Aigir

При использовании категорий с разными версиями KES могут быть проблемы, в частности из-за того, что в KES 10.2.6 используются хеши типа MD5, а в KES11 хеши типа SHA256. Т.е. категории, созданные для KES10.2.6 просто не подойдут для KES11. Могут быть и другие несовместимости.. например плагины от старых KES могут некорректно работать на новом KSC. Например у меня на консоли KSC 10.4.343 некорректно работает плагин от KES 10.2.1 И вообще при размещении на одном KSC разных версий KES возникает много сложностей и проблем. Например в реестр исполняемых файлов будут валиться в одну кучу как файлы с хешами MD5, так и файлы с хешами SHA256, что существенно усложняет корректное создание категорий. Я так попарился и в итоге решил просто развести разные версии KES по разным KSC (старые KES на старом KSC, новые KES на новом KSC

KSC же нужно извиняюсь, не обратил внимание сертификаты KSC10

сертификаты KES10 сертификаты KES11

Вопрос только в том, не перебъет ли его потом основной автоматически распространяемый ключ.

Добавляем данный ключ в KSC (Дополнительно - Управление программами - Лицензии на ПО ЛК), но не ставим галочку “автоматически распространяемый ключ” Для требуемой группы создаем групповую задачу по добавлению нового ключа. Но нужно проверить, не будет ли конфликта при распространении разных ключей разными способами. Т.е. возможна такая ситуация: сначала KSC установит общий ключ, в котором стоит галочка “автоматическое распространение”, затем групповая задача установит другой ключ, а потом KSC опять может установить общий ключ, и так в цикле.

Обычно хватает первых двух дефолтных правил. У меня не терминальном 2008R2 включены только они и дополнительный установленный софт, этого для интернет-серфинга достаточно. За несколько лет эксплуатации в KSWS всего порядка 10 правил. Ну и какое-то время после запуска задаем режим только статистики, мониторим KSWS на предмет блокировки программ и добавляем необходимые правила, если KSWS блокирует что-то нужное. А ненужного на терминальных серверах в принципе не должно быть.

Конечно KSWS заточен именно под серверные ОС, но к сожалению он не позволяет создавать правила под конкретных пользователей, что применительно к терминальным серверам не совсем удобно. В KES контроль программ и веб-контроль можно заточить индивидуально под каждого терминального пользователя

Данный пост и решения относятся к корпоративному продукту Kaspersky Endpoint Security, а у вас, судя по скриншоту, домашний продукт Kaspersky Internet Security. Поэтому и не помогло. В организациях для доступа в интернет обычно используется именно прокси.

Возможно в политике на Общих параметрах или на Настройке сети замочек был открыт, поэтому данные настройки не применялись на компах.

К сожалению, на сайте Касперского нет онлайн-базы по определению принадлежности веб-ресурсов к какой-либо категории. Но это можно сделать самостоятельно с использованием самого веб-контроля. Создаем тестовое правило по блокировке всех категорий с действием “Предупреждать” и ставим его первым. Только не забудьте его потом отключить, т.к. правило будет действовать на каждый открываемый сайт. Далее заходим на нужный веб-ресурс и на страничке, которая появляется в браузере, видим всю необходимую информацию с указанием конкретной категории, например:

Если обратить внимание на скриншот с самим событием, видно, что блокируется доступ для пользователя Система Предлагаю настроить доступ к CD по учеткам и дать доступ именно системе, например так При этом и доступ остальным пользователям заблокирован, и уведомления не лезут.

как вариант - отключить уведомления, пусть молча блокирует либо отключить CD на компе физически или через виндовую политику

Может в политике на данном пункте замочек не закрыт? И соответственно именно эта настройка не применяется. Проверить можно если отключить на компе политику и зайти локально в эту настройку. Она там будет в том-же виде, как в политике, но только доступная для редактирования.

Раньше был такой косяк - если стоит запрет на CD, то KES постоянно ругался на него, даже если в CD ничего не вставлено. В последних версиях это вроде исправили.

Общие параметры - Исключения - Исключения из проверки и доверенные зоны - Доверенные программы Добавляем нужную программу (браузер) и ставим галочку “Не проверять сетевой трафик”

для данного приложения (браузера) с указанных айпишников трафик не будет контроллироваться если указать “только зашифрованный трафик” - соответственно для указанных айпишников сертификаты подменяться не будут и зашифрованый трафик не будет расшифровываться

можно добавить браузер в доверенные программы с исключением по контролю трафика по заданным ip-адресам или диапазонам

Удалить можно только лицензии, не привязанные ни к одному компу на данном KSC. До тех пор, пока данная лицензия имеется хоть на одном компе на данном KSC, удалить ее не получится. Можно использовать ее одновременно на нескольких серверах, не допуская суммарного превышения (под честное слово).

При использовании переменных определенный нюанс: поскольку служба антивируса работает под системной учеткой, корректно работают только системные (общие) переменные. Пользовательские переменные работать не будут. Например не получится использовать переменную %userprofile%, и пользовательские переменные %tmp% и %temp%, поскольку они всегда будут указывать на папки системной учетки. Вместо %userprofile% можно использовать конструкцию C:\Users\*\….. Вместо %temp% и %tmp% можно использовать конструкцию C:\Users\*\AppData\Local\Temp\* Последняя конструкция будет работать только если значения пользовательких переменных %tmp% и %temp% не менялись.

патч установил. Проблема вроде решилась. По крайней мере Firefox запускается. Спасибо

Еще вчера на всякий случай завел инцидент INC000011048678 В нем пока ничего не ответили. Патч запросил.

У нас была такая-же фигня, хотя мы обновлялись непосредственно через инет с MS. Т.е. какое-то из очередных обновлений баз антивируса MS не устанавливалось на всех компах. Само собой прошло. Т.е. выпущеные позднее обновления установились нормально.

А какие есть патчи для KSWS 10.1.2.996? На сайте я ничего не нашел. Задача обновления модулей запускается ежедневно, но никаких патчей и обновлений не находит. По поводу событий - в Журнале событий безопасности по Exploit Prevention ничего нет.

В дополнение: Попытался найти конкретный компонент защиты от эксплоитов, который создает проблему, поочередно отключая техники защиты - не помогло. Отключил все техники защиты - не помогло. Проблема решается только когда снимаешь галочку с самого процесса. Вопросы следующие: 1.Почему защита от эксплоитов в режиме “Только статистика” оказывает влияние на работу программ? 2.Почему защита от эксплоитов продолжает влиять на работу программ даже когда отключены все техники защиты? 3.Где можно посмотреть статистику или журнал защиты от эксплоитов?

корректировка