min): 15
        Connection timeout (sec): 30
        Send/receive timeout (sec): 180
        Host ID: 2c5be856-ebff-4631-b291-7cfcece297d1
    
    Attempt to connect to the Administration Server...OK
    
    Attempt to connect to the Network Agent...OK
    Network Agent is running
    Receiving the Network Agent's statistical data...OK
        Network Agent's statistical data:
        Total number of synchronization requests: 50
        The number of successful synchronization requests: 50
        Total number of synchronizations: 9
        The number of successful synchronizations: 9
        Date/time of the last request for synchronization:17.05.2016 11:18:02 GMT (17.05.2016 14:18:02)
    
    Deinitializing basic libraries...OK

    kl1.7z


  14. Можете прислать отчёт утилиты klnagchk с проблемной машины, также запустите утилиту klmover с указанием сервера администрирования и проверьте воспроизведение проблемы.

    Проделал эти телодвижения. Без изменений.

    Starting utility 'klnagchk'...
    Checking command line options...OK
    Initializing basic libraries...OK
    Current computer is 'SHIRE\LAP-LIINAP'
    Network Agent version is '10.2.434 (a; d)'
    
    Reading the settings...OK
    Settings verification...OK
    Network Agent settings:
        Used profile: 'LAN'
        Administration Server address: 'srv-kak-ice.icefire'
        Use SSL connection: 1
        Compress traffic: 1
        Numbers of the Administration Server SSL ports: '13000'
        Numbers of the Administration Server ports: '14000'
        Use proxy server: 0
        Administration Server certificate: available
        Open UDP port: 1
        Numbers of UDP ports: '15000'
    
    Profiles
        Profile name: 'VPN'
        Administration Server address: 'srv-kak-ice.icefire'
        Use SSL connection: 1
        Compress traffic: 1
        Numbers of the Administration Server SSL ports: '13000'
        Numbers of the Administration Server ports: '14000'
        Use proxy server: 0
        Switch to out-of-office mode: 1
    
        Profile name: 'LAN'
        Administration Server address: 'srv-kak-ice.icefire'
        Use SSL connection: 1
        Compress traffic: 1
        Numbers of the Administration Server SSL ports: '13000'
        Numbers of the Administration Server ports: '14000'
        Use proxy server: 0
        Switch to out-of-office mode: 0
    
    Locations
    
        Location name: Switch to VPN
        Profile to use: "VPN"
        Default gateway:     none of 10.31.2.1
    
        Location name: Switch to LAN
        Profile to use: "LAN"
        Default gateway:     one of 10.31.2.1
    
        Synchronization interval (min): 15
        Connection timeout (sec): 30
        Send/receive timeout (sec): 180
        Host ID: f8a8ddf5-049f-4262-9e78-8512d1eb313b
    
    
    Attempt to connect to the Administration Server...OK
    
    Attempt to connect to the Network Agent...OK
    Network Agent is running
    Receiving the Network Agent's statistical data...OK
        Network Agent's statistical data:
        Total number of synchronization requests: 27
        The number of successful synchronization requests: 26
        Total number of synchronizations: 6
        The number of successful synchronizations: 6
        Date/time of the last request for synchronization:11.04.2016 13:03:06 GMT (11.04.2016 16:03:06)
    
    Deinitializing basic libraries...OK

     


  15. Откройте свойства какого-либо проблемного хоста и установите галку "не разрывать соединение с сервером администрирования".

    Сообщите, пожалуйста, о результате.

    Установил, Force Refresh сделал. Результат прежний, красный.

    На вкладке Protection компьютера в KSC вот такие два взаимоисключающих статуса

    Computer status: Kaspersky Anti-Virus is not running

    Real-time protection status: Running

    (см. также скриншот).

    post-37002-1460369138_thumb.jpg


  16. KES 10.2.4.674 mr2; Agent 10.2.434 a, d; KSC 10.2.434 d

    На клиенте есть единственный дамп ~killed-klnagent.exe-0.dmp (33 Мб в запакованном виде, выложу, если нужен и скажете, куда) от 07.04.2016, антивирус и агент работают (сервис запущен, klnagchk тоже показывает, что работает).

    С сервера команда "force refresh" проходит, статус клиента все равно остается "красным" (Kaspersky Anti-Virus is not running).

    При попытке "запустить" задачу антивируса из консоли KSC получаю сообщение об ошибке: Kaspersky Security Center - Failed to start application. Reason: application is not installed correctly on the computer.

     

    В качестве клиентов имеем дело с лаптопами, которые в любой момент могут "встать и пойти" (быть выдернутыми из локальной сети, усыпленными, подключенными по VPN в другую подсеть).

    Как жить?


  17. К сожалению, другой информации о системе получить не удастся.

    Не понял. Агент предыдущей версии ведь ее получает на той же модели. Если я себе поставлю старого агента, он будет показывать модель.


  18. Уточните, пожалуйста, отличается ли в свойствах ПК информация от информации выводимой командой "wmic BASEBOARD GET Product, Version, Manufacturer, SerialNumber"

    Если информация отличается, пожалуйста, приложите к своему ответу трассировки агента в течении 2-3 минут после рестарта системы.

    Спасибо!

    Информация wmic та же, что показывается в новом агенте.

    wmic BASEBOARD GET Product, Version, Manufacturer, SerialNumber
    Manufacturer  Product  SerialNumber              Version
    Dell Inc.              /4D17TZ1/              /

     

    Ранее обсуждалось.

    Очень печально. Ибо, судя по содержимому указанной ветки, сломано и останется сломанным. В старом варианте правильно определялась модель, в новом правильно определяется серийный номер. "Руки мыл с мылом? Тогда чай будешь пить без сахара!" (с) начало 90-х


  19. Уточните, пожалуйста, корректно ли отпределяет ОС модель ПК?

    Приложите, пожалуйста, скриншот.

    Определяет корректно (если в "определении" не ожидается указание 64-bit).

    post-37002-1449046022_thumb.png

    post-37002-1449046415_thumb.png

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.