Jump to content

Hazard78

Members
  • Content Count

    111
  • Joined

  • Last visited

About Hazard78

  • Rank
    Cadet

Recent Profile Visitors

265 profile views
  1. Не установлен ли у Вас в политике пароль на деинсталляцию продукта? В этом случае, его необходимо указывать и в задаче удаления. В противном случае имеем (спасибо ЛК за информативность):
  2. Значения реестра поменять не получилось (учётка обладает необходимыми привилегиями, система ссылается на занятость ключа "другими процессами"). Что было сделано: через интерфейс KES, выставлено "включить трассировки". Перезапуск KES не производился. Файлы трассировок отправляю в ЛС.
  3. Николай, в соответствии с п.6 инструкции (https://support.kaspersky.ru/9343#block1): "Перезапустите Kaspersky Endpoint Security 10 для Windows и воспроизведите ситуацию ... "
  4. Константин, существует ли способ включения сбора трассировок, без перезапуска KES? Соль в том, что после включения трассировок, по инструкции из Вашей подписи, проблема перестала воспроизводиться.
  5. Доброго дня! Замучило дублирование уведомлений о прочтении почты... полез копать... Имеем: KES 10.2.5.3201 (под политикой KSC 10.4.343), MS Outlook 2016. На самом деле, версии почтовиков различны - 2013, 2010 ... но в эксперименте именно 2016. Ситуация №1 - плагин включён Отправляем письмо с установленной галкой "уведомление о прочтении" с ПК "А" на ПК "Б". На ПК "Б", жмём "отправить уведомление". Получаем на ПК "А" два уведомления о прочтении. Уведомления отличаются зафиксированным временем прочтения сообщения. Кроме того, на почтовом сервере, одно из них имеет вид "прочитано"; второе - "read" (на клиенте этого не увидеть). Ситуация №2 - плагин выключен (на ПК "Б") При повторении действий, перечисленных в "ситуации 1", на ПК "А" будет получено только одно уведомление о прочтении с ПК "Б". Выходит, что плагин ведёт себя некорректно. На форуме ничего по этому вопросу найти не удалось. На аналогичных ресурсах производителя ОС и почтового клиента, вопрос поднимался и решался отключением плагина АВ, что выглядит не совсем правильным. Прошу помощи.
  6. так и делали... до тех пор, пока не получили прямое распоряжение о блокировке порта. теперь необходимо как-то выкручиваться в этих условиях.
  7. вот в этом и соль - возможно ли получить более информативные алерты, или, в крайнем случае, где-то посмотреть более детальную информацию о событии блокировки?
  8. В KSC: политика\сетевой экран\сетевые пакетные правила: чтоб работало - его необходимо поставить выше разрешающих. Если Вас интересует именно KES - там в локальных настройках, по аналогии.
  9. Приветствую всех! Опущу долгое вступление о знакомстве с WannaCry... Проблема в следующем: при попытках распространения по сети, вредонос утыкался в KES и его компонент "Защита от сетевых атак", о чём специально обученные люди получали вполне информативные алерты следующего содержания: Критическое событие Kaspersky Endpoint Security 10 для Windows 10.2.5.3201 Task: Защита от сетевых атак Time: 25 июля 2017 г. 10:35:32 (GMT+03:00) Computer: [domain]\[computer] Event Type: Обнаружена сетевая атака Description: 'Тип события: Обнаружена сетевая атака Программа\Название: Неизвестно Пользователь: [domain]\[user] (Активный пользователь) Компонент: Защита от сетевых атак Результат\Описание: Запрещено Результат\Название: Intrusion.Win.MS17-010.o Объект: TCP от [source_ip] на локальный порт 445 Объект\Тип: Сетевой пакет Объект\Название: TCP от [source_ip] на локальный порт 445 После получения "рекомендации свыше" о включении блокировки локального 445 порта на вход по TCP, средствами сетевого экрана KES, ситуация в корне изменилась: Критическое событие Kaspersky Endpoint Security 10 для Windows 10.2.5.3201 Task: Сетевой экран Time: 26 июля 2017 г. 14:08:16 (GMT+03:00) Computer: [domain]\[computer] Event Type: Сетевая активность запрещена Description: 'Программа: Kaspersky Endpoint Security 10 для Windows Событие\Протокол: TCP Событие\Статус: Запрещено Пользователь: [domain]\[user] (Активный пользователь) Правило: Блокировка 445 порта Внимание, вопрос: каким образом теперь отличить легитимные события, блокируемые правилом, от активности зловреда? Ни в KES, ни в KSC, ни в журналах событий, более детальную информацию разглядеть не удалось Единственное решение, которое приходит в воспалённый мозг - отключить правило блокировки... Но это неправильное решение KSC 10.4.343 KES 10.2.5.3201
  10. Здравствуйте! Прошу прощения за молчание дольше обещанного При попытке провернуть добавление в доверенные локально, картинка ровно та же, что и под политикой - в списке устройств сканер не отображается, соответственно, добавить невозможно. Заведён запрос INC000007003457
  11. Ответьте, пожалуйста, на вопросы по п.7 и 8 Спасибо. upd: кстати, локально на конкретной машине выполнение требуемых операций (как минимум, добавление в доверенные) не представляется возможным, ибо под политикой.
  12. Прошу пояснить по пунктам: п.4, 5 - допускается ли выгрузка/запуск KES через KSC? п.7 - каким образом? возможно, ответ появится в ответе на п.8, но пока, как мне видится, добавлять попросту нечего (именно этого устройства, по крайней мере, в списке KSC нет). п.8 - подскажите, где это увидеть? Спасибо.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.