AlenD

Concerning my last message, yesterday KES blocked a generic network attack over port 80 on the hardware server, so it seems it works indeed. Probably KES IPS is less effective against specialized web-services attacks, than Symantec EP, and simply does not detect them. So it works, it blocks attacks going to VMs on the Hyper-V host level. I am still interested to hear from Kaspersky if that is an official behavior or just an undocumented feature?

Yesterday I installed KES v11.0 on another server, which had Sophos. Removed Sophos and installed KES for Windows. Inside VMs on that server we have Symantec Endpoint Security installed. On one of the VMs, which is a publicly available web-server , SEP was detecting network attacks, so I thought if I install KES on the host machine, then it will block the attacks on the host level, like it does on other Hyper-V servers. But unfortunately when attacks repeated, KES did not detect anything!? Why? Is it somehow dependent on AV installed inside VMs?

Well, KES was already paid for, besides we are pretty satisfied with its work, so have no desire to switch to anything else. Why? Can you answer the questions? P.S. Found Kaspersky Security for Virtualization datasheet and some other docs, reading, will consider for future deployments.

Hello, We noticed KES for Windows v 11.0 installed on W2k12 R2 servers with Hyper-V roles installed detects and blocks attacks to virtual web-servers running on those Hyper-V machines. No traffic is allowed from outside to the host machines, only web-traffic is allowed to virtual web-servers. Network Threat Protection on the host machines shows attacks detected and blocked at host level destined to ports TCP 80 and 443. On the web-servers level nothing is detected, like attacks does not reach them, they are stopped on the host. Again, on the boarder firewall TCP 80 and 443 are allowed only for virtual web-servers, but not underlying hardware machines, but attacks to those ports are detected and blocked on the Hyper-V servers. (No externally initiated traffic is allowed for hardware servers at all) Is this an expected and officially supported behavior? Is it documented anywhere? P.S. This is very useful, but we are not sure it's not something undocumented, which will disappear one day. Thank you.

Спасибо за инфо. Но всё же спрашивал я не планируют ли вернуть сканер уязвимостей в клиентскую часть, как это было в версии 10. Не везде стоит KCS, а отчеты бывают нужны безопасникам или определенным клиентам (я смотрю за несколькими площадками). А поддержка тут отвечает вообще?

Всё ещё ожидаю ответа от представителей Kaspersky.

1) Нет, KSC нет. 2) А где же он находится? Как его запустить?

Доброго дня! Имеется несколько серверов с W2k12 R2 с ролью Hyper-V и виртуалки на базе W2k8 R2, W2k12 R2. На всех серверах стоит KES v11 со всеми рекомендуемыми MS исключениями (вы молодцы, практически всё уже есть при установке). Вопрос в следующем, заметил, что на хост машинах компонента Network Threat Protection блокирует эксплойты уязвимостей, которые идут по портам, по которым хост-машины извне недоступны (они вообще извне недоступны). Скажем, виртуалки - веб-серверы и KES на хостах блокирует атаки по TCP 80 и 443. На самих веб-серверах KES ничего не ловит. Единственное логичное объяснение: KES драйвер внедрён так глубоко, что он проверяет весь трафик, прилетающий на хост машину, включая трафик виртуалок. Так ли это? P.S. Ещё пара мелких вопросов: 1) Пару недель назад скачал последний доступный KES v11 (keswin_11.1.0.15919_en_aes256.exe) и при установке на W2k12 R2 он не спросил активировать ли рекомендуемые исключения!? Пришлось экспортировать-импортировать с другой машины. Это недочёт установщика, и он будет устранён, или теперь придётся исключения каждый раз импортировать\настраивать вручную? Надеюсь, просто недочёт, и вы и дальше будете предлагать активировать рекомендуемые вами и MS исключения. Ведь их сотни. Кстати, тот же установщик не создал расписание для автозапуска Critical Area scan и Full Scan, также пришлось делать вручную. Что-то явно не так с установщиком. 2) В версии KES 10 был очень удобный сканер уязвимостей, не планируете ли вы его вернуть в клиентскую часть в будущем? Спасибо.