Jump to content
Sign in to follow this  
evoc

Что установить на Terminal server.

Recommended Posts

  Можно ли устанавливать на Терминальный сервер версию endpoint security for windows 11? Столкнулись с неудовлетворительной работой версии именно для Server, как пример, невозможно задать варианты фильтрации для почтовых вложений, плагин не удаляет а всего лишь переименовывает вложения. Непонятная схема работы файлового антивируса, получено вложение, распаковано,заходим в каталог, там лежит exe вирусный, система задумывается минуты на полторы и после этого файл очищается. Почему не проиходит очистка моментально при распаковке, как это происходит в версии endpoint security for windows 11? Столкнулись с тем, что модуль контроль трафика блокирует портал доступа к заказам. Никаких шибок нигде не находит, отключаем модуль все работает, выключаем не работает. С установленной endpoint security for windows 11 портал открывается без проблем. Занесение портала в доверенные веб-ресурсы в версии для серверов успеха не сыскало, не заработало. Проблема у  endpoint security for windows 11 развернутого через ksc не установлен почтовый плагин в клиентах outlook, в остальном настройки управления и гибкость значительно лучше у endpoint security for windows 11 чем у WinServer версии. Терминальный сервер служит для полноценной работы тонких клиентов. Как подключить плагин аутлука именно для версии endpoint security for windows 11? Насколько эта версия при работе на терминале хуже, чем ее серверных аналог? Где  в серверном аналоге смотреть, почему не открывается вэбузел и по какой причине его блокирует?

Share this post


Link to post

Тогда сориентируйте как определить, почему KSWS10 блокирует доступ к вебресурсу? Как и где посмотреть, в отчетах пусто. 

Share this post


Link to post
11 минут назад, evoc сказал:

Тогда сориентируйте как определить, почему KSWS10 блокирует доступ к вебресурсу? Как и где посмотреть, в отчетах пусто. 

Здравствуйте,

Можно посмотреть на трассировку KSWS, собранную при блокировке доступа?

 

Share this post


Link to post

Добрый день. Прошу прощения за долгое отсутствие ответа. Этот адрес не открывается с трех разных серверов, на которых установлена свежая версия WS. Сам адрес такой: https://portal.tvoydom.ru/irj/portal

 Без проблем открывается с любой станции где стоит workstation версия и не открывается ни с одного сервера с ws. Трассировку сейчас попробую сделать.Trass1.zip

С другими узлами проблем пока не замечено.

Share this post


Link to post

Кстати, судя по количеству и составу категорий в KES и KSWS, можно предположить что они используют разные базы и сервисы категорирования.
Соответственно могут быть ситуации, когда один и те-же сайт в KES и KSWS будет классифицироваться по-разному.
Кроме того, в KES нет полноценной обработки https-ссылок, т.е. в вашем случае в KES анализ производится только по корневой части  https://portal.tvoydom.ru (все, что правее, игнорируется)
В KSWS 10.1 https-трафик проверяется, и соответственно https-ссылки анализируются и контролируются полностью.

Share this post


Link to post

Вопрос остается только, что с этим делать. Это один из основных ресурсов по которым компания принимает заказы. Отключаешь контроль трафика и почта с вэб на терминалах остаются без контроля и защиты.

Share this post


Link to post
3 часа назад, evoc сказал:

Добрый день. Прошу прощения за долгое отсутствие ответа. Этот адрес не открывается с трех разных серверов, на которых установлена свежая версия WS. Сам адрес такой: https://portal.tvoydom.ru/irj/portal 

 Без проблем открывается с любой станции где стоит workstation версия и не открывается ни с одного сервера с ws. Трассировку сейчас попробую сделать.Trass1.zip

С другими узлами проблем пока не замечено.

Сайт использует так называемый pinned-certificate, и временный сертификат нашего MITM ему не нравится. Единственный способ преодолеть это - исключить домен из проверки (чтобы трафик от него шёл не через MITM, а напрямую). Сделать нужно вот что:

- установить вот этот патч (или использовать релиз 10.1.1.746, там это уже встроено):

https://support.kaspersky.ru/14306

- в реестре прописать домен tvoydom.ru в специальном ключе, вот так:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment\ICAP]
"IgnoreDomains"=hex(7):2a,00,2e,00,75,00,70,00,64,00,61,00,74,00,65,00,2e,00,\
  6d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,\
  00,00,00,2a,00,2e,00,74,00,76,00,6f,00,79,00,64,00,6f,00,6d,00,2e,00,72,00,\
  75,00,00,00,00,00

Тут в REG_MULTI_SZ перечислены два домена:

*.update.microsoft.com
*.tvoydom.ru
 

Share this post


Link to post

Эта проблема как раз на 10.1.1.746. Т.е. нужно тогда происать в реестре? В реестре отсутствует  ICAP, его самому создать нужно?

Edited by evoc

Share this post


Link to post
4 часа назад, evoc сказал:

Эта проблема как раз на 10.1.1.746. Т.е. нужно тогда происать в реестре? В реестре отсутствует  ICAP, его самому создать нужно?

На 10.1.1 тоже должно работать. Ключ ICAP создать самому.

Share this post


Link to post

Добрый день.  Отработал несколько месяцев Ключ ICAP который я добавил по ссылке сверху и вчера перестало снова пускать на этот портал. Может поменялись какие то данные?

Share this post


Link to post
3 минуты назад, evoc сказал:

Добрый день.  Отработал несколько месяцев Ключ ICAP который я добавил по ссылке сверху и вчера перестало снова пускать на этот портал. Может поменялись какие то данные?

Здравствуйте,

Если в реестре ничего не менялось - значит, поменялся сайт. Можно посмотреть на новую трассировку с попыткой открытия этого сайта?

Share this post


Link to post
1 час назад, evoc сказал:

прикладываю 

Всё-таки что-то с реестром. Судя по трейсам, мы пытаемся подсунуть MiTM-сертификат для portal.tvoydom.ru, но сервер его отвергает - то есть, то же самое, что было и раньше. Значение в реестре, указанное выше в топике, должно помогать.

Если Вы настаиваете, что в реестре всё правильно, то дайте, пожалуйста, трассировку со старта задачи Traffic Security - мы там посмотрим, какие именно исключения считываются из реестра.

 

Share this post


Link to post
Цитата

Со старта задачи это с момента заспуска серверного приложения касперского?

 

Edited by evoc

Share this post


Link to post
23 часа назад, Oleg Bykov сказал:

Можно со старта всего приложения, да.

 Поскольку проблема на терминальных серверах, вечером выложу трассировку, после перезагрузки.

Share this post


Link to post

Лог после перезагрузки получился на 10 мбайт в сжатом виде, прикрепить могу только 4. Каким образом мне вам выложить файл трассировки?

Share this post


Link to post
24 минуты назад, evoc сказал:

Лог после перезагрузки получился на 10 мбайт в сжатом виде, прикрепить могу только 4. Каким образом мне вам выложить файл трассировки?

Можно вот сюда: https://box.kaspersky.com/u/d/2c20c84153cb419689b6/

 

Share this post


Link to post

TLS connection with server has been refused. Reason: timeout or wrong certificate

 Вот такое сообщение еще выдает браузер.

KavTrass2.zip

залил по ссылке сверху, тут не прикреплялся.

Share this post


Link to post

В реестре нет нужного значения:

10:15:37.128  c24  c74  debug     [mitm]      http/icap global settings:
MemoryNumberOfPage=2
TemporaryFolder='C:\Windows\TEMP\'
IgnoreDomains=[*.update.microsoft.com,]

Нужно его добавить:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment\ICAP]
"IgnoreDomains"=hex(7):2a,00,2e,00,75,00,70,00,64,00,61,00,74,00,65,00,2e,00,\
  6d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,\
  00,00,00,2a,00,2e,00,74,00,76,00,6f,00,79,00,64,00,6f,00,6d,00,2e,00,72,00,\
  75,00,00,00,00,00

 

Share this post


Link to post
3 минуты назад, Oleg Bykov сказал:

В реестре нет нужного значения:


10:15:37.128  c24  c74  debug     [mitm]      http/icap global settings:
MemoryNumberOfPage=2
TemporaryFolder='C:\Windows\TEMP\'
IgnoreDomains=[*.update.microsoft.com,]

Нужно его добавить:


[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment\ICAP]
"IgnoreDomains"=hex(7):2a,00,2e,00,75,00,70,00,64,00,61,00,74,00,65,00,2e,00,\
  6d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,\
  00,00,00,2a,00,2e,00,74,00,76,00,6f,00,79,00,64,00,6f,00,6d,00,2e,00,72,00,\
  75,00,00,00,00,00

 

reg.thumb.jpg.93b6a3946cc230ecb539b8bbbb94166c.jpg

Share this post


Link to post

Я добавил в запись только вот это значение: 2a 2e 74 76 6f 79 64 6f 6d 2e 72 75 (*.tvoydom.ru), убрал все остальное, но в логе по прежнему фигурирует майкрософт, откуда он его берет? Там вообще нет в строке записи про майкрософт.

Share this post


Link to post
15 минут назад, evoc сказал:

Я добавил в запись только вот это значение: 2a 2e 74 76 6f 79 64 6f 6d 2e 72 75 (*.tvoydom.ru), убрал все остальное, но в логе по прежнему фигурирует майкрософт, откуда он его берет? Там вообще нет в строке записи про майкрософт.

Вы сделайте из моего сообщения выше REG-файл и запустите его на добавление - тогда в реестр занесутся корректные значения. То есть, сделайте файл ignoredom.reg с таким содержимым:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment\ICAP]
"IgnoreDomains"=hex(7):2a,00,2e,00,75,00,70,00,64,00,61,00,74,00,65,00,2e,00,\
  6d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,\
  00,00,00,2a,00,2e,00,74,00,76,00,6f,00,79,00,64,00,6f,00,6d,00,2e,00,72,00,\
  75,00,00,00,00,00

И "запустите" его двойным щелчком.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.