FLyER007 Posted October 8, 2015 Добрый день, уважаемые! Подскажите пожалуйста. Некий процесс avpsus.exe периодически с высокой частотой стучится на адреса принадлежащие ЛК в обход PROXY. Ввиду того, что сетевые требования не были ранее предъявлены, соединение блокируется. В частности: 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/54315 dst outside:62.128.100.219/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/53572 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/50535 dst outside:62.128.100.219/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/53250 dst outside:62.128.100.55/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/54002 dst outside:62.128.100.163/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55265 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/49444 dst outside:195.122.177.138/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55644 dst outside:62.128.100.107/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/59047 dst outside:62.128.100.131/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55645 dst outside:195.122.177.165/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/63269 dst outside:81.19.104.30/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/52880 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0] В связи с этим появились следующие вопросы: 1) Где-то есть внятное описание какие задачи выполняет процесс? Перечень портов и адресов с которыми он работает? 2) Где в политике KES SP1 можно регулировать работу данного процесса (отключить/сконфигурировать)? Или он относится к netagent? Тогда где в политике NetAgent можно регулировать работу данного процесса? 3) Как заставить этот процесс работать с proxy? Заранее спасибо за информацию! Share this post Link to post
FLyER007 Posted October 8, 2015 Похоже в этой теме содержится ответ на 3-ий вопрос, как заставить работать процесс с PROXY: http://forum.kaspersky.com/index.php?showt...22#entry2406207 Но нужно включать взаимодействие с KSN. А мы не хотим участвовать в КSN. Share this post Link to post
Dmitry Eremeev Posted October 8, 2015 Добрый день, уважаемые! Подскажите пожалуйста. Некий процесс avpsus.exe периодически с высокой частотой стучится на адреса принадлежащие ЛК в обход PROXY. Ввиду того, что сетевые требования не были ранее предъявлены, соединение блокируется. В частности: 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/54315 dst outside:62.128.100.219/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/53572 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/50535 dst outside:62.128.100.219/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/53250 dst outside:62.128.100.55/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/54002 dst outside:62.128.100.163/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55265 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/49444 dst outside:195.122.177.138/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55644 dst outside:62.128.100.107/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/59047 dst outside:62.128.100.131/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55645 dst outside:195.122.177.165/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/63269 dst outside:81.19.104.30/443 by access-group "inside_access_in" [0x0, 0x0] 2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/52880 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0] В связи с этим появились следующие вопросы: 1) Где-то есть внятное описание какие задачи выполняет процесс? Перечень портов и адресов с которыми он работает? 2) Где в политике KES SP1 можно регулировать работу данного процесса (отключить/сконфигурировать)? Или он относится к netagent? Тогда где в политике NetAgent можно регулировать работу данного процесса? 3) Как заставить этот процесс работать с proxy? Заранее спасибо за информацию! Здравствуйте, укажите, пожалуйста, точные сборки КЕС, агента и сервера и установленные патчи. Спасибо. Share this post Link to post
Vitaly Kravtsov Posted October 8, 2015 Здравствуйте! Новый механизм обновления модулей программы (отдельный сервис avpsus), который предоставляет возможности: Установка/удаление обновлений без выгрузки программы и без прерывания защиты компьютера. Возможность установки как критических исправлений, так и обновлений. Контроль состояния программы после применения обновлений, восстановление работоспособности программы в случае сбоев. Интеграция с Kaspersky Security Center: получение информации о доступных обновлениях, управление применением обновлений, поддержка поэтапного развертывания обновлений, возможность автоматического применения критических исправлений. Спасибо! Share this post Link to post
FLyER007 Posted October 8, 2015 Здравствуйте, укажите, пожалуйста, точные сборки КЕС, агента и сервера и установленные патчи. Спасибо. Добрый день, KSC - 10.2.434 KES - 10.2.2.10535 NETAGENT - 10.2.434 Плагин управления Сервером адм. - 10.2.480.0 Если чего-то не хватает, сообщите пожалуйста, где это посмотреть. Share this post Link to post
Dmitry Eremeev Posted October 8, 2015 Добрый день, KSC - 10.2.434 KES - 10.2.2.10535 NETAGENT - 10.2.434 Плагин управления Сервером адм. - 10.2.480.0 Если чего-то не хватает, сообщите пожалуйста, где это посмотреть. Фактически у вас есть затруднения в работе из-за блокирования сетевых запросов службы ? Спасибо. Share this post Link to post
FLyER007 Posted October 8, 2015 Фактически у вас есть затруднения в работе из-за блокирования сетевых запросов службы ? Спасибо. На железке забит журнал логов о том, что машины пытаются достучаться до ресурсов ЛК в обход прокси, это дело блокируется. За сутки, около 143908 таких попыток. Нам надо либо подружить его с PROXY, либо отключить подобную активность (для обновления ПО есть сервер администрирования), либо нужен перечень портов и адресов, чтобы прописать исключения на железке. Share this post Link to post
Dmitry Eremeev Posted October 8, 2015 На железке забит журнал логов о том, что машины пытаются достучаться до ресурсов ЛК в обход прокси, это дело блокируется. За сутки, около 143908 таких попыток. Нам надо либо подружить его с PROXY, либо отключить подобную активность (для обновления ПО есть сервер администрирования), либо нужен перечень портов и адресов, чтобы прописать исключения на железке. Был получен ответ, что это некорректное поведение будет исправлено в МР2 . Либо вы можете завести запрос в СА и запросить патч 1320 для МР1 . Спасибо. Share this post Link to post
FLyER007 Posted October 15, 2015 Добрый день, спасибо за помощь, патч получили, судя по всему он решает проблему. Share this post Link to post
Nikolay Arinchev Posted October 15, 2015 Здравствуйте, Спасибо за информацию! Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика! Share this post Link to post
karalka Posted March 4 В 08.10.2015 в 19:18, Dmitry Eremeev сказал: Был получен ответ, что это некорректное поведение будет исправлено в МР2 . Либо вы можете завести запрос в СА и запросить патч 1320 для МР1 . Спасибо. Здравствуйте. Прочитал данную тему и хочу тоже задать такой вопрос. На клиентских компьютерах очень большая активность по адресам которые закрыты из нашей локальной сети. Как оказалось такую активность создает avpsus.exe Существует ли возможность ограничить ему активность на эти адреса ? Т.к. клиентские машины не имеют доступ на эти адреса, а лишь создают огромную активность. Либо что-то настроить, чтобы он туда не ходил ? Пример на скрине Share this post Link to post
Nikolay Arinchev Posted March 4 Здравствуйте, Уточните, пожалуйста, какая версия KES у вас установлена? Спасибо! Share this post Link to post
karalka Posted March 4 38 минут назад, Nikolay Arinchev сказал: Здравствуйте, Уточните, пожалуйста, какая версия KES у вас установлена? Спасибо! Упс, прошу прощения. Упустил KSC- 10.5.1781 KES - 11.0.1.90 Агент - 10.5.1781 Share this post Link to post
Nikolay Arinchev Posted March 4 Можно остановить службу Kaspersky Seamless Update Service, но в этом случаеобновление модулей KES работать не будет. Штатно, к сожалению, отключить это нельзя. Share this post Link to post