[KES 12.3 блочит принтера. Как победить?]

C 11.2 на 12.3 не будет задачи конвертации политик. Вы просто поставите плагин, откроете старую политику - уже на этом этапе должны появится все устройства. По крайней мере у меня так, хотя вроде бы до этого тоже политика наследовалась еще с 10 версии и была ранее сконвертирована под 11.

[KES 12.3 блочит принтера. Как победить?]

У вас политика получается урезанной на уровне параметров, которые были доступны на версии 11.2. Некоторые функции добавились за это время. Если используете KES12.3 ставьте аналогичный плагин, а то нет вообще гарантии, что все параметры из политики корректно действуют на клиентах. 

[Проверка целостности модулей сертифицированного KSC14]

Итого по результатам тикета признали ошибку в сборке дистриба KSC14.0, прислали отдельно архив с файлами kl_file_integrity_manifest.xml. Стала выполнятся проверка  утилитой klscmodchk автоматически и из командной строки integrity_checker. А образ на сайте похоже не меняли, так что кто следующий наступит на эти грабли - пришлют тот же архив через компаниаккаунт.

 

[Проверка целостности модулей сертифицированного KSC14]

Доброго дня. Переходим на сертифицированную версию KSC14.0(WinServer 2012r2), но такое ощущение, что что-то пропускаю, потому что не могу проверить целостность уже установленных файлов.

Есть физический диск из сертифицированного медиапака, и есть скаченный образ отсюда https://support.kaspersky.ru/common/certificates/11320 Образ диска проходит проверку ЭП утилитой KLSignatureCheck.exe

Далее согласно Руководства об эксплуатации https://support.s.kaspersky-labs.com/cert/11320/[69-08%20KSC14][Win]%20Руководство%20по%20эксплуатации.pdf есть раздел Проверка целостности модулей с помощью утилиты klscmodchk (стр. 817, справка под катом) 

Спойлер

Программа Kaspersky Security Center содержит множество различных бинарных модулей в виде динамически подключаемых библиотек, исполняемых файлов, конфигурационных файлов и файлов интерфейса. Злоумышленники могут заменить один или несколько исполняемых модулей или файлов программы другими файлами, содержащими вредоносный код. Чтобы избежать подмены модулей и 818 файлов программы, в программе Kaspersky Security Center предусмотрена проверка целостности компонентов программы с помощью утилиты klscmodchk. Утилита проверяет модули и файлы на наличие неавторизованных изменений или повреждений. Если модуль или файл программы имеет некорректную контрольную сумму, то он считается поврежденным.

Включение проверки целостности модулей

По умолчанию проверка целостности модулей при запуске программы выключена. Для включения проверки используются стандартные ключи реестра операционной системы Windows.

► Чтобы включить проверку целостности модулей при запуске программы, выполните следующие действия:

1. Откройте реестр Windows устройства, на котором установлен Сервер администрирования, и добавьте новый ключ типа DWORD (32-разрядный) с именем KLMODCHK_ENABLE_CHECKING в соответствующую директорию:

• HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\S erverFlags для 32-разрядных систем;

• HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\KasperskyLab\Components\34\10 93\1.0.0.0\ServerFlags для 64-разрядных систем.

2. Используйте утилиту klscflag, чтобы установить ключ. Для этого в командной строке Windows введите следующую команду:

klscflag.exe -fset -pv klserver -n KLMODCHK_ENABLE_CHECKING -t d -v 1

3. Перезагрузите устройство с Сервером администрирования. При следующем запуске программы Kaspersky Security Center одновременно с Сервером администрирования запустится утилита klscmodchk, которая начнет проверку целостности модулей. Результаты всех автоматических проверок целостности (сообщения об успешной или неуспешной проверке, сообщения об ошибках), выполненных при запуске Сервера администрирования, записываются в журнал событий Kaspersky Event Log и доступны для просмотра в любой момент.

Процедура проверки целостности модулей

Проверка целостности модулей программы Kaspersky Security Center выполняется автоматически при каждом запуске программы, если эта опция была включена. Кроме того, проверку можно запустить в любое время вручную.

Утилита klscmodchk проверяет целостность модулей на основе файла манифеста kl_file_integrity_manifest.hml, который входит в состав сборки Kaspersky Security Center и расположен в папке установки программы. Файл манифеста содержит список проверяемых модулей программы, который формируется при ее установке.

Не рекомендуется вносить изменения в файл манифеста kl_file_integrity_manifest.hml, так как это приведёт к изменению цифровой подписи файла и ошибкам в работе утилиты klscmodchk.

Чтобы проверить целостность файлов и модулей программы Kaspersky Security Center путем ручного запуска утилиты klscmodchk, выполните следующую команду в консоли командной строки:

integrity_checker [опции] [аргумент].

Для использования в команде доступны следующие опции:

• --help – выводит в консоль текст справки с описанием опций утилиты klscmodchk;

• --version – выводит в консоль номер версии утилиты klscmodchk;

• --verbose – выполняет расширенный вывод выполняемых действий и результатов (если эта опция не используется в команде, в консоли отображаются только ошибки, объекты, не прошедшие проверку, и суммарная статистика проверки);

• --trace – выполняет назначение файла для записи результатов проверки (если эта опция не используется в команде, результаты выводятся только в консоль), где — полный путь к файлу на диске.

В качестве аргумента командной строки используется значение path_to_manifest, после которого необходимо указать полный путь к файлу манифеста на диске.

Пробую как в авто режиме, так и в ручном:

integrity_checker --verbose --trace intchklog.txt kl_file_integrity_manifest.xml

и ловлю ошибку пустой xml-структуры

 

AVP TRACE FILE     Tracer version: 30.650.0.90  UTC time: 2023-06-19 12:19:17  Local time: 2023-06-19 16:19:17+04:00  PID: 1512(0x5e8)

12:19:17.249 0x1c8 DBG Application config: {
    "manifest": "C:\/Program Files (x86)\\Kaspersky Lab\\Kaspersky Security Center\\kl_file_integrity_manifest.xml",
    "isVerbose": "true",
    "isNormalizeAction": "false",
    "isVerifyAction": "true",
    "isDisplayVersion": "false",
    "logFile": "intchklog.txt",
    "logLevel": "800"
}

12:19:17.249 0x1c8 DBG Setting environment variable %ManifestPath% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml
12:19:17.249 0x1c8 DBG Environment variable is set: %ManifestPath% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml
12:19:17.249 0x1c8 DBG Setting environment variable %ProductRoot% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center
12:19:17.249 0x1c8 DBG Environment variable is set: %ProductRoot% => C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center
12:19:17.249 0x1c8 DBG Creating Gost2012 instance ...
12:19:17.249 0x1c8 DBG Gost2012 instance created.
12:19:17.249 0x1c8 DBG Processing Manifest C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml ...
12:19:17.249 0x1c8 DBG Verifying Gost2012 signature of file C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml ...
12:19:17.249 0x1c8 DBG Gost2012 signature of file C:/Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\kl_file_integrity_manifest.xml is OK
12:19:17.249 0x1c8 DBG Finding signature position ...
12:19:17.249 0x1c8 DBG Signature position: 5
12:19:17.249 0x1c8 DBG Signature size: 98
12:19:17.249 0x1c8 ERR Can't process XML content : Error document empty.
End of trace file, local time: 2023-06-19 16:19:17

 

что собственно внутри файла kl_file_integrity_manifest.xml так и есть, там только строка подписи самого файла манифеста:

:!28401GWKnFAcdcNE71B4kVI9bQXuFLdQcVh5J81Sj0n1yfR1ZWHOzuCNcJjRmBNqCffEj45SDXS2xtwq/LQpACCXqLq9%%

 

В более старых KSC утилита чуть другая была, содержала команды генерации, нормализации. Может и тут какая-то первоначальная инициализация подсчета контрольных сумм после установки должна была быть? Кто сталкивался или сразу в техподдержку топать?

А еще в приложении к формуляру такие абзацы есть, надо ли понимать, что integrity_checker вообще не надо применять для KSC14 Windows?

Подсчет контрольных сумм неизменяемых компонент программного изделия, установленного на операционной системе семейства Linux, и веб-плагинов удаленного управления осуществляется утилитой integrity_checker из состава программного изделия по алгоритму вычисления хэш-функции ГОСТ Р 34.11-2012. Контрольные суммы представлены в кодировке Base64. Подсчет контрольных сумм неизменяемых компонент программного изделия, установленного на операционной системе семейства Windows, осуществляется программой ФИКС 2.0.2 по алгоритму вычисления хэш-функции ГОСТ Р 34.11.

[Установка kesl на astra linux]

А не вводили ПК в домен с помощью winbind?

https://wiki.astralinux.ru/kb/oshibka-kaspersky-endpoint-security-posle-vvoda-pk-v-domen-ad-190910033.html

[Релиз Kaspersky Security Center 14.2 Windows]

А что известно по планам сертификации ФСТЭК версии KSC 14.2? 

UPD ответ ТП по тикету: Продукт Kaspersky Security Center 14.2.0.26967 не планируется передавать на сертифицированные испытания. К сертификации будет готовиться новая версия Kaspersky Security Center (версия и даты пока неизвестны)

[Касперский удаляет Яндекс Браузер]

Была тоже единичная проблема с удалением яндекс-браузера, но была она на KES с необновленными антивирусными базами. Просто обновление баз не помогло, пришлось переустановить кес, сразу обновить базы, только потом пользоваться браузером. 

[Релиз Kaspersky Endpoint Security для Linux 11.3]

В 17.01.2023 в 19:44, Malina сказал:

Здравствуйте столкнулся с проблемой, не знаю как решить.
И не включается постоянная защита 

 

 

Не знаю, насколько актуально. Но с подобным столкнулись, когда попробовали поставить 11.3 поверх 11.0 (в мануалах сказано, что обновление возможно только с предыдущей версии 11.2), поэтому пришлось удалять 11.0, а потом ставить 11.3. Второй момент - это был комп с Астрой, который вводили в домен демоном winbind, из-за этого возникала трабла с владельцем папок, куда ставился KESL. Пришлось менять способ ввода в домен на sssd

[Kes 11.10 отключил все USB устройства]

Раньше помогал поиск в ветке реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class параметра UpperFilters  и очистка его значения KLFLTDEV - это вернет сетку и порты

А после как описал durtuno: запуск утилиты удаления kavremover в безопасном режиме

[Ошибка загрузки обновлений в хранилище сервера администрирования]

Может быть следствием того, что KSC11.0.0.1131a отжила свой срок, а 11.0.0.1131b осталось жить месяца три. С каким точно патчем KSC?

[Релиз Kaspersky Endpoint Security 11.10.0.399]

21 час назад, poelidovolen.ru сказал:

 

вам прямой дорогой в companyaccount  и отсылать им логи с проблемных ПК, форум скорее для общения по интересам, увы.

Могу полюбопытствовать, с какой версии KES переходите? У себя на 11.10 обнаружила сильные зависания из-за сетевого экрана (много правил), пытаюсь пока собраться статистику, сколько таких ПК. 

[KSC Консоль. Не получается произвести удаленную установку.]

Здесь статью применительно к консоли KSC посмотрите https://support.kaspersky.com/help/KSC/13.2/ru-RU/56214.htm

По идее такая строка должна быть setup.exe /s /v"EULA=1"

но не проверяла

[После обновления с KES 11.9 до 11.10 несколько компьютеров превратились в кирпич]

Вполне, если используете контроль устройств, то ставится klfltdev.sys, для шифрования klfde.sys. Если смотреть через диспетчер устройств, то встраиваются в сетевые устройства, носители, usb

[KES блокирует доступ к разрешенной флешке]

Посмотреть Типы устройств - Съемные диски - Изменить. Нет ли там настроек прав доступа на чтение и запись? 

[KSC 13.1 на два домена]

На KSC добавлен опрос в AD нового домена(Дополнительно - Обнаружение устройств - Active Directory)?

[После обновления с KES 11.9 до 11.10 несколько компьютеров превратились в кирпич]

В качестве офтопа жду более менее стабильную версию начиная кажется с KES11.2. Но сначала на какой-то старшей версии вылезала проблема с отсутствием звука, потом проблема с невыключением Win7, теперь ваша с отвалом устройств. Мне за три месяца все равно решение надо принять, но это все будет на фоне вот таких вот сообщений на форуме и отсутствием реальной техподдержки (сегодня по моему другому тикету техподдержка запросила скрины, которые были приложены месяц назад, это дно). 

[Доступ к расшаренному принтеру в локальной сети]

А, и прошу прощения, важный момент, что чем выше правило, тем выше его приоритет. Т.е ваше исключение должно быть выше аналогичного правила запрещающего "Соединения по протоколу TCP через локальные порты"

[Доступ к расшаренному принтеру в локальной сети]

Сделайте либо скрин пакетных правил, либо на каждое запрещающее временно повесьте "записывать в отчет" - локально на ПК в отчете KES можно проверить, какой порт, какой протокол блочит (ну или событием с KSC). Могу предположить, что еще мешает запрещающее правило "Входящая активность по протоколу ICMP"

[Доступ к расшаренному принтеру в локальной сети]

 KSC - Политика KES - Базовая защита -Сетевой экран. Создайте разрешающее правило, протокол TCP, направление Входящее, локальные порты 139, 445. Локальные адреса - Адреса из списка и указать адрес компа, к которому принтер подключен. Можно также указать удаленные адреса только тех, кому разрешено печатать на этом расшаренном принтере 

[Тонкая настройка агентов на доменных ПК]

22 минуты назад, EvaVerner сказал:

просто подключена прога, которой прописывается сервер. подключение через прогу.
 

Угу, видимо у меня так же было, но видимо исключения задавались еще до меня(либо было так давно, что я напрочь этого не помню):  KSC - Политика KES - Общие параметры - Исключения: в исключениях из проверки и доверенных программах добавлены cons.exe  и cons.adm. В исключениях из проверки файлы *.res из каталога консультанта. 

Обсуждалось в этой теме, может поможет

 

[Тонкая настройка агентов на доменных ПК]

5 минут назад, EvaVerner сказал:

и настройки изменить нельзя, но можно посмотреть что накручено, значит политикой раскидано. в идеале запретить бы возможность выключения антивиря, а то как-то открыто всё.

В KSC - Политика KES - Общие параметры - Интерфейс - Защита паролем, там сами определяете, что можно всем, а что нет. 

Админская учетка в вашем понимании это как раз для доступа к настройкам KES? Если так, что это встроенная KLAdmin по тому же пути: KSC - Политика KES - Общие параметры - Интерфейс - Защита паролем

Сейчас скорее подтянутся те, у которых есть практический опыт с Консультантом+, но я бы для начала определила, какой компонент KES  не дает соединения к консультанту (уж не знаю, там вебинтерфейс или что? или по rdp туда у вас юзеры ходят?): это можно посмотреть по отчетам, либо поочередно выключая компоненты KES через KSC. А как определите, там уже понятно станет куда и какое исключение для Консультанта указать. 

[Не срабатывает политика на Сетевой экран]

Оченно интересно, местами даже понятно, но почему вы решили, что это баг, по мне так стандартная работа политик

[Произошла ошибка 1181/0x3/ Системе не удалось найти указанный путь при доступе к объекту файловой системы. Кто-то сталкивался с подобной проблемой ? (Возможно повреждение папки Packages)]

Вам бы все равно 10 KSC обновить. А так из мыслей, посмотрите KSC- Свойства - Дополнительно - Папка общего доступа Сервера администрирования - Путь к папке общего доступа. И проверить средствами винды существует ли такой общий ресурс, права на него не менялись ли и путь к папке. 

[добавить в управляемые устройства компьютеры не в домене]

Вспомнилась одна маловероятная для ТС, но глупая причина. У нас как-то место кончилось на сервере с базами mssql) При этом KSC был скорее жив, чем мертв: ведь операции на чтение нормально проходили. А вот попытки изменить задачу или добавить новый ПК с уже установленным агентом оканчивались неудачей. 

[Прописанные usb флешки]

1 час назад, mike 1 сказал:

Здравствуйте, история ревизий, откат к прошлой ревизии. 

Нет в локальном интерфейсе KES истории ревизий. У ТС политика перезатерла локальные настройки. И по-моему сейчас это окончательно. Кажется когда-то на какой-то версии достаточно было из трея на значке каспера "Выключить политику" - но сейчас это уже не возвращает локальные настройки, по крайней мере на KES11.2, KES11.10 проверила.