Jump to content
Ask questions on the new Community portal! || Задавай вопросы на новом комьюнити-портале! ×
Ask questions on the new Community portal! || Задавай вопросы на новом комьюнити-портале!
FLyER007

Работа модуля AVPSUS.EXE [Решено]

By FLyER007, in Защита для корпоративных пользователей

Recommended Posts

FLyER007   

FLyER007
Posted

Добрый день, уважаемые!

 

Подскажите пожалуйста. Некий процесс avpsus.exe периодически с высокой частотой стучится на адреса принадлежащие ЛК в обход PROXY. Ввиду того, что сетевые требования не были ранее предъявлены, соединение блокируется.

 

В частности:

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/54315 dst outside:62.128.100.219/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/53572 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/50535 dst outside:62.128.100.219/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/53250 dst outside:62.128.100.55/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/54002 dst outside:62.128.100.163/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55265 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0]

 

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/49444 dst outside:195.122.177.138/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55644 dst outside:62.128.100.107/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/59047 dst outside:62.128.100.131/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55645 dst outside:195.122.177.165/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/63269 dst outside:81.19.104.30/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/52880 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0]

 

В связи с этим появились следующие вопросы:

1) Где-то есть внятное описание какие задачи выполняет процесс? Перечень портов и адресов с которыми он работает?

2) Где в политике KES SP1 можно регулировать работу данного процесса (отключить/сконфигурировать)? Или он относится к netagent? Тогда где в политике NetAgent можно регулировать работу данного процесса?

3) Как заставить этот процесс работать с proxy?

 

Заранее спасибо за информацию!

Share this post

Link to post

Dmitry Eremeev   

Dmitry Eremeev
Posted
Добрый день, уважаемые!

 

Подскажите пожалуйста. Некий процесс avpsus.exe периодически с высокой частотой стучится на адреса принадлежащие ЛК в обход PROXY. Ввиду того, что сетевые требования не были ранее предъявлены, соединение блокируется.

 

В частности:

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/54315 dst outside:62.128.100.219/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/53572 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/50535 dst outside:62.128.100.219/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/53250 dst outside:62.128.100.55/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/54002 dst outside:62.128.100.163/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:13:47 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55265 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0]

 

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/49444 dst outside:195.122.177.138/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55644 dst outside:62.128.100.107/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/59047 dst outside:62.128.100.131/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/55645 dst outside:195.122.177.165/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/63269 dst outside:81.19.104.30/443 by access-group "inside_access_in" [0x0, 0x0]

2015-10-02 15:17:24 %ASA-4-106023: Deny tcp src inside:xx.xx.xx.xx/52880 dst outside:w/443 by access-group "inside_access_in" [0x0, 0x0]

 

В связи с этим появились следующие вопросы:

1) Где-то есть внятное описание какие задачи выполняет процесс? Перечень портов и адресов с которыми он работает?

2) Где в политике KES SP1 можно регулировать работу данного процесса (отключить/сконфигурировать)? Или он относится к netagent? Тогда где в политике NetAgent можно регулировать работу данного процесса?

3) Как заставить этот процесс работать с proxy?

 

Заранее спасибо за информацию!

 

Здравствуйте,

укажите, пожалуйста, точные сборки КЕС, агента и сервера и установленные патчи.

Спасибо.

Share this post

Link to post

Vitaly Kravtsov   

Vitaly Kravtsov
Posted

Здравствуйте!

 

Новый механизм обновления модулей программы (отдельный сервис avpsus), который предоставляет возможности:

 

Установка/удаление обновлений без выгрузки программы и без прерывания защиты компьютера.

Возможность установки как критических исправлений, так и обновлений.

Контроль состояния программы после применения обновлений, восстановление работоспособности программы в случае сбоев.

Интеграция с Kaspersky Security Center: получение информации о доступных обновлениях, управление применением обновлений, поддержка поэтапного развертывания обновлений, возможность автоматического применения критических исправлений.

 

Спасибо!

Share this post

Link to post

FLyER007   

FLyER007
Posted
Здравствуйте,

укажите, пожалуйста, точные сборки КЕС, агента и сервера и установленные патчи.

Спасибо.

 

Добрый день,

 

KSC - 10.2.434

KES - 10.2.2.10535

NETAGENT - 10.2.434

Плагин управления Сервером адм. - 10.2.480.0

 

Если чего-то не хватает, сообщите пожалуйста, где это посмотреть.

Share this post

Link to post

Dmitry Eremeev   

Dmitry Eremeev
Posted
Добрый день,

 

KSC - 10.2.434

KES - 10.2.2.10535

NETAGENT - 10.2.434

Плагин управления Сервером адм. - 10.2.480.0

 

Если чего-то не хватает, сообщите пожалуйста, где это посмотреть.

 

Фактически у вас есть затруднения в работе из-за блокирования сетевых запросов службы ?

Спасибо.

Share this post

Link to post

FLyER007   

FLyER007
Posted
Фактически у вас есть затруднения в работе из-за блокирования сетевых запросов службы ?

Спасибо.

На железке забит журнал логов о том, что машины пытаются достучаться до ресурсов ЛК в обход прокси, это дело блокируется.

За сутки, около 143908 таких попыток.

 

Нам надо либо подружить его с PROXY, либо отключить подобную активность (для обновления ПО есть сервер администрирования), либо нужен перечень портов и адресов, чтобы прописать исключения на железке.

 

 

Share this post

Link to post

Dmitry Eremeev   

Dmitry Eremeev
Posted
На железке забит журнал логов о том, что машины пытаются достучаться до ресурсов ЛК в обход прокси, это дело блокируется.

За сутки, около 143908 таких попыток.

 

Нам надо либо подружить его с PROXY, либо отключить подобную активность (для обновления ПО есть сервер администрирования), либо нужен перечень портов и адресов, чтобы прописать исключения на железке.

 

Был получен ответ, что это некорректное поведение будет исправлено в МР2 .

Либо вы можете завести запрос в СА и запросить патч 1320 для МР1 .

Спасибо.

Share this post

Link to post

FLyER007   

FLyER007
Posted

Добрый день,

 

спасибо за помощь, патч получили, судя по всему он решает проблему.

Share this post

Link to post

Nikolay Arinchev   

Nikolay Arinchev
Posted

Здравствуйте,

 

Спасибо за информацию!

 

Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!

Share this post

Link to post

karalka   

karalka
Posted
В 08.10.2015 в 19:18, Dmitry Eremeev сказал:

 

Был получен ответ, что это некорректное поведение будет исправлено в МР2 .

Либо вы можете завести запрос в СА и запросить патч 1320 для МР1 .

Спасибо.

Здравствуйте. Прочитал данную тему и хочу тоже задать такой вопрос. На клиентских компьютерах очень большая активность по адресам которые закрыты из нашей локальной сети. Как оказалось такую активность создает avpsus.exe  Существует ли возможность ограничить ему активность на эти адреса ? Т.к. клиентские машины не имеют доступ на эти адреса, а лишь создают огромную активность.  Либо что-то настроить, чтобы он туда не ходил ?

Пример на скринеkes.jpg.060c41d2da532594e6339e6339205f49.jpg

 

 

Share this post

Link to post

Nikolay Arinchev   

Nikolay Arinchev
Posted

Здравствуйте,

Уточните, пожалуйста, какая версия KES у вас установлена?

Спасибо!

Share this post

Link to post

karalka   

karalka
Posted
38 минут назад, Nikolay Arinchev сказал:

Здравствуйте,

Уточните, пожалуйста, какая версия KES у вас установлена?

Спасибо!

Упс, прошу прощения. Упустил

KSC- 10.5.1781

KES - 11.0.1.90

Агент - 10.5.1781

Share this post

Link to post

Nikolay Arinchev   

Nikolay Arinchev
Posted

Можно остановить службу Kaspersky Seamless Update Service, но в этом случаеобновление модулей KES работать не будет.

Штатно, к сожалению, отключить это нельзя.

Share this post

Link to post
Go To Topic Listing
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.

  I accept