Alexander Ilin

Поиск уязвимостей и Патч Менеджмент

76 posts in this topic

Вопрос

Агент, в политике есть опция: проверять файлы на уязвимость при запуске.

И так же есть задача для агента: поиск уязвимостей.

это одно и тоже по смыслу? только второе, это чтоб искать для софта, который редко запускается, ну или для полной картины на момент запуска?

Share this post


Link to post
Share on other sites
Пожелания к этому модулю:

1. Иметь исключения (к примеру, некоторые продукты уже идут со встроенными модулями Java, которые уже устарели и т.п.)

Присоединяюсь - добавления возможности исключения отдельных каталогов просто необходима. Столкнулся один раз с тем, что после поиска уязвимостей в одной организации где использовался мессенджер Spark сервер администрирования на все рабочие станции установил Java, хотя мессенджер использует свою, отдельно лежащую в каталоге с программой, версию Java.

Share this post


Link to post
Share on other sites
Присоединяюсь - добавления возможности исключения отдельных каталогов просто необходима. Столкнулся один раз с тем, что после поиска уязвимостей в одной организации где использовался мессенджер Spark сервер администрирования на все рабочие станции установил Java, хотя мессенджер использует свою, отдельно лежащую в каталоге с программой, версию Java.

Здравствуйте. Как давно это было? Какие патчи были установлены в тот момент когда была эта проблема? Спасибо!

Share this post


Link to post
Share on other sites
Сохраняет ли KSC 10 загружаемые обновления локально, дабы повторно их не скачивать из Интернета при повторной установке на клиентах ?

Да.

 

- попадут ли они в бэкап для KSC ?

Нет.

 

- можно ли переносить локально сохранённые обновления в виде папок/файлов на другой сервер KSC 10 ?

Нет, такой сценарий в настоящее время не поддерживается.

 

 

Share this post


Link to post
Share on other sites
Если я создам два правила одного и того же типа "Правило для всех обновлений" (в первом задано - Устанавливать все обновления кроме отклонённых, а во втором - Устанавливать все обновления включая отклонённые), то какой результат я получу ? То есть как обрабатываются сценарии, когда в задаче есть несколько конфликтующх правил ?

Правила всегда работают следующим образом: обновление попадает под действие задачи, если оно попадает под действие ХОТЯ бЫ ОДНОГО ПРАВИЛА, заданного для данной задачи; при этом обновление попадает под действие правила, если оно удовлетворяет ВСЕМ УСЛОВИЯМ, ЗАДАННЫМ В ЭТОМ ПРАВИЛЕ.

Иными словами, правила складываются по "ИЛИ", а условия в правилах - по "И".

Уточним описание этого момента в документации, если это сейчас приписано недостаточно четко, спасибо!

 

Share this post


Link to post
Share on other sites
Агент, в политике есть опция: проверять файлы на уязвимость при запуске.

И так же есть задача для агента: поиск уязвимостей.

это одно и тоже по смыслу? только второе, это чтоб искать для софта, который редко запускается, ну или для полной картины на момент запуска?

Да, по сути это одно и то же, но это просто разные механизмы активации процесса поиска, и разные способы задания области поиска. Механизм поиска уязвимостей на старте процессов позволяет обнаруживать уязвимости в любых процессах (в т.ч., запускаемым из файлов, лежащих вне области поиска по расписанию), позволяет повысить реактивность системы при установке новых версий ПО (не дожидаясь очередного запуска задачи сканирования по расписанию), и пр. С другой стороны, задача поиска по расписанию позволяет обнаружить уязвимости без запуска уязвимых процессов, и т.д.

 

Share this post


Link to post
Share on other sites
Присоединяюсь - добавления возможности исключения отдельных каталогов просто необходима. Столкнулся один раз с тем, что после поиска уязвимостей в одной организации где использовался мессенджер Spark сервер администрирования на все рабочие станции установил Java, хотя мессенджер использует свою, отдельно лежащую в каталоге с программой, версию Java.

Здравствуйте. Как давно это было? Какие патчи были установлены в тот момент когда была эта проблема? Спасибо!

Да, уточните, пожалуйста, когда именно это было, какие патчи к тому моменту были установлены на сервер KSC и управляемые Агенты - в данном случае к уязвимым файлам Java, найденным в папке установки другого продукта, не должны применяться патчи Java.

Share this post


Link to post
Share on other sites
Запрос № INC000001794887.

Здравствуйте. В запросе указана версия 10.0.3361, запрос от 2013 года. Актуальная версия на данный момент 10.1.249, механизм был изменён, если вы в этой версии увидите что то подобное, то сразу нам сообщите. Такого быть не должно. Спасибо.

Share this post


Link to post
Share on other sites

Здесь прочитал по предложениям по функционалу: у многих уже есть WSUS - не использовать его (бросить после синхронизации) - для многих будет проблематично. Но wsus - без скриптов (которые писать не все умеют) - это закрытие уязвимостей только microsoft. Остальной софт: адобы, джавы, архиваторы, и др. - как бы не совсем с wsus "дружит без танцев с ...".

Вот функционал - использовать сервер администрирования в качестве WSUS-сервера - трудно будет перекладывать рельсы, а вот если использовать сервер администрирования только как, так сказать, только OPUS (other program update service - не microsoft) - думаю многим будет интереснее. Т.е. разделить (добавить) использование функционала сервера администрированя на использование в качестве WSUS, OPUS или WSUS+OPUS. И кого то это привлечет как сохранение дискового пространства (например если уже есть развернут WSUS, зачем забивать второй его копией KSC?).

Т.е. сканируем уязвимости - находим уязвимости всего софта. Windows - уязвимости лечатся автоматичесикм апрувом на WSUS - для адэшных машинок. Если бага -разбираемся с политиками или агентом обновлений и др. И при повторном сканировании они теоретически дожны уменьшаться в количестве красного цвета. OPUS-уязвимости (из списка что пока есть на сегодняшний момент) - можно будет закачать на сервер администрирования и распространить агентами, что при повторном сканированиии должно также улучшить картинку по уязвимостям. Ну соответсвенно необходимо расширять список поддерживаемого на обновление ПО.

Тут интересный вопрос возникает - удаление ставших уже ненужными дистрибутивов - каким образом реализовать или это уже реализовано? Серверы то не резиновые.

 

Функционал нужный, можно обойтись без дорогущего макспатрола, еще бы nix'овые машинки проверять - уязвимостей там бывает побольше чем на виндовых - опять же зачем там WSUS-роль(?).

 

Пробовал установку на нескольких машинах - пока на 2-3 обновления встали (ну как-то странно встали - после перезагрузки на них появились предложения сходить в Интернет за обновами - на 1 Интренет зарезан - статистика та же), остальные сказали всё ОК - а после повторного сканирования - все уязвимости повылазили снова. Не знаю из-за чего. Автоматической установкой - Одобрением пока не занимался (всё вручную, чтоб понять как это работает).

 

Необходимо улучшать и дорабатывать, мое мнение.

 

 

Share this post


Link to post
Share on other sites
...остальные сказали всё ОК - а после повторного сканирования - все уязвимости повылазили снова. Не знаю из-за чего.

 

Предоставьте, пожалуйста, WindowsUpdate.log с пары таких компьютеров, а также экспортированные в текстовые файлы события от задачи установки обновлений с этих компьютеров.

Спасибо!

Share this post


Link to post
Share on other sites

Добрый день!

 

Как правильно пользоваться опцией "Загружать обновления на компьютер, не устанавливая".

Опция появилась в SP1.

Share this post


Link to post
Share on other sites
Добрый день!

 

Как правильно пользоваться опцией "Загружать обновления на компьютер, не устанавливая".

Опция появилась в SP1.

 

Данная опция позволяет использовать возможности KSC для централизованного скачивания патчей сервером KSC и доставки с помощью транспорта Агента (включая возможности использования Апдейт-агентов и мультикаст-рассылки) на те компьютеры, где требуется их установка, без собственно установки с целью их дальнейшей ручной установки администратором или квалифицированным пользователем (для случаев, когда по какой-то причине требуется ручной контроль над процессом и т.п.). При этом патчи обновлений Windows закачиваются в соответствющее хранилице Windows (откуда их дальше можно устанавливать через интерфейс Windows Update), а патчи сторонних приложений копируются в заданную в настройках задачи папку.

Share this post


Link to post
Share on other sites

Добрый день.

Для работы данных функций какой вид лицензии необходим?

Имеем к примеру раздел "Обновления программного обеспечения" в котором отображаются обновления ПО, как MS так и стороннего:

- эти обновления уже загружены в KSC?

- если через задача "Установить обновление" выбрать какое нить (к примеру MS, по которому есть уязвимость) и потом запустить задачу "Установка обновлений Windows Update" обновление пропадает из списка "Обновления программного обеспечения", но Уязвимость, которую данное обновление должно закрывать остается активной - так вот вопрос - как это вообще работает?

 

Галка использовать KSC в качестве WSUS сервера не стоит.

 

Share this post


Link to post
Share on other sites
Для работы данных функций какой вид лицензии необходим?

Для поддержки автоматического патчевания сторонних приложений, а также для возможности использования KSC в качестве WSUS нужна лицензия с поддержкой Systems Management, например - Advanced.

 

- эти обновления уже загружены в KSC?

Не обязательно; это обновления, установка которых поддерживается KSC (на полный список таких обновлений дополнительно накладываются другие настраиваемые фильтры, например, по умолчанию, в списке отображаются обновления, хотя бы на одном компьютере являющиеся применимыми - т.е., их установка рекомендуется, но не запланирована - не подходит под действие настроенных в задачах правил, или компьютер не входит в область действия таких задач, и т.п.).

Кроме того, если "Галка использовать KSC в качестве WSUS сервера не стоит", сами обновления MS вообще не загружаются на сервер KSC.

 

- если через задача "Установить обновление" выбрать какое нить (к примеру MS, по которому есть уязвимость) и потом запустить задачу "Установка обновлений Windows Update" обновление пропадает из списка "Обновления программного обеспечения", но Уязвимость, которую данное обновление должно закрывать остается активной - так вот вопрос - как это вообще работает?

 

Как сказано выше, нужно обратить внимание на состояние фильтров в списке. Вероятнее всего, там по умолчанию выставлен филmтр "Применимые". Когда для установки обновления уже создается задача, такое обновление меняет на целевых компьютерах задачи с "Применимо" на "Назначено" (далее на "Устанавливается" и т.д). Соответственно, обновление перестает отображаться в списке при задании фильра "Применимые" (чтобы увидеть такие обновления, нужно, например, изменить состояние фильтра). А уязвимость перестанет быть активной только спустя какое-то время после установки закрывающей ее обновления.

 

P.S. В будущем мы хотим добавить некий обобщенный фильтр, который будет показывать все требующие установки, но еще не установленные обновления, независимо от конкретного текущего статуса ("Применимо", "Назначено" и т.п.)

Share this post


Link to post
Share on other sites
P.S. В будущем мы хотим добавить некий обобщенный фильтр, который будет показывать все требующие установки, но еще не установленные обновления, независимо от конкретного текущего статуса ("Применимо", "Назначено" и т.п.)

Добавить к фильтрам отрицания? Чтобы можно было получать фильтры типа: "НЕ + Установлено". Очень хорошая мысль!

Share this post


Link to post
Share on other sites

Приветствую всех.

 

Просматривая результаты выполнения задачи "Поиск уязвимостей и обновлений программ", в очередной раз столкнулся с неприятными недоработками. На скриншоте

post-562116-1439496810_thumb.png

видно что вроде бы, задача на сервере выполнялась 1 августа и завершилась с какой-то ошибкой. Но при подробном просмотре событий задачи на сервере, ошибок при выполнении задачи не зафиксировано ни 1 августа, ни в какой-то другой день за последние 2 месяца. Почему в сводке висит сообщение об ошибке?

Далее. При подробном просмотре событий задачи на сервере видно что в последний раз задача выполнялась не 1 августа, а 13. Почему в сводке указана не последняя дата?

Далее. Задача была заваршена с результатом... А х.з. с каким результатом была завершена задача. Сообщить что-то типа: "В результате сканирования было обнаружено N незакрытых уязвимостей, в том числе M новых незакрытых уязвимостей. Задачи закрытия уязвимостей не найдено для K из обнаруженных уязвимостей", видимо, невероятно сложно. Посчитать количество найденных уязвимостей без использования компьютера совершенно нереально, а вывести сообщение на экран - тут ещё и программисту придётся поработать...

Далее. Просматривая свойства компьютера, я вижу что появились 4 уязвимости. У каждой из них, естественно, написано что они "Не закрываются задачей".

post-562116-1439500306_thumb.png

Конечно, разве можно было создать задачу закрытия уязвимости, которая у нас до сих пор не была обнаружена... Смотрю "Рекомендуемые исправления"... Что-то знакомое...

post-562116-1439500562_thumb.png

Ба! Да это же всё обновления от MS, которые вчера вечером были добавлены в задачу "Установка обновлений Windows Update" и которая ожидает своего срока для выполнения! Получается что использовать задачу "Установка обновлений Windows Update" для закрытия уязвимостей не кошерно? Или KSC мне сообщил что найденные уязвимости "Не закрываются задачей" по каким-то другим соображениям?

 

Задача "Установка обновлений Windows Update" только что отработала.

post-562116-1439501182_thumb.png

Половина уязвимостей как-то закрылась. Со второй половиной будем разбираться в другой раз: утром, после перезагрузки, после повторного сканирования...

В общем, "Поиск уязвимостей и Патч Менеджмент" как-то работает. Но хочется чтобы работал лучше!

Edited by Alex.V.P.

Share this post


Link to post
Share on other sites

Добрый день! столкнулся с такой проблемой: KSC(10.1.249) развернут на Windows 2008 R2, KES(10.2.1.23) на АРМ с Windows 7 pro x86.

Находит уязвимости хорошо, создал задачу по их закрытию, тоже все замечательно, на АРМ программы сами обновляются, старые версии удаляются, новые ставятся, все автоматически, все замечательно

НО!!! в отчетах об уязвимостях в KSC по-прежнему информация старая и не обновляется... Агент информацию обновляет своевременно.

т.е. выбираем компьютер в KSC, смотрим в реестр программ, стоят все программы с новыми версиями (и по факту так оно и есть), далее смотрим уязвимости в программах, а там куча уязвимостей со ссылкой на старые версии. Пробуем создать отчет, в отчете естественно вся эта куча уязвимостей и прописана, показываю отчет Началььнику, получаю по голове, за то что не работаю...

В чем может быть проблема?

Share this post


Link to post
Share on other sites
Добрый день! столкнулся с такой проблемой: KSC(10.1.249) развернут на Windows 2008 R2, KES(10.2.1.23) на АРМ с Windows 7 pro x86.

Находит уязвимости хорошо, создал задачу по их закрытию, тоже все замечательно, на АРМ программы сами обновляются, старые версии удаляются, новые ставятся, все автоматически, все замечательно

НО!!! в отчетах об уязвимостях в KSC по-прежнему информация старая и не обновляется... Агент информацию обновляет своевременно.

т.е. выбираем компьютер в KSC, смотрим в реестр программ, стоят все программы с новыми версиями (и по факту так оно и есть), далее смотрим уязвимости в программах, а там куча уязвимостей со ссылкой на старые версии. Пробуем создать отчет, в отчете естественно вся эта куча уязвимостей и прописана, показываю отчет Началььнику, получаю по голове, за то что не работаю...

В чем может быть проблема?

Добрый день. Можете проиллюстрировать скриншотами. Будем очень признательны. Большое спасибо!

Share this post


Link to post
Share on other sites

Добрый день!

Пользуюсь обновлением ПО при помощи KSC уже давно и успешно. Есть конечно там свои костыли, но в целом со своей задачей справляется.

Теперь согласно политикам информационной безопасности сервер KSC не должен иметь полный доступ в интернет, а доступ должен быть через прокси к определенным сайтам, доменам, IP-адресам (оно и понятно, неограниченный доступ в интернет с сервера даёт неограниченные возможности зловредам в части пересылки конфиденциальных данных и тд и тп.).

Полный доступ на сервер KSC был закрыт и руководствуясь статьей http://support.kaspersky.ru/general/products/6105 прописал все необходимые пути для обновления сигнатур. Обновление сигнатур проходит на УРА!

ОДНАКО!!!

Теперь все попытки обновления ПО завершаются ошибкой, оно и понятно доступ к сайтам откуда идет скачивание сторонних ПО закрыт.

Хотелось бы получить полный список сайтов, откуда KSC производит закачку стороннего ПО.

Наверняка этот список существует.

Очень буду благодарен :)

Share this post


Link to post
Share on other sites

Закачка стороннего ПО происходит непосредственно с сайтов сторонних вендоров. В свойствах обновления в Консоли KSC можно увидеть прямую ссылку откуда происходит скачивание.

Share this post


Link to post
Share on other sites

Здравствуйте!

У меня точно такая же проблема, как у пользователя ander313

 

Ситуация следующая:

 

1. Сканируется сервер на предмет уязвимости с помощью стандартной задачи "Поиск уязвимостей и требуемых обновлений"

2. Анализируется список найденных уязвимостей и начинается их устранение (первый этап - установка обновлений Windows, установка нужных KB)

3. После установки всех KB, сервер все равно находиться в группе неустаненных уязвимостей.

 

KSC 10.2.434, агент администрирования - 10.2.434, Антивирус Касперского 8.0 для Windows Servers Enterprise Edition - 8.0.0.559

 

post-580613-1449013435_thumb.png

post-580613-1449013447_thumb.png

post-580613-1449013451_thumb.png

Share this post


Link to post
Share on other sites
Здравствуйте!

У меня точно такая же проблема, как у пользователя ander313

 

Ситуация следующая:

 

1. Сканируется сервер на предмет уязвимости с помощью стандартной задачи "Поиск уязвимостей и требуемых обновлений"

2. Анализируется список найденных уязвимостей и начинается их устранение (первый этап - установка обновлений Windows, установка нужных KB)

3. После установки всех KB, сервер все равно находиться в группе неустаненных уязвимостей.

 

KSC 10.2.434, агент администрирования - 10.2.434, Антивирус Касперского 8.0 для Windows Servers Enterprise Edition - 8.0.0.559

Добрый день. У вас не такая же проблема что и у ander313, у него репорт не автообновлялся, у вас другое. А что об этом обновлении говорится в WindowsUpdate.log на хосте где данное обновление не поставилось?

Share this post


Link to post
Share on other sites
Добрый день. У вас не такая же проблема что и у ander313, у него репорт не автообновлялся, у вас другое. А что об этом обновлении говорится в WindowsUpdate.log на хосте где данное обновление не поставилось?

 

 

2015-10-28 12:18:48:301 1060 1194 Report REPORT EVENT: {036A773B-E5F0-4F28-9879-1CA2CFFB962E} 2015-10-28 12:18:46:818+1000 1 183 101 {6FD1A18B-3DBA-4DBC-820E-750A4E32F24C} 202 0 AutomaticUpdates Success Content Install Installation Successful: Windows successfully installed the following update: Cumulative Security Update for ActiveX Killbits for Windows Server 2008 R2 x64 Edition (KB2900986)

Share this post


Link to post
Share on other sites

Добрый день!

 

Столкнулся с проблемой при загрузке метаданных Windows Update с помощью задачи "Синхронизация обновлений Windows Update" в KSC 10 SP1. При первоначальном запуске задача доходит где-то до 70%, затем замирает на некоторое время и завершается сообщением "Завершена с ошибкой". Перезапуск задачи тоже завершается ошибкой. Я провожу курс 009.10 (Управление системами) и у нас есть лабораторная работа №2 (Утсановка обновлений Windows), где слушателям нужно показать данный функционал. Для уменьшения загружаемых метаданных установлено ограничение в свойствах этой задачи - загружаем метаданные только для Windows 7, критические обновления, язык English (United States). Раньше (до января 2016 г) данной проблемы не было - задача синхронизации метаданных всегда выполнядась без ошибок. В этом же году на каждом тренинге такая свистопляска, причем не только на моём стендне (используются виртуальные машины), но и у всех слушателей, которых бывает более 10 человек на группу! Подскажите, пожалуйста, в чём причина этой проблемы и как её исправить ? Если надо, я могу выслать эту лабораторную, чтоб вы сами могли её проделать и увидеть данную ошибку. Спасибо за помощь!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now