altera

C 11.2 на 12.3 не будет задачи конвертации политик. Вы просто поставите плагин, откроете старую политику - уже на этом этапе должны появится все устройства. По крайней мере у меня так, хотя вроде бы до этого тоже политика наследовалась еще с 10 версии и была ранее сконвертирована под 11.

У вас политика получается урезанной на уровне параметров, которые были доступны на версии 11.2. Некоторые функции добавились за это время. Если используете KES12.3 ставьте аналогичный плагин, а то нет вообще гарантии, что все параметры из политики корректно действуют на клиентах.

Итого по результатам тикета признали ошибку в сборке дистриба KSC14.0, прислали отдельно архив с файлами kl_file_integrity_manifest.xml. Стала выполнятся проверка утилитой klscmodchk автоматически и из командной строки integrity_checker. А образ на сайте похоже не меняли, так что кто следующий наступит на эти грабли - пришлют тот же архив через компаниаккаунт.

Доброго дня. Переходим на сертифицированную версию KSC14.0(WinServer 2012r2), но такое ощущение, что что-то пропускаю, потому что не могу проверить целостность уже установленных файлов. Есть физический диск из сертифицированного медиапака, и есть скаченный образ отсюда https://support.kaspersky.ru/common/certificates/11320 Образ диска проходит проверку ЭП утилитой KLSignatureCheck.exe Далее согласно Руководства об эксплуатации https://support.s.kaspersky-labs.com/cert/11320/[69-08%20KSC14][Win]%20Руководство%20по%20эксплуатации.pdf есть раздел Проверка целостности модулей с помощью утилиты klscmodchk (стр. 817, справка под катом) Пробую как в авто режиме, так и в ручном: integrity_checker --verbose --trace intchklog.txt kl_file_integrity_manifest.xml и ловлю ошибку пустой xml-структуры AVP TRACE FILE Tracer version: 30.650.0.90 UTC time: 2023-06-19 12:19:17 Local time: 2023-06-19 16:19:17+04:00 PID: 1512(0x5e8) 12:19:17.249 0x1c8 DBG Application config: { "manifest": "C:\/Program Files (x86)\\Kaspersky Lab\\Kaspersky Security Center\\kl_file_integrity_manifest.xml", "isVerbose": "true", "isNormalizeAction": "false", "isVerifyAction": "true", "isDisplayVersion": "false", "logFile": "intchklog.txt", "logLevel": "800" } 12:19:17.249 0x1c8 DBG Setting environment variable %ManifestPath% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml 12:19:17.249 0x1c8 DBG Environment variable is set: %ManifestPath% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml 12:19:17.249 0x1c8 DBG Setting environment variable %ProductRoot% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center 12:19:17.249 0x1c8 DBG Environment variable is set: %ProductRoot% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center 12:19:17.249 0x1c8 DBG Creating Gost2012 instance ... 12:19:17.249 0x1c8 DBG Gost2012 instance created. 12:19:17.249 0x1c8 DBG Processing Manifest C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml ... 12:19:17.249 0x1c8 DBG Verifying Gost2012 signature of file C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml ... 12:19:17.249 0x1c8 DBG Gost2012 signature of file C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml is OK 12:19:17.249 0x1c8 DBG Finding signature position ... 12:19:17.249 0x1c8 DBG Signature position: 5 12:19:17.249 0x1c8 DBG Signature size: 98 12:19:17.249 0x1c8 ERR Can't process XML content : Error document empty. End of trace file, local time: 2023-06-19 16:19:17 что собственно внутри файла kl_file_integrity_manifest.xml так и есть, там только строка подписи самого файла манифеста: :!28401GWKnFAcdcNE71B4kVI9bQXuFLdQcVh5J81Sj0n1yfR1ZWHOzuCNcJjRmBNqCffEj45SDXS2xtwq/LQpACCXqLq9%% В более старых KSC утилита чуть другая была, содержала команды генерации, нормализации. Может и тут какая-то первоначальная инициализация подсчета контрольных сумм после установки должна была быть? Кто сталкивался или сразу в техподдержку топать? А еще в приложении к формуляру такие абзацы есть, надо ли понимать, что integrity_checker вообще не надо применять для KSC14 Windows? Подсчет контрольных сумм неизменяемых компонент программного изделия, установленного на операционной системе семейства Linux, и веб-плагинов удаленного управления осуществляется утилитой integrity_checker из состава программного изделия по алгоритму вычисления хэш-функции ГОСТ Р 34.11-2012. Контрольные суммы представлены в кодировке Base64. Подсчет контрольных сумм неизменяемых компонент программного изделия, установленного на операционной системе семейства Windows, осуществляется программой ФИКС 2.0.2 по алгоритму вычисления хэш-функции ГОСТ Р 34.11.

А не вводили ПК в домен с помощью winbind? https://wiki.astralinux.ru/kb/oshibka-kaspersky-endpoint-security-posle-vvoda-pk-v-domen-ad-190910033.html

А что известно по планам сертификации ФСТЭК версии KSC 14.2? UPD ответ ТП по тикету: Продукт Kaspersky Security Center 14.2.0.26967 не планируется передавать на сертифицированные испытания. К сертификации будет готовиться новая версия Kaspersky Security Center (версия и даты пока неизвестны)

Была тоже единичная проблема с удалением яндекс-браузера, но была она на KES с необновленными антивирусными базами. Просто обновление баз не помогло, пришлось переустановить кес, сразу обновить базы, только потом пользоваться браузером.

Не знаю, насколько актуально. Но с подобным столкнулись, когда попробовали поставить 11.3 поверх 11.0 (в мануалах сказано, что обновление возможно только с предыдущей версии 11.2), поэтому пришлось удалять 11.0, а потом ставить 11.3. Второй момент - это был комп с Астрой, который вводили в домен демоном winbind, из-за этого возникала трабла с владельцем папок, куда ставился KESL. Пришлось менять способ ввода в домен на sssd

Раньше помогал поиск в ветке реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class параметра UpperFilters и очистка его значения KLFLTDEV - это вернет сетку и порты А после как описал durtuno: запуск утилиты удаления kavremover в безопасном режиме

Может быть следствием того, что KSC11.0.0.1131a отжила свой срок, а 11.0.0.1131b осталось жить месяца три. С каким точно патчем KSC?

вам прямой дорогой в companyaccount и отсылать им логи с проблемных ПК, форум скорее для общения по интересам, увы. Могу полюбопытствовать, с какой версии KES переходите? У себя на 11.10 обнаружила сильные зависания из-за сетевого экрана (много правил), пытаюсь пока собраться статистику, сколько таких ПК.

Здесь статью применительно к консоли KSC посмотрите https://support.kaspersky.com/help/KSC/13.2/ru-RU/56214.htm По идее такая строка должна быть setup.exe /s /v"EULA=1" но не проверяла

Вполне, если используете контроль устройств, то ставится klfltdev.sys, для шифрования klfde.sys. Если смотреть через диспетчер устройств, то встраиваются в сетевые устройства, носители, usb

Посмотреть Типы устройств - Съемные диски - Изменить. Нет ли там настроек прав доступа на чтение и запись?

На KSC добавлен опрос в AD нового домена(Дополнительно - Обнаружение устройств - Active Directory)?

В качестве офтопа жду более менее стабильную версию начиная кажется с KES11.2. Но сначала на какой-то старшей версии вылезала проблема с отсутствием звука, потом проблема с невыключением Win7, теперь ваша с отвалом устройств. Мне за три месяца все равно решение надо принять, но это все будет на фоне вот таких вот сообщений на форуме и отсутствием реальной техподдержки (сегодня по моему другому тикету техподдержка запросила скрины, которые были приложены месяц назад, это дно).

А, и прошу прощения, важный момент, что чем выше правило, тем выше его приоритет. Т.е ваше исключение должно быть выше аналогичного правила запрещающего "Соединения по протоколу TCP через локальные порты"

Сделайте либо скрин пакетных правил, либо на каждое запрещающее временно повесьте "записывать в отчет" - локально на ПК в отчете KES можно проверить, какой порт, какой протокол блочит (ну или событием с KSC). Могу предположить, что еще мешает запрещающее правило "Входящая активность по протоколу ICMP"

KSC - Политика KES - Базовая защита -Сетевой экран. Создайте разрешающее правило, протокол TCP, направление Входящее, локальные порты 139, 445. Локальные адреса - Адреса из списка и указать адрес компа, к которому принтер подключен. Можно также указать удаленные адреса только тех, кому разрешено печатать на этом расшаренном принтере

Угу, видимо у меня так же было, но видимо исключения задавались еще до меня(либо было так давно, что я напрочь этого не помню): KSC - Политика KES - Общие параметры - Исключения: в исключениях из проверки и доверенных программах добавлены cons.exe и cons.adm. В исключениях из проверки файлы *.res из каталога консультанта. Обсуждалось в этой теме, может поможет

В KSC - Политика KES - Общие параметры - Интерфейс - Защита паролем, там сами определяете, что можно всем, а что нет. Админская учетка в вашем понимании это как раз для доступа к настройкам KES? Если так, что это встроенная KLAdmin по тому же пути: KSC - Политика KES - Общие параметры - Интерфейс - Защита паролем Сейчас скорее подтянутся те, у которых есть практический опыт с Консультантом+, но я бы для начала определила, какой компонент KES не дает соединения к консультанту (уж не знаю, там вебинтерфейс или что? или по rdp туда у вас юзеры ходят?): это можно посмотреть по отчетам, либо поочередно выключая компоненты KES через KSC. А как определите, там уже понятно станет куда и какое исключение для Консультанта указать.

Оченно интересно, местами даже понятно, но почему вы решили, что это баг, по мне так стандартная работа политик

Вам бы все равно 10 KSC обновить. А так из мыслей, посмотрите KSC- Свойства - Дополнительно - Папка общего доступа Сервера администрирования - Путь к папке общего доступа. И проверить средствами винды существует ли такой общий ресурс, права на него не менялись ли и путь к папке.

Вспомнилась одна маловероятная для ТС, но глупая причина. У нас как-то место кончилось на сервере с базами mssql) При этом KSC был скорее жив, чем мертв: ведь операции на чтение нормально проходили. А вот попытки изменить задачу или добавить новый ПК с уже установленным агентом оканчивались неудачей.

Нет в локальном интерфейсе KES истории ревизий. У ТС политика перезатерла локальные настройки. И по-моему сейчас это окончательно. Кажется когда-то на какой-то версии достаточно было из трея на значке каспера "Выключить политику" - но сейчас это уже не возвращает локальные настройки, по крайней мере на KES11.2, KES11.10 проверила.