aehrlich

@Carlos O 71 Tässä et saa suomenkielistä apua. Käytä englantia ja foorumin pesää "Kaspersky Anti-Ransomware Tool for Business" (https://community.kaspersky.com/kaspersky-anti-ransomware-tool-for-business-74).

The only part of Kaspersky WS that I had to turn off on developers’ machines was Encrypted Connection Scanning. Turning it off… well… remarkably decreases your level of protection in the web surfing world, but does solve the typical developer’s certificate troubles, so you do not need to turn Kaspersky off fully. And to get web protection back you can surf in a virtual machine (reverting it every now and then) and installing AV into it, too :) Some additional exclusions to the scan scope based on your development environment setup are often favorable for performance but are not mandatory.

Злые вы, не любите меня. Уйду я от вас! (с)

Ведь при первом запуске задачи установки пишется что-то вроде “Archiving and preparing the distribution package for sending to devices...”

Пакеты удаленной установки складываются в подкаталоги executable_package(...) каталога (по умолчанию) "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Share\Packages" Вот лежит у меня в каталоге пакет установки-обновления чего-нибудь (FireFox, допустим). И задача есть установки этого пакета. Бывает, хочется чуток поправить содержимое пакета установки (скрипт подправить, executable_package.kpd поправить, просто версию файла внутри поменять, мало ли), не заливая пакет заново (и, соответственно, не создавая задачи установки заново и не настраивая потом долго эти задачи). НО. “Нельзя просто взять и поправить содержимое каталога executable_package()” © -- к клиенту приходит “старое, непоправленное” содержимое. Что-то где-то кешируется на KSC. Вопрос: что нужно сделать, чтобы этот кеш установочного пакета почистить?

Ну сколько можно! Поменялась сетевая карта или обновился BIOS или еще чего -- агент изобрАзил новый компьютер типа “~~79748”. Ну сделайте же, многоуважаемые разработчики, галку в настройках агента “я, агент, тут не самый умный, я не буду сам, без команды, автоматически перегенерировать Device ID”!!! Агент 12.2.0.4376 (openssl)

А управляющий плагин MMC обновили?

If you are not going to deal with the root of the problem, you can probably mask the alert by creating a “block” rule in “Security Controls | Web Control” for this URL.

Кому интересно, “тестовый инстал-набор” прилагаю (основной исполняемый файл upgrade_product.cmd).

Продолжение. На целевом компьютере удается перехватить временно существующее содержимое "C:\Windows\Temp\KAV Remote Installations". Внутри: В klrbtagt.ini установки отличаются, что, уже чисто на вид, говорит, что никто про перезагрузку спрашивать не собирается (и, видимо, что “0” прописан в [SetupProcessResult_NeedReboot] никого не интересует): RebootImmediately=0 AskReboot=0 AskRebootPeriod=1 ForceReboot=0 ForceRebootTime=0 ForceAppsClosed=0В klsc_proc_rslt.dat (который должен бы содержать результат работы исполняемого файла) пишется всегда result=0 независимо от того, что возвращает “исполняемый” cmd (код возврата cmd записывается в локальный файл для отладки; видно, что он “ожидаемый”, а не “всегда 0”). Похоже, что реально работающий Setup.exe, запускаемый батником e8e-длиннаяжуть-375c.bat как call "C:\WINDOWS\TEMP\KAV Remote Installations\dd7-длиннаяжуть-efb\setup.exe" /s /z"/p\"TASK_ID=dd...5e\"" set cmd_proc_rslt=%errorLevel% echo [cmd_proc_rslt] > "C:\WINDOWS\TEMP\KAV Remote Installations\dd7-длиннаяжуть-efb\klsc_proc_rslt.dat"тупо не подхватывает или не передает дальше exit code “исполняемого” cmd. В файле executable_package.kpd указано (upgrade_product.cmd -- основной мой файл установки) [Setup] Executable=exec\upgrade_product.cmd Params=

Вкратце -- не работает. Совсем. В деталях. KSC 12.2, агент 12.2.0.4376 (12_2), W10 Pro x64 20H2. Запускается cmd-файл, в задаче установки выбираю интересующий cmd, указываю галку “загрузить все содержимое каталога”. Правлю executable_package.kpd (в основном каталоге и в подкаталоге exec), добавляя такое: [SetupProcessResult_SuccessCodes] 0=Installation completed successfully 1=The required version already installed [SetupProcessResult_ErrorCodes] 2=Newer version already installed 3=Laptop model mismatch (product not found) 4=Installation core process returned error 5=Installation encountered an error [SetupProcessResult_NeedReboot] 0= Запускаемый cmd может возвращать 0, 1, 2, что угодно, но в KSC результаты отображаются всегда одинаково: Remote installation has completed successfully on this device. В политике агента настройки Prompt for user action, repeat the prompt every 3 min Force restart after 10 min Waiting time before forcing close apps 1 min что отражается на на сервере в инсталляционном пакете в файле klrbtagt.ini как RebootImmediately=0 AskReboot=1 AskRebootPeriod=5 ForceReboot=0 ForceRebootTime=0 ForceAppsClosed=0(уже неправильно, на мой взгляд, отражается -- Force, по крайней мере). Когда задача запускается на целевом компьютере, многое меняется… продолжение -- в следующем посте.

Спасибо! Т.е. в случае установки некасперских приложений и не-MSI надо править executable_package.kpd “наощупь”… Ну что, будем пробовать.

В KSC можно создать задачу Manage devices | restart со всякими плюшками -- настойчиво оповещать пользователя, позволять ему отложить перезагрузку. Судя по https://support.kaspersky.com/10555#block3 используется KLRBTAGT.EXE. Кто-нибудь знает, как его использовать (задать параметры) “вручную, сам по себе” (на клиентах этот экзешник все равно ж присутствует, от агента)? Задача -- перезагружать машины, например, после успешной установки чего-либо в скрипте, т.е. самостоятельная задача KSC “перезагрузка” как таковая не подходит. shutdown.exe, psshutdown.exe с пользователем не общаются так, как умеет касперский агент.

Субъективно 11.6 заметно сильнее нагружает процессор, чем 11.4 на той же (мигрированной с 11.4 на 11.6) задаче (быстрая проверка после обновления). У кого-нибудь есть похожие ощущения?

Kaspersky firewall logic has always been not too easy to understand. Overall, you are right -- the order of the rules matters, they are applied top-down. But there are different kinds of rules that “interfere”, for example, “trusted network” rules, and making networks trusted (or untrusted) could be magic, even in KSC-backed setups (not to talk about standalone KES). So please do review both. Some mysterious issues have also occurred historically with the Kaspersky firewall (like some kind of traffic just stopped after either Kaspersky or Microsoft or both updates, or like non-manageable time-to-live of tcp sessions in the internal sessions table resulting into Oracle connections being dropped, for example).

С какой радости в англоязычной версии KES 11.6 в отчетах формат даты M/d/yyyy и времени в 12-часовой системе, безапелляционно так, безотносительно региональных настроек рабочей станции (и KSC тоже)? В трее всплывающая подсказка с датой-временем обновления баз показывается в правильном, соответствующем региональным настройкам рабочей станции, формате.

Update to Kaspersky Endpoint Security 11.6 for Windows (upgrade) is stuck in the “Not assigned for installation” in spite of the Approved state and accepted license. I have “Select” license that does not allow patch management, but so far this restriction was only applied to 3rd party software and never blocked Kaspersky’s own updates. KSC 12.2.0.4376. P.S. Sorry, it just took tiiiiiiiime for the update task to run, only after that “Not assigned for installation” counter decreased by the number of “has run on” machines. Any other counters (Installation in progress on, Installed on, Restart is required on) did not change from zero (although the affected workstation shows prompt for restart). There is something very wrong about displaying those counters in KSC.

> How do you find F-Secure as compared to Kaspersky? Are you receiving any slow down complaints from end users now? No -- in a drastic contrast to Kaspersky on Mac. Heavy user complaints about Kaspersky were the driver to investigate the F-Secure solution. > How Does the price compare? Somewhat more expensive but not dramatically. It’s actually hard to compare them 1:1 as F-Secure offers in-the-cloud something like “Kaspersky Endpoint Clould Plus + some parts of KATAP/KEDR“ for the “available baseline”. On-prem solution of F-Secure costs about the same but provides only KSC-equivalent functionality without “rapid...”, although on-prem solutions do have their advantages, too (ability to run meaningful sql queries, for example). > Is it console managed, similar to KSC? Yes it has web-console in the cloud and probably the same/similar on-prem. One of the big benefits of F-Secure’s solution is that it can be installed on-prem onto Linux, too (KSC can be installed only on Windows).

Нет, про старый добрый KSC12, пардон, забыл, что 13 уже вышел. “Последний из 12”.

Установил и запустил последнюю версию WebConsole на машину с KSC. nsqd сожрал всю память. Не то чтоб постоянно, но пару раз было. Бойтесь! Microsoft-Windows-Resource-Exhaustion-Detector Windows successfully diagnosed a low virtual memory condition. The following programs consumed the most virtual memory: nsqd.exe (1816) consumed 30548430848 bytes, sqlservr.exe (2004) consumed 1760485376 bytes, and svchost.exe (856) consumed 260513792 bytes.

Having used Kaspersky corporate products for ca 10 years, made a decision to switch my Macs to F-Secure, in spite of 2-year Kaspersky license renewal purchased a couple of months ago. Windows workstations will keep Kaspersky, though.

Looks like KES for Mac is a hyper-popular product ;-/ Investigating F-Secure alternative.

I’ve seen no (more) problems since switching to dev tun windows-driver wintunIt means, of course, that you do use TUN and not TAP (I made this shift in my network). WinTun driver is available starting from OpenVPN 2.5.0 AFAIK. Interestingly, some Windows clients are still on old 2.4 and TAP and have no problems.

Yes we do have a similar problem with Macs.

https://www.kaspersky.com/small-to-medium-business-security/downloads/endpoint