IPB

Welcome Guest ( Log In | Register )

4 Pages V  < 1 2 3 4 >  
Reply to this topicStart new topic
> Поиск уязвимостей и Патч Менеджмент, Внимание отвечают менеджеры компонента!
katbert
post 3.07.2014 16:31
Post #41


Kaspersky Fan I
********

Group: Members
Posts: 1464
Joined: 2.11.2005
From: Уфа




На Windows 8 при поиске уязвимостей в сторонних программах в %Systemroot% обнаруживаться большое количество ложных уязвимостей в Adobe Flash.
Там Adobe Flash ActiveX для Internet Explorer распространяется только через Windows Update, и средствами Windows создаются копии предыдущих версий в каталоге C:\Windows\WinSxS
В итоге - на машинах с Windows 8 числится большое количество уязвимостей в Adobe Flash, хотя фактически стоит последняя версия

Может стоит научить Агент не искать уязвимости в копиях файлов Windows?

Attached File(s)
Attached File  adobe_win8.png ( 22,41K ) Number of downloads: 38
 
Go to the top of the page
 
+Quote Post
katbert
post 4.07.2014 10:08
Post #42


Kaspersky Fan I
********

Group: Members
Posts: 1464
Joined: 2.11.2005
From: Уфа




Удаление файлов обновлений Windows с помощью очистки диска удалило часть каталогов вида
C:\Windows\winsxs\x86_adobe-flash-for-windows...
Но остался C:\Windows\winsxs\x86_adobe-flash-for-windows_31bf3856ad364e35_6.2.9200.16384_none_284aefe73af6588a
Большинство обнаруженных уязвимостей обнаруживается в нем
Go to the top of the page
 
+Quote Post
Lashchenkov
post 4.07.2014 10:52
Post #43


Senior developer
*****

Group: KL Russia
Posts: 660
Joined: 3.05.2005
From: Moscow, Russia




Здравствуйте!
Аналогичный запрос уже обсуждался тут, посмотрите, пожалуйста.
В патче B это поведение было скорректировано, и по умолчанию отфильтровываются экземпляры уязвимостей такого рода, которые не являются частью реально установленного продукта и не могут в принципе быть закрыты патчами. При необходимости посмотреть такие экземпляры можно, отключив данный фильтр.
Go to the top of the page
 
+Quote Post
katbert
post 4.07.2014 12:21
Post #44


Kaspersky Fan I
********

Group: Members
Posts: 1464
Joined: 2.11.2005
From: Уфа




Речь о галке "Есть исправление" на вкладке Уязвимости в программах в свойствах компьютера?
Go to the top of the page
 
+Quote Post
Lashchenkov
post 4.07.2014 12:23
Post #45


Senior developer
*****

Group: KL Russia
Posts: 660
Joined: 3.05.2005
From: Moscow, Russia




QUOTE(katbert @ 4.07.2014 12:21) *
Речь о галке "Есть исправление" на вкладке Уязвимости в программах в свойствах компьютера?

Да, именно так.
Однако предложение об исключении именно из области поиска некоторых стандартных системных папок мы также, вероятно, реализуем в одном из ближайших обновлений.
Go to the top of the page
 
+Quote Post
katbert
post 4.07.2014 14:55
Post #46


Kaspersky Fan I
********

Group: Members
Posts: 1464
Joined: 2.11.2005
From: Уфа




QUOTE(Lashchenkov @ 4.07.2014 14:23) *
Да, именно так.

Тогда это не совсем то, что нужно.
Похоже, эта по этой галке имеется в виду наличие патча, который KSC может установить задачей устранения уязвимостей
Но ведь если KSC не может автоматически закрыть конкретную уязвимость, это еще не значит, что нет патча или новой версии от производителя

Например, на одной из машин стоит полная версия Acrobat 10.1.9, в которой обнаруживается уязвимость
И при установленной галке "Есть исправление" эта уязвимость скрыта
А между тем, у Adobe давно уж вышел патч до версии 10.1.10

This post has been edited by katbert: 4.07.2014 14:56
Go to the top of the page
 
+Quote Post
Lashchenkov
post 4.07.2014 15:05
Post #47


Senior developer
*****

Group: KL Russia
Posts: 660
Joined: 3.05.2005
From: Moscow, Russia




QUOTE(katbert @ 4.07.2014 14:55) *
Тогда это не совсем то, что нужно.
Похоже, эта по этой галке имеется в виду наличие патча, который KSC может установить задачей устранения уязвимостей
Но ведь если KSC не может автоматически закрыть конкретную уязвимость, это еще не значит, что нет патча или новой версии от производителя

Например, на одной из машин стоит полная версия Acrobat 10.1.9, в которой обнаруживается уязвимость
И при установленной галке "Есть исправление" эта уязвимость скрыта
А между тем, у Adobe давно уж вышел патч до версии 10.1.10


Исходя из сценариев использования, по умолчанию мы показываем те уязвимости, в отношении которых KSC может предпринимать какие-то действия. При ручном анализе уязвимостей с целью самостоятельной работы с ними данную фильтрацию просто нужно отключать. И да, в этом случае уязвимые файлы в системных кешах сейчас тоже будут показаны, здесь уже наступает ответственность администратора по отделению того, что его интересует от того, что его не интересует.
Go to the top of the page
 
+Quote Post
katbert
post 4.07.2014 16:27
Post #48


Kaspersky Fan I
********

Group: Members
Posts: 1464
Joined: 2.11.2005
From: Уфа




Изначальный вопрос был о том, чтобы не обнаруживать уязвимости там, где это смысла не имеет - во всяких кэшах
Вручную разгребать это будет скучно - если одна машина с Win8 дает около 15 ложных уязвимостей только во Flash - а таких машин в сети много?

Пока обхожу эту ситуацию, не включая %systemroot% в регулярное сканирование
Патчи для продуктов MS ставлю через WSUS
Go to the top of the page
 
+Quote Post
Vasily78
post 6.08.2014 20:59
Post #49


Member
**

Group: Members
Posts: 21
Joined: 2.04.2011




Добрый день!

Есть несколько вопросов по функционированию KSC 10 в роли WSUS сервера. Сохраняет ли KSC 10 загружаемые обновления локально, дабы повторно их не скачивать из Интернета при повторной установке на клиентах ? Если обновления сохраняются локально, то:

- попадут ли они в бэкап для KSC ?
- можно ли переносить локально сохранённые обновления в виде папок/файлов на другой сервер KSC 10 ?

Благодарю за ответы!!
Go to the top of the page
 
+Quote Post
Vasily78
post 7.08.2014 00:05
Post #50


Member
**

Group: Members
Posts: 21
Joined: 2.04.2011




Будьте добры, по горячим следам возник ещё один вопрос. При настройке задачи "Обновление программ и закрытие уязвимостей" в разделе "Параметры" можно задать правила установки обновлений. Если я создам два правила одного и того же типа "Правило для всех обновлений" (в первом задано - Устанавливать все обновления кроме отклонённых, а во втором - Устанавливать все обновления включая отклонённые), то какой результат я получу ? То есть как обрабатываются сценарии, когда в задаче есть несколько конфликтующх правил ? В справке/документации на эту тему ничего нет. Спасибо!!!
Go to the top of the page
 
+Quote Post
Black Dragon
post 24.09.2014 16:03
Post #51


Kaspersky Fan II
*********

Group: Public Testers
Posts: 1961
Joined: 10.01.2007
From: Казахстан




Вопрос
Агент, в политике есть опция: проверять файлы на уязвимость при запуске.
И так же есть задача для агента: поиск уязвимостей.
это одно и тоже по смыслу? только второе, это чтоб искать для софта, который редко запускается, ну или для полной картины на момент запуска?


--------------------
Corporate: KSC 10.3.407/KES 10.2.5.3201 mr3, 8.1.0.1042
Go to the top of the page
 
+Quote Post
xoxmodav
post 26.09.2014 13:33
Post #52


Advanced Member I
***

Group: Members
Posts: 79
Joined: 19.12.2006
From: Степи России




QUOTE(Black Dragon @ 12.10.2013 09:41) *
Пожелания к этому модулю:
1. Иметь исключения (к примеру, некоторые продукты уже идут со встроенными модулями Java, которые уже устарели и т.п.)

Присоединяюсь - добавления возможности исключения отдельных каталогов просто необходима. Столкнулся один раз с тем, что после поиска уязвимостей в одной организации где использовался мессенджер Spark сервер администрирования на все рабочие станции установил Java, хотя мессенджер использует свою, отдельно лежащую в каталоге с программой, версию Java.


--------------------
RadioActive - and therefore harmful, cynical and the extremely dangerous.
Go to the top of the page
 
+Quote Post
A. Kabanov
post 1.10.2014 10:42
Post #53


Senior Testing Engineer
*********

Group: KL Russia
Posts: 1891
Joined: 11.08.2006




QUOTE(xoxmodav @ 26.09.2014 13:33) *
Присоединяюсь - добавления возможности исключения отдельных каталогов просто необходима. Столкнулся один раз с тем, что после поиска уязвимостей в одной организации где использовался мессенджер Spark сервер администрирования на все рабочие станции установил Java, хотя мессенджер использует свою, отдельно лежащую в каталоге с программой, версию Java.

Здравствуйте. Как давно это было? Какие патчи были установлены в тот момент когда была эта проблема? Спасибо!
Go to the top of the page
 
+Quote Post
Lashchenkov
post 1.10.2014 15:45
Post #54


Senior developer
*****

Group: KL Russia
Posts: 660
Joined: 3.05.2005
From: Moscow, Russia




QUOTE(Vasily78 @ 6.08.2014 20:59) *
Сохраняет ли KSC 10 загружаемые обновления локально, дабы повторно их не скачивать из Интернета при повторной установке на клиентах ?

Да.

QUOTE(Vasily78 @ 6.08.2014 20:59) *
- попадут ли они в бэкап для KSC ?

Нет.

QUOTE(Vasily78 @ 6.08.2014 20:59) *
- можно ли переносить локально сохранённые обновления в виде папок/файлов на другой сервер KSC 10 ?

Нет, такой сценарий в настоящее время не поддерживается.

Go to the top of the page
 
+Quote Post
Lashchenkov
post 1.10.2014 15:50
Post #55


Senior developer
*****

Group: KL Russia
Posts: 660
Joined: 3.05.2005
From: Moscow, Russia




QUOTE(Vasily78 @ 7.08.2014 00:05) *
Если я создам два правила одного и того же типа "Правило для всех обновлений" (в первом задано - Устанавливать все обновления кроме отклонённых, а во втором - Устанавливать все обновления включая отклонённые), то какой результат я получу ? То есть как обрабатываются сценарии, когда в задаче есть несколько конфликтующх правил ?

Правила всегда работают следующим образом: обновление попадает под действие задачи, если оно попадает под действие ХОТЯ бЫ ОДНОГО ПРАВИЛА, заданного для данной задачи; при этом обновление попадает под действие правила, если оно удовлетворяет ВСЕМ УСЛОВИЯМ, ЗАДАННЫМ В ЭТОМ ПРАВИЛЕ.
Иными словами, правила складываются по "ИЛИ", а условия в правилах - по "И".
Уточним описание этого момента в документации, если это сейчас приписано недостаточно четко, спасибо!
Go to the top of the page
 
+Quote Post
Lashchenkov
post 1.10.2014 15:57
Post #56


Senior developer
*****

Group: KL Russia
Posts: 660
Joined: 3.05.2005
From: Moscow, Russia




QUOTE(Black Dragon @ 24.09.2014 16:03) *
Агент, в политике есть опция: проверять файлы на уязвимость при запуске.
И так же есть задача для агента: поиск уязвимостей.
это одно и тоже по смыслу? только второе, это чтоб искать для софта, который редко запускается, ну или для полной картины на момент запуска?

Да, по сути это одно и то же, но это просто разные механизмы активации процесса поиска, и разные способы задания области поиска. Механизм поиска уязвимостей на старте процессов позволяет обнаруживать уязвимости в любых процессах (в т.ч., запускаемым из файлов, лежащих вне области поиска по расписанию), позволяет повысить реактивность системы при установке новых версий ПО (не дожидаясь очередного запуска задачи сканирования по расписанию), и пр. С другой стороны, задача поиска по расписанию позволяет обнаружить уязвимости без запуска уязвимых процессов, и т.д.
Go to the top of the page
 
+Quote Post
Lashchenkov
post 1.10.2014 16:09
Post #57


Senior developer
*****

Group: KL Russia
Posts: 660
Joined: 3.05.2005
From: Moscow, Russia




QUOTE(xoxmodav @ 26.09.2014 13:33) *
Присоединяюсь - добавления возможности исключения отдельных каталогов просто необходима. Столкнулся один раз с тем, что после поиска уязвимостей в одной организации где использовался мессенджер Spark сервер администрирования на все рабочие станции установил Java, хотя мессенджер использует свою, отдельно лежащую в каталоге с программой, версию Java.

QUOTE(A. Kabanov @ 1.10.2014 10:42) *
Здравствуйте. Как давно это было? Какие патчи были установлены в тот момент когда была эта проблема? Спасибо!

Да, уточните, пожалуйста, когда именно это было, какие патчи к тому моменту были установлены на сервер KSC и управляемые Агенты - в данном случае к уязвимым файлам Java, найденным в папке установки другого продукта, не должны применяться патчи Java.
Go to the top of the page
 
+Quote Post
xoxmodav
post 3.10.2014 08:29
Post #58


Advanced Member I
***

Group: Members
Posts: 79
Joined: 19.12.2006
From: Степи России




Запрос № INC000001794887.


--------------------
RadioActive - and therefore harmful, cynical and the extremely dangerous.
Go to the top of the page
 
+Quote Post
A. Kabanov
post 3.10.2014 09:56
Post #59


Senior Testing Engineer
*********

Group: KL Russia
Posts: 1891
Joined: 11.08.2006




QUOTE(xoxmodav @ 3.10.2014 08:29) *
Запрос № INC000001794887.

Здравствуйте. В запросе указана версия 10.0.3361, запрос от 2013 года. Актуальная версия на данный момент 10.1.249, механизм был изменён, если вы в этой версии увидите что то подобное, то сразу нам сообщите. Такого быть не должно. Спасибо.
Go to the top of the page
 
+Quote Post
meduzza
post 15.10.2014 18:23
Post #60


Advanced Member I
***

Group: Members
Posts: 94
Joined: 18.05.2010




Здесь прочитал по предложениям по функционалу: у многих уже есть WSUS - не использовать его (бросить после синхронизации) - для многих будет проблематично. Но wsus - без скриптов (которые писать не все умеют) - это закрытие уязвимостей только microsoft. Остальной софт: адобы, джавы, архиваторы, и др. - как бы не совсем с wsus "дружит без танцев с ...".
Вот функционал - использовать сервер администрирования в качестве WSUS-сервера - трудно будет перекладывать рельсы, а вот если использовать сервер администрирования только как, так сказать, только OPUS (other program update service - не microsoft) - думаю многим будет интереснее. Т.е. разделить (добавить) использование функционала сервера администрированя на использование в качестве WSUS, OPUS или WSUS+OPUS. И кого то это привлечет как сохранение дискового пространства (например если уже есть развернут WSUS, зачем забивать второй его копией KSC?).
Т.е. сканируем уязвимости - находим уязвимости всего софта. Windows - уязвимости лечатся автоматичесикм апрувом на WSUS - для адэшных машинок. Если бага -разбираемся с политиками или агентом обновлений и др. И при повторном сканировании они теоретически дожны уменьшаться в количестве красного цвета. OPUS-уязвимости (из списка что пока есть на сегодняшний момент) - можно будет закачать на сервер администрирования и распространить агентами, что при повторном сканированиии должно также улучшить картинку по уязвимостям. Ну соответсвенно необходимо расширять список поддерживаемого на обновление ПО.
Тут интересный вопрос возникает - удаление ставших уже ненужными дистрибутивов - каким образом реализовать или это уже реализовано? Серверы то не резиновые.

Функционал нужный, можно обойтись без дорогущего макспатрола, еще бы nix'овые машинки проверять - уязвимостей там бывает побольше чем на виндовых - опять же зачем там WSUS-роль(?).

Пробовал установку на нескольких машинах - пока на 2-3 обновления встали (ну как-то странно встали - после перезагрузки на них появились предложения сходить в Интернет за обновами - на 1 Интренет зарезан - статистика та же), остальные сказали всё ОК - а после повторного сканирования - все уязвимости повылазили снова. Не знаю из-за чего. Автоматической установкой - Одобрением пока не занимался (всё вручную, чтоб понять как это работает).

Необходимо улучшать и дорабатывать, мое мнение.

Go to the top of the page
 
+Quote Post

4 Pages V  < 1 2 3 4 >
Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 24.04.2017 19:11