Alexander Ilin

Поиск уязвимостей и Патч Менеджмент

76 posts in this topic

Уважаемые пользователи корпоративных продуктов «Лаборатории Касперского», приглашаем вас принять участие в улучшении компонентов «Уязвимости в программах» и «Обновление программного обеспечения» в составе комплекса Kaspersky Security Center 10.

Эти компоненты входят в раздел «Поиска уязвимостей» и позволяют сканировать управляемые компьютеры на наличие уязвимостей, а так же принудительно устанавливать обновления программного обеспечения.

В данной теме, мы бы хотели собрать ваши пожелания по работе данных компонентов. Нам очень интересно, какие именно программы вы обновляете с помощью Kaspersky Security Center 10 и устанавливаете ли вы «заплатки» для программ.

 

Спасибо.

Надеямся на ваше понимание и сотрудничество.

Share this post


Link to post
Share on other sites

Использую как в KSC 9 так и в KSC 10.

 

Софт стандартен для моего сегмента (злой админ я, да, ничего лишнего), но "соседи" используют множество разнообразного стороннего софта (имею к ним полный доступ на правах консультанта по продуктам KL и не только).

 

Ранее установку/обновление выполнял GPO средствами, Logon скриптами, но довольно ги..., трудоемко. Так как хорошо разбираюсь в инсталляторах, то теперь в основном использую скрипты VBS/CMD/BATCH через KSC для установки стандартного ПО, что используется на станциях (чур, скрипты не раздаю).

 

Для Microsoft продуктов использую тот же самый WSUS и средствами GPO.

 

Вам нужен полный список ПО, которое устанавливаю/обновляю? Уточните.

 

Спасибо.

Edited by K0NCTANT1N

Share this post


Link to post
Share on other sites

Добрый день!

Благодарим Вас за использование нашего продукта.

Позвольте узнать, почему Вы не используете наш Patch Management для обновления и установки программного обеспечения?

Список поддерживаемого программного обеспечения можно посмотреть здесь - http://support.kaspersky.ru/9327

Share this post


Link to post
Share on other sites

Здесь только по 10 версии говорим? Я, например, не спешу на нее переходить, подожду пока на 9.3.75, хотя организация и не такая большая, как тут встречаются.

 

Патч-менеджер может не использоваться, к примеру, если не все компьютеры организации охвачены KSC (установлены другие антивирусные продукты). А если на них установить агент управления и переместить в Управляемые, чтобы получать от агента полезные данные, то глаз не радует информация о том, что на них "Не установлен Антивирус Касперского" и состояние, соответственно, как-бы критическое. Очень хорошо было бы, на мой взгляд, KSC уметь создавать специальную группу в Управляемых, состояние компьютеров в которой не отражается на статистике.

 

У себя использую информацию об уязвимостях и установленных програмах, предоставляемую KSC 9.3.75, чтобы отловить не обновляющиеся компьютеры (может быть на них надо что-то предпринять).

Пока обновляюсь групповыми политиками. В недалеком будущем заланированы WSUS и AUSST. Обновление средствами KSC сторонних продуктов пока не прельщает (будут положительные отзывы от коллег - тогда и посмотрим).

Share this post


Link to post
Share on other sites
Здесь только по 10 версии говорим? Я, например, не спешу на нее переходить, подожду пока на 9.3.75, хотя организация и не такая большая, как тут встречаются.

 

Патч-менеджер может не использоваться, к примеру, если не все компьютеры организации охвачены KSC (установлены другие антивирусные продукты). А если на них установить агент управления и переместить в Управляемые, чтобы получать от агента полезные данные, то глаз не радует информация о том, что на них "Не установлен Антивирус Касперского" и состояние, соответственно, как-бы критическое. Очень хорошо было бы, на мой взгляд, KSC уметь создавать специальную группу в Управляемых, состояние компьютеров в которой не отражается на статистике.

 

У себя использую информацию об уязвимостях и установленных програмах, предоставляемую KSC 9.3.75, чтобы отловить не обновляющиеся компьютеры (может быть на них надо что-то предпринять).

Пока обновляюсь групповыми политиками. В недалеком будущем заланированы WSUS и AUSST. Обновление средствами KSC сторонних продуктов пока не прельщает (будут положительные отзывы от коллег - тогда и посмотрим).

Добрый день.

Здесь идёт обсуждение работы отдельного функционала, пожалуйста пишите только по теме.

Для пожеланий к продукту у нас есть отдельный топик, но даже он для десятой версии. http://forum.kaspersky.com/index.php?showtopic=263672

Share this post


Link to post
Share on other sites

Вообще, лично я считаю, что функционал развертывания ОС и софта для корпоративного АВ-решения совсем лишний. Поиск уязвимостей - полезно, безусловно. Для установки софта логично использовать предназначенные для этого средства.

Сам разворачиваю и регулярно обновляю весь стандартный софт (порядка 30 приложений) средствами WSUS.

Share this post


Link to post
Share on other sites

иногда удобно через KSC - если срочно и парк большой надо обновить или закрыть уязвимость или запустить скриптик сразу на всех для сбора специфичной информации, при этом очень много машин работают 24х7... тогда как средствами GPO или WSUS как правило необходима перезагрузка...

вроде как функционал полезный, но в больших предприятиях задачи/функции у админов разделены (узко направлены) и убедить использовать KSC вместо WSUS или прочего специализированного ПО для закрытия уязвимостей и обновления софта трудно.. поэтому - это всего лишь плюшка дополнительная... и логичней если такой функционал был бы продуктах защиты для малого офиса.

Edited by mvs

Share this post


Link to post
Share on other sites
средствами GPO или WSUS как правило необходима перезагрузка

Для установки софта перезагрузка не нужна. Ну очень редко, если, допустим, хром обновляется, когда запущен.

А вот на счет малого офиса полнотью согласен, в них обычно нету всусов и систем центров.

Share this post


Link to post
Share on other sites

Ну для обновления или запуска я использую SCCM (реже KSC)

 

На сколько я понял, поиск уязвимостей идет по направлению версионности ПО.

Так как еще бывают не правильные настройки разного ПО и ОС и ее компонентов.

 

И все зависит от организации, кто-то может и хочет позволит себе иметь несколько систем, а кто-то нет

 

Пожелания к этому модулю:

1. Иметь исключения (к примеру, некоторые продукты уже идут со встроенными модулями Java, которые уже устарели и т.п.)

2. Поиск уязвимостей в настройках:

- при запуске проверка ОС (с задержкой)

- при запуске приложения, проверка его настроек

- плановая проверка: проверка всего ПО и его настроек

- при полной проверке совместить поиск уязвимостей

- учитывать/понимать портейбл версии или версии, которым может не требоваться установка

Share this post


Link to post
Share on other sites
Вообще, лично я считаю, что функционал развертывания ОС и софта для корпоративного АВ-решения совсем лишний.

Оно, конечно, идеологически правильно -- keep focused и т.д. Но вот я лично рад, что такая функциональность в этом конкретном корпоративном АВ-решении есть. Потому что WSUS у меня нет. И AD нет. И даже Windows-серверов нет. Есть около 60 Windows-клиентов. И, на мой взгляд, мелким предприятиям с небесконечным бюджетом AD/WSUS (и лицензии на Windows-сервер и CAL -- мы же их считаем, да?) совсем необязательны.

 

Share this post


Link to post
Share on other sites
я лично рад, что такая функциональность в этом конкретном корпоративном АВ-решении есть

Цены, правда, уже не очень радуют...

 

Share this post


Link to post
Share on other sites

год назад с помощью "Обновления программного обеспечения" (тогда называлось по другому, и было по другому) пробывал обновлять программы в удаленных офисах с не очень широким каналом связи. там стоял свой KSC на обычной ОСи. WSUS стоял в голове и нагружать сеть в рабочее время было нежелательно, да и на серверную лицензию для каждого офиса денег небыло.

 

недавно вернулся к KSC, как понимаю плюшки стали платные.

Edited by pnetmon

Share this post


Link to post
Share on other sites
WSUS стоял в голове и нагружать сеть в рабочее время было нежелательно, да и на серверную лицензию для каждого офиса денег небыло.

Ни что не мешает и в офисе поставить и сделать расписание в ночное время, синхронизация с вышестоящим.

 

Share this post


Link to post
Share on other sites

Добрый день.

Пользуюсь KSC 10.0.3361

Есть несколько пожеланий к работе компонента «Уязвимости в программах»:1

  • Было бы прекрасно автоматически объединять в группы уязвимости, закрываемые одним патчем, например Adobe Flash Player появилось около 30 различных уязвимостей, это надо в каждую заходить и добавлять исправления в ручную. А можно было бы сгруппировать автоматически по уязвимому приложению с выпадающим списком включаемых уязвимостей.
  • Не работают ссылки на рекомендуемые исправления в свойствах уязвимости.
  • Было бы очень удобно, если в параметрах инсталляционного пакета, была справочная информация по ключам запуска приложения.

Share this post


Link to post
Share on other sites
недавно вернулся к KSC, как понимаю плюшки стали платные.

 

Вся соответствующая функциональность, доступная в KSC 9.x (установка обновлений Windows со штатного источника, закрытие уязвимостей, закрываемых обновлениями Windows, закрытие уязвимостей сторонних приложений назначением кастомных инсталляционных пакетов) осталась бесплатной и в KSC 10.x. Платной является возможность работы в качестве WSUS, автоматическая установка патчей сторонних приложений, и некоторые другие новые возможности.

 

год назад с помощью "Обновления программного обеспечения" (тогда называлось по другому, и было по другому) пробывал обновлять программы в удаленных офисах с не очень широким каналом связи. там стоял свой KSC на обычной ОСи. WSUS стоял в голове и нагружать сеть в рабочее время было нежелательно, да и на серверную лицензию для каждого офиса денег небыло.

 

Возможно, я неверно понял суть вопроса, но, еще раз, если речь идет об установке обновлений Windows со штатного источника (например, штатного WSUS), то использование KSC проблему узких каналов не решает, т.к. сами обновления (включая их метаданные) в этом случае закачиваются минуя транспорт KSC, а KSC является именно центром управления установкой обновлений. Для оптимизации трафика (за счет использования функциональности Агентов обновлений) в ходе доставки обновлений Windows следует использовать лицензию SystemsManagement и включать в KSC роль WSUS (делать его источником обновлений Windows).

 

 

Share this post


Link to post
Share on other sites
Было бы прекрасно автоматически объединять в группы уязвимости, закрываемые одним патчем, например Adobe Flash Player появилось около 30 различных уязвимостей, это надо в каждую заходить и добавлять исправления в ручную. А можно было бы сгруппировать автоматически по уязвимому приложению с выпадающим списком включаемых уязвимостей.

 

Это интересное предложение, мы его обдумаем, спасибо. Однако фактически в таком случае Вам достаточно выбрать любую из таких уязвимостей, и назначить исправление для нее (соответственно, в результате установки патча будут закрыты все уязвимости этого продукта).

 

На всякий случай уточню для других посетителей форума, что речь идет о режиме без ключа SystemsManagement (либо при отключении функциональности SystemsManagement в настройках консоли администрирования), когда патчи для уязвимостей сторонних приложений прихожится назначать вручную.

 

Не работают ссылки на рекомендуемые исправления в свойствах уязвимости.

 

Эта функциональность становится доступна только при наличии ключа SystemsManagement.

 

Было бы очень удобно, если в параметрах инсталляционного пакета, была справочная информация по ключам запуска приложения.

 

Просьба уточнить, об инсталляционных пакетов каких продуктов Вы говорите.

Спасибо!

Share this post


Link to post
Share on other sites
Вся соответствующая функциональность, доступная в KSC 9.x... осталась бесплатной и в KSC 10.x. Платной является возможность работы в качестве WSUS, автоматическая установка патчей сторонних приложений, и некоторые другие новые возможности.

 

Возможно, я неверно понял суть вопроса, но, еще раз, если речь идет об установке обновлений Windows со штатного источника (например, штатного WSUS), то использование KSC проблему узких каналов не решает, т.к. сами обновления (включая их метаданные) в этом случае закачиваются минуя транспорт KSC, а KSC является именно центром управления установкой обновлений. Для оптимизации трафика (за счет использования функциональности Агентов обновлений) в ходе доставки обновлений Windows следует использовать лицензию SystemsManagement и включать в KSC роль WSUS (делать его источником обновлений Windows)

 

Платное - хочу используя KSC обновить 7Zip - создаю инсталяционный пакет если выбирать Программа из базы "ЛК" - функциональность ограничена - то есть плюшка платная - хотя возразите она новая.

Да и вы пишите в ходе доставки обновлений Windows следует использовать лицензию SystemsManagement - это наверное тоже новая плюшка.

А вот раньше весь функционал KSC был бесплатный, а сейчас появились платные плюшки.

 

год назад с помощью "Обновления программного обеспечения" (тогда называлось по другому, и было по другому) пробывал обновлять программы в удаленных офисах с не очень широким каналом связи. там стоял свой KSC на обычной ОСи. WSUS стоял в голове и нагружать сеть в рабочее время было нежелательно, да и на серверную лицензию для каждого офиса денег небыло.

Это было в конце 2011-начале 2012 года, до появления KSC 10

используя WSUS люди умудряются обновлять и устанавливать сторонние программы.

Есть удаленные филиалы с которыми канал связи ограничен и канал все время нагружен в рабочее время, ночью простаивает. В филиалах только клиентские ОСи, на серверные нету денег или слишком жирно для некоторых филиалов с 5-7 компьютерами покупать сервер и лицензию на серверную редакцию MS.

Мне надо было одновременно на десятках машин обновить или установить программы как от MS (офисы, его сервис паки), так и других разработчиков, размер которых иногда сотни мегабайт.

При этом установить удаленно, не заходя лично на компьютеры, пользователь за компьютером может работать и его работу нельзя прерывать. Ну например Java должна стоять последняя, пользователь в этот момент времени с ней не работает, а работает позднее.

Решил что можно внедрить в филиалах локальные серверы KSC и массово распространять установочные файлы через них путем создания задачи где установочный пакет содержится в локальной сети филиала.

Edited by pnetmon

Share this post


Link to post
Share on other sites
Платное - хочу используя KSC обновить 7Zip - создаю инсталяционный пакет если выбирать Программа из базы "ЛК" - функциональность ограничена - то есть плюшка платная - хотя возразите она новая.
Да, именно так, это новая функциональность, которой не было в KSC 9.x. Как и раньше, Вы можете самостоятельно скачать дистрибутив, поддержитвающий "silent"-установку с сайта вендора, создать кастомный инсталляционный пакет, указав поддерживаемые вендором параметры командной строки для "silent"-установки. (В частности, как и раньше, можно бесплатно устанавливать любые msi-дистрибутивы.)

 

Да и вы пишите в ходе доставки обновлений Windows следует использовать лицензию SystemsManagement - это наверное тоже новая плюшка.
Так точно, это абсолютно новый функционал в KSC 10.x, которого не было в предыдущих версиях.

 

А вот раньше весь функционал KSC был бесплатный.
Повторюсь, тот функционал, который был бесплатный (весь), таковым и остался.

 

используя WSUS люди умудряются обновлять и устанавливать сторонние программы.

Есть удаленные филиалы с которыми канал связи ограничен и канал все время нагружен в рабочее время, ночью простаивает. В филиалах только клиентские ОСи, на серверные нету денег или слишком жирно для некоторых филиалов с 5-7 компьютерами покупать сервер и лицензию на серверную редакцию MS.

Мне надо было одновременно на десятках машин обновить или установить программы как от MS (офисы, его сервис паки), так и других разработчиков, размер которых сотни мегабайт.

При этом установить удаленно, не заходя лично на компьютеры, пользователь за компьютером может работать и его работу нельзя прерывать. Ну например Java должна стоять последняя, пользователь в этот момент времени с ней не работает, а работает позднее.

Решил что можно внедрить в филиалах локальные серверы KSC и массово распространять установочные файлы через них путем создания задачи где установочный пакет содержится в локальной сети филиала.

Вероятно, предлагаемое нами в версии KSC 10.x решение Systems Management идеально подходит для решения таких задач, типичных для организации с удаленными филиалами. Однако, Вы также можете решить эти задачи, ограничившись использованием базовой лицензии за счет использования Агентов обновлений или подчиненных Серверов администрирования в сетях удаленных филиалов при условии наличия возможности получать сами обновления MS непосредственно с серверов обновлений MS и ручного создания пакетов обновлений стороннего ПО, а также ручного определения того, какие именно обновления нужно устанавливать, или какие уязвимости закрывать. Решение Systems Management предлагает намного больше возможностей, в т.ч., с точки зрения простоты обеспечения безопасности за счет своевременного обнаружения и закрытия уязвимостей ПО.

Share this post


Link to post
Share on other sites
Да, именно так, это новая функциональность, которой не было в KSC 9.x. Как и раньше, Вы можете самостоятельно скачать дистрибутив, поддержитвающий "silent"-установку с сайта вендора, создать кастомный инсталляционный пакет, указав поддерживаемые вендором параметры командной строки для "silent"-установки. (В частности, как и раньше, можно бесплатно устанавливать любые msi-дистрибутивы.)

 

Так точно, это абсолютно новый функционал в KSC 10.x, которого не было в предыдущих версиях.

 

Повторюсь, тот функционал, который был бесплатный (весь), таковым и остался.

 

Вероятно, предлагаемое нами в версии KSC 10.x решение Systems Management идеально подходит для решения таких задач, типичных для организации с удаленными филиалами. Однако, Вы также можете решить эти задачи, ограничившись использованием базовой лицензии за счет использования Агентов обновлений или подчиненных Серверов администрирования в сетях удаленных филиалов при условии наличия возможности получать сами обновления MS непосредственно с серверов обновлений MS и ручного создания пакетов обновлений стороннего ПО, а также ручного определения того, какие именно обновления нужно устанавливать, или какие уязвимости закрывать. Решение Systems Management предлагает намного больше возможностей, в т.ч., с точки зрения простоты обеспечения безопасности за счет своевременного обнаружения и закрытия уязвимостей ПО.

 

 

 

у меня это вообще не работает.

Говорит что функциональность ограничена

Share this post


Link to post
Share on other sites
у меня это вообще не работает.

Говорит что функциональность ограничена

 

Это как раз означает, что на сервере не зарегистрирована лицензия на данную функциональность. Какой у Вас тип лицензии?

Share this post


Link to post
Share on other sites
Это как раз означает, что на сервере не зарегистрирована лицензия на данную функциональность.

и как ее зарегистрировать?

У меня стандартная версия.

Судя по таблице, функционал должен быть.

 

Share this post


Link to post
Share on other sites
и как ее зарегистрировать?

У меня стандартная версия.

Судя по таблице, функционал должен быть.

Уточните, пожалуйста, какую таблицу Вы имеете в виду.

 

KASPERSKY ENDPOINT SECURITY ДЛЯ БИЗНЕСА СТАНДАРТНЫЙ

KASPERSKY ENDPOINT SECURITY ДЛЯ БИЗНЕСА РАСШИРЕННЫЙ

Share this post


Link to post
Share on other sites
Это как раз означает, что на сервере не зарегистрирована лицензия на данную функциональность. Какой у Вас тип лицензии?

что значит тип?

У меня секьюрити стандарт

Share this post


Link to post
Share on other sites
что значит тип?

У меня секьюрити стандарт

 

Ознакомьтесь, пожалуйста, с содержанием ссылок - там есть подробное описание функциональности, доступной в каждом из продуктов (типов лицензий).

Функциональность Systems Management (Средства системного администрирования) доступна только с лицензией Advanced.

Уточните, подалуйста, при выполнении какого именно действия Вы получаете уведомление о недоступности функциональности?

И проверьте, пожалуйста, что у Вас в настройках интерфейса консоли администрирования отключено отображение функциональности Systems Management:

post-846-1389964423_thumb.png

post-846-1389964429_thumb.png

 

Как сказано выше в этом топике, без лицензии на данную функциональность доступны только те возможности Patch Management, которые были в предыдущих версиях Kaspersky Security Center - установка выбранных обновлений Microsoft Windows и исправление выбранных уязвимостей, закрываемых установкой обновлений Microsoft Windows или назначенными пользователем кастомными инсталляционными пакетами.

Share this post


Link to post
Share on other sites
Уважаемые пользователи корпоративных продуктов «Лаборатории Касперского», приглашаем вас принять участие в улучшении компонентов «Уязвимости в программах» и «Обновление программного обеспечения» в составе комплекса Kaspersky Security Center 10.

Эти компоненты входят в раздел «Поиска уязвимостей» и позволяют сканировать управляемые компьютеры на наличие уязвимостей, а так же принудительно устанавливать обновления программного обеспечения.

В данной теме, мы бы хотели собрать ваши пожелания по работе данных компонентов. Нам очень интересно, какие именно программы вы обновляете с помощью Kaspersky Security Center 10 и устанавливаете ли вы «заплатки» для программ.

 

Спасибо.

Надеямся на ваше понимание и сотрудничество.

 

Вечер добрый,

пожелания есть по улучшения функционала и по желательным исправлений ошибок.

1. Software-Updates -> при выборе применимые с фильтром MSRC - критычные, то выходит список с 73 уязмимостями, а при выборе KL - выявилось только 2 уязвимости! Как это понять и по каким критериям лучше ориентироваться??? - в данном случае лично считаю, что лучше положися на Microsoft! Либо проблема либо баг!

2. Очень важный пункт!!!! После того, как в политике агента устанавливаем "использовать KSC как wsus сервер" на всех рабочих местах выходи служба windows update и жалуется что есть обновления для хоста!!! Любой пользователь может произвести обновления!!!!!!! - это фатально!!! и это с security ни имеет ничего общего!!!!! Наши все клиенты, только по этой причине не хотят пользоватся этим функционалом.

Ведь смысл всего, чтобы администратор выбрал обновления которые он считает нужным и затем установил, а не каждый юзер, после чего хосты могут попрощатся!!!! Очень важно!!!

3. Тестировать и проверять пакеты обновления, а не просто пересылать на microsoft и других производителей как это делает Secunia. К примеру производитель Lumension, сначала тестирует все обновления, затем пакетирует + MD5 + шифрует и обновления появляются 1-2 позже чем у microsoft, но зато уверенно проверенные!

4. Устанавливаешь обновлене KB***, перезагрузаешь хост, сканируешь на уязвимости и опять появляетя уже установленный KB, как рекомендуемый для установке. Проверяешь на хосте и видишь, что этот патч уже установлен, сканируешь еще много раз, но KSC всеже предлогает для этого хоста уже установленный патч.

 

На этом пока преостановлюсь! Продолжение следует!

Игорь

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now