Jump to content
Kaspersky Support Forum

Antipova Anna

Kaspersky Employee
 View Profile  See their activity

  • Posts

    352

  • Joined

  • Last visited

 Content Type 

Everything posted by Antipova Anna

  1. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. Description VMWare guest using Kaspersky products hanging or crashing due to driver conflicts between drivers used by VMWare NSX (vnetWFP.sys, previously vnetflt.sys) and Network Threat Protection component. This problem is known to happen with following versions of KES and VMware Tools: KES 11.6 with VMWare Tools 10.0.9 KES 11.6 and 11.7 with VMWare Tools 11.3.5 KES 12 with VMWare Tools 10.1.7 Troubleshooting steps Update VMWare Tools Sometimes there may be a bug in the driver built into VMWare Tools, and ESXi updates its images only through manually installed patches, and it compares installed version only to the version in it's storage, so even if ESXi says that the VM has current version of VMWare Tools, it may actually be outdated. Because of that, a new VM may run with outdated drivers. ESXi and VMWare Tools compatibility matrix: https://interopmatrix.vmware.com/Interoperability?col=1,&row=39,&isHidePatch=true&isHideGenSupported=false&isHideTechSupported=false&isHideCompatible=false&isHideNTCompatible=false&isHideIncompatible=false&isHideNotSupported=true&isCollection=false Latest supported VMWare Tools version for ESXi 6.5 and 6.7: https://packages.vmware.com/tools/releases/12.1.5/windows/ VMWare Tools for ESXi 7.0 and newer: https://packages.vmware.com/tools/releases/latest/windows/ If that did not help, uninstall NSX Network Introspection drivers of VMWare Tools: https://kb.vmware.com/s/article/2149764 This is the driver that is causing the conflict on VMWare's side, therefore removing it will resolve the conflict and should resolve the issue. Next solution is temporary and should not be used in production for extended periods of time. Disable Network Threat Protection in KES settings or in the policy, if it's controlled by KSC. Network Threat Protection is using klwfp.sys driver, and that driver is causing the conflict with vnetWFP.sys. With that component turned off, the driver loads on startup, but doesn't do anything, avoiding conflict with vnetWFP in most cases. Open KES Window -> Settings -> Network Threat Protection -> switch Network Threat Protection off Open KES policy properties -> Essential Threat Protection -> Network Threat Protection -> Uncheck Network Threat Protection checkbox If nothing helps, submit the case to the Kaspersky support with traces, GSI report including Windows event logs and a full memory dump. Related Information How to collect KES traces: https://support.kaspersky.com/kes11/diagnostics/14364 How to collect a full memory dump: https://support.kaspersky.com/common/diagnostics/10659 Link to GSI: https://media.kaspersky.com/utilities/ConsumerUtilities/GSI-6.2.2.43.exe
  2. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. This article describes what is considered a Full Scan, which affects the KSC status "Virus Scan has not been performed for a long time". Scan task area settings There are two ways to set areas for a Scan task. Tasks started with any other settings (including Quick Scan and Critical Area Scan with default settings) will not be considered as a Full Scan. Primary Kernel Memory Running processes and Startup Objects Disk boot sectors Local disk (logical disk where OS is installed) Alternative Kernel Memory Running processes and Startup Objects Disk boot sectors %systemroot%\ %systemroot%\System\ %systemroot%\System32\ %systemroot%\System32\drivers\ %systemroot%\SysWOW64\ %systemroot%\SysWOW64\drivers\ Path is Case-Sensitive in order to support upcoming Windows features.
  3. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. If you want to store FDE encryption keys in Active Directory, this is possible if BitLocker encryption is used. In order to transfer and store the recovery passwords (keys) in Active Directory, it is necessary to: 1. Enable the “Choose how BitLocker-protected operating system drives can be recovered” group policy https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#bkmk-rec1 for target computers and configure saving BitLocker recovery information to Active Directory Domain Services there. Here is the target policy in the gpedit.msc snap-in on the computer where encryption is planned to be enabled: 2. Install ‘BitLocker Recovery Password Viewer’ feature on the computer with the AD DS Domain Service running: This functionality does not apply to Kaspersky products by design, but in theory it can be used in parallel with MS BitLocker Drive Encryption technology deployed by means of KES BitLocker management (i.e. through Kaspersky product). In this case, after encryption starts the recovery data will be transferred and stored both in AD and on the KSC server. We highly do not recommend applying any settings via the BitLocker (GPO) policies (the recommended configuration is "Not configured" for all policies located in the [Computer configuration / Administrative Templates / Windows Components / BitLocker Drive Encryption] node and below), because they can prevent from deploying bitlocker related settings through Kaspersky product policy. It will lead to an error in applying BitLocker Drive Encryption ‘Encrypt all hard drives’ policy and the inability to encrypt the disk as a result.
  4. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. Step-by-step guide Open Outlook. Go to File → Options → Add-ins. Check add-in options for the KES plugin. Make sure that scan on receive and scan on send are enabled. If problem persists, enable KES tracing. Restart Outlook. Send e-mail with infected .doc file. Send another e-mail with EICAR. Stop traces and send them to the Kaspersky support for further analysis.
  5. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. Download KES distributive Unpack to the folder Copy patch .msp file (i.e. pf1794.msp) to the same folder In KSC create Installation package using the files from this folder Install
  6. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. This behavior is expected. We have no control over a system booting in Safe mode, because Safe mode is a special boot mode for OS diagnostics and repair. It is not possible to enable KES booting when Safe mode is running. However, booting in Safe mode can be disabled using GPOs or the local registry. It can be done by a local administrator. One of the ways to disable Safe Mode is described here.
  7. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. The Application Control component has a category called Browser extensions. There is a known limitation for it in Chrome. If an extension runs in an already running Chrome process (many of them run as newly started Chrome processes, especially for extension reasons), it cannot be blocked because it is not a newly started process and the extension itself is not an executable. It requires an .exe file to load. An extension that is already running cannot be blocked by application control (it has already been allowed to load into memory, so there is no way to restrict it from that point on).
  8. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. Description Sometimes due to different issues, the installation of Kaspersky Endpoint Security is corrupted. You can experience the Security Software is not running, Protection is stopped errors, and etc. The normal troubleshooting process is as follows: Use the Start/Stop application task to run KES. Reboot the affected computer. Install the latest KES Private Fix (hereinafter PF) and reboot the PC. Reinstall and reboot KES. Unfortunately, the steps above do not always help. In this case, you can use the KES Fix Package. This script is designed to remove the previous installation of KES versions, clean the registry, perform several restarts, and finally install KES. WARNING: KES will be installed in the default configuration, please work with SETUP.ini if you need to change components or installation settings. https://support.kaspersky.com/KESWin/12.1/en-US/127982.htm Step-by-step guide Prepare the files Download the archive and extract its files into a separate folder. Check if KES and PF from the archive are of the latest version. There is a TXT file named Params.txt. Edit and set the correct username and password for KES removal (if password protection is required). You can add a few variations, one per each line. The first line in the Params.txt must be EMPTY for the purpose of removal without login/pass. Add a license key to the package optionally inside the unpacked file. (For more information, check README.TXT inside the archive). Create a KSC package Navigate to Advance → Remote installation → Installation packages. Select Create installation package. 2. In the New package wizard, specify fix_clean.cmd as executable and select the Copy entire folder to the installation package check box in the same window. Create a task Create a task for the desired machine. Run the task (the task will complete with the error of an unexpected reboot). The host should be rebooted once. After the reboot, a new version should be installed automatically. Notes The device will restart 3 times. The package execution could take up to 10–15 min, depending on the OS config and reboot speed. Do not disturb the target host until this operation completes (the host may reboot automatically up to 3 times). Finally, KES + the latest patch should be installed.
  9. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. Issue Sometimes Device Control errors in KES may occur. For example, hard drives are wrongly blocked when USB device blocking is enabled, or flash drive blocking is not happening although the policies require to do so. In some cases, the reason for erroneous blocking is that the operating system (OS) is incorrectly identifying the device type. Solution As an example, if the policies prohibit access to flash drives, but this rule does not always work, you can check the following: Go to Device manager and check the Removal policy parameter. The parameter value must be 2 or 3 if the OS has correctly detected the flash drive. If the parameter value is any other value other than 2 or 3, then the OS considers the attached device to be non-removable. Based on this data, KES decides to allow access to the device and not block it, and then informs the user. Below we have added all the possible values and their descriptions which the Removal policy parameter can have: Removal policy 00000001 - ExpectNoRemoval (cannot be extracted at all) Removal policy 00000002 - ExpectOrderlyRemoval Removal policy 00000003 – ExpectSurpriseRemoval Conclusion If the flash drive is not blocked by KES and the removal policy parameter has a value other than 2 or 3, it means that the OS has detected the drive incorrectly. Thus, this is not a bug in the Kaspersky app.
  10. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. To check Block action: Specify Block actions for all rules in the group Activity of script engines and frameworks. Extract files from the archive and start the scripts. All scripts should be blocked, popup about it should be shown. There will be new records about blockings in the local report, events and AAC report in KSC console. To check Smart action: Host where KES is installed is under the policy applied. Specify Smart mode for all rules in the group Activity of script engines and frameworks. Extract files from the archive and start any script. Open KSC → Advanced → Repositories → Triggering of rules in Smart Training State. Check that new record is shown there. There will be no info about this detection in local report, KSC reports or in the events. After two weeks, if there are no new detections for this rule, the rule will automatically change to Smart Blocking mode. If this rule is detected again, the learning period will be extended.
  11. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. Problem Description While installing KES for Windows via KSC installation package the following error appears and interferes with installation. Possible causes: KES components installed already before installation. Required driver files were not found. Workaround & Solution Use kavremover and reinstall KES with the latest patch. In case kavremover will not help, please collect procmon and KES installation logs, actual GSI with event logs and submit the case to the Kaspersky support.
  12. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. KATA 3.7.2 Вы можете принудительно запустить проверку Sandbox. Пошаговая инструкция Подключитесь к серверу Sandbox по ssh. Чтобы запустить checker, сначала нужно удалить файлы в /var/tmp/sbtest: rm /var/tmp/sbtest Запустите checker: /bin/su -c 'exec /opt/kaspersky/sandbox/libexec/utilities/checker.py -l /var/log/kaspersky/sandbox/checker/checker.log' -s /bin/sh kluser Затем на Центральном узле запустите скрипт update_sandbox_status.py: sudo -u kluser flock -w 1 /tmp/health_status_sandbox.lock python -B /opt/kaspersky/apt-base/libexec/health_status/update_sandbox_status.py Для KATA 4+ / 5+ На Центральном узле с правами root выполните: docker exec $(docker ps -q --filter name=kata_scanner) supervisorctl start update_sandbox_status После выполнения команды через 10-15 минут файл из папки /var/tmp/sbtest можно отправить в Службу клиентской поддержки Лаборатории Касперского (если требуется).
  13. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. Если вы пишете собственные правила YARA на Центральном узле, то вам могут понадобиться доступные модули YARA и версия. Версия 3.7-3.11 в КАТА 3.7.x Версия 4.10 в КАТА 4.1 и КАТА 5.0 Список модулей: tests pe elf math time pe_utils magic hash dotnet dex Более подробную информацию о модулях можно найти в документации YARA.
  14. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. Предупреждения об уязвимости CVE-2016-2183 можно получить при сканировании Центрального узла v4.0 со следующими небезопасными наборами шифров: TLS 1.2: * TLS_RSA_WITH_3DES_EDE_CBC_SHA Здесь приведены более подробные сведения о CVE-2016-2183. Решение проблемы 1) docker load < /path/to/container/nginx_gateway-4.0-pf1 2) Измените версию контейнера /etc/opt/kaspersky/apt-swarm/image_versions.json "nginx_gateway": "registry.kata.avp.ru:5000/kaspersky/kata/web/nginx_gateway:aa48c91", 3) Загрузите новый контейнер: docker service update kataedr_main_1_nginx_gateway --image "registry.kata.avp.ru:5000/kaspersky/kata/web/nginx_gateway:aa48c91"
  15. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. Как отслеживать состояние KATA, например, использование процессора, жесткого диска, памяти, состояние служб и т.д.? Локальный мониторинг работы продукта и состояния компонентов можно осуществлять на панели управления KATA. Показатели процессора, памяти и т.п. можно посмотреть с помощью встроенных средств Linux. Доступны следующие варианты удаленного мониторинга: Использование SNMP Интеграция с SIEM Отправка уведомлений о состоянии системы. Для компонента Sandbox доступна только опция SSL-зондирования: echo "Q" | openssl s_client -connect sandbox:443
  16. Antipova Anna
    Материалы, представленные в разделе Форума "Советы и решения" (База знаний Форума), являются результатом работы сотрудников Службы поддержки клиентов Лаборатории Касперского и участников сообщества Форума. Они размещены здесь для удобства использования, развертывания и настройки продуктов Касперского. Пожалуйста, помните, что использование команд или рекомендаций из статей без четкого понимания их назначения может привести к ошибкам или сбоям в работе системы. Обращаем ваше внимание на то, что некоторые из представленных материалов не являются официальными, поэтому в ряде случаев техническая поддержка может отказать в поддержке конкретной неподдерживаемой конфигурации. Также просим обязательно использовать официальную документацию, представленную по этой ссылке.
  17. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. Динамические хосты требуют больше ресурсов KSC. При подключении нового хоста к KSC (динамический хост считается новым) создаются иконка и новая запись в базе данных, выполняется полная синхронизация с агентом, хост перемещается в группу. При удалении хоста удаляется и вся информация о нем. Эти операции тратят много ресурсов KSC, в то время как для статических хостов их необходимо выполнять только один раз. Рекомендуемый размер - не более 20 000 хостов VDI. При промышленном использовании для каждой иконки создаются следующие списки: - оборудование; - установленное ПО; - обнаруженные уязвимости; - события и списки исполняемых файлов компонента "Контроль программ". Размер этих списков напрямую влияет на производительность KSC, а также на производительность SQL-сервера, причем нагрузка может расти нелинейно. Если при использовании решения с учетом настроек политик, среды и свойств VDI наблюдается умеренное потребление ресурсов при выполнении стандартных операций, то количество управляемых VDI-хостов может быть увеличено до предела ресурсов, доступных в текущей конфигурации. Умеренным считается потребление 80% памяти и 75-80% доступных ядер.
  18. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. Проблема Реестр программ в KSC содержит информацию о программах, которые были удалены. Решение Переустановка Агента Администрирования на рабочей станции должна решить проблему. Причиной такого поведения могут быть приложения для отдельных пользователей. Вы можете изменить продолжительность хранения Агентом Администрирования информации о приложениях на управляемой рабочей станции: Добавьте ключ реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1103\1.0.0.0\NagentFlags] "KLINV_INV_PERUSER_APPS_CACHE_NONACTIVE_SIDS_LIFETIME_SEC"=dword:3600 Это позволит агенту сохранять информацию о пользовательских приложениях до одного часа. Перезапустите Агент Администрирования. После выполнения этих действий информация в реестре программ будет удалена примерно за 2-3 часа.
  19. Antipova Anna
    Материалы, представленные в разделе Форума "Советы и решения" (База знаний Форума), являются результатом работы сотрудников Службы поддержки клиентов Лаборатории Касперского и участников сообщества Форума. Они размещены здесь для удобства использования, развертывания и настройки продуктов Касперского. Пожалуйста, помните, что использование команд или рекомендаций из статей без четкого понимания их назначения может привести к ошибкам или сбоям в работе системы. Обращаем ваше внимание на то, что некоторые из представленных материалов не являются официальными, поэтому в ряде случаев техническая поддержка может отказать в поддержке конкретной неподдерживаемой конфигурации. Также просим обязательно использовать официальную документацию, представленную по этой ссылке.
  20. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. Данная проблема наблюдалась в KES 11.5, но может относиться и к другим версиям. Проблема Иногда иконка KES в трее ведет себя странно: появляется дважды или не появляется совсем. Решение Сбросьте иконки в трее: Откройте regedit; Перейдите в HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify; В правой панели создайте резервную копию и удалите значение реестра IconStreams; Создайте резервную копию и удалите значение реестра PastIconsStream; Закройте редактор реестра; В главном меню диспетчера задач выберите Файл -> Новая задача (или Запустить новую задачу) и введите explorer.exe, после чего нажмите Ок. Это позволит устранить проблемы с иконками в области уведомлений. Приведенные выше значения реестра представляют собой кэш иконок, и если он поврежден, это может препятствовать отображению иконок в области уведомлений.
  21. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. Если вы хотите отказаться от автоматического удаления некоторых программ, но не хотите полностью отключать проверку на наличие несовместимого ПО, вы можете отредактировать файл cleaner.cab. Пошаговая инструкция Скачайте полный дистрибутив KES Запустите его и убедитесь, что все файлы были распакованы Перейдите в папку, в которой лежит программа установки Распакуйте файл cleaner.cab в отдельную папку Найдите *.ini, который вы хотите пропустить, и удалите его Запакуйте все оставшиеся файлы в файл cleaner.cab Найдите файл cleanapi.ini Удалите все строки, относящиеся к продуктам, которые вы удалили на шаге 6. Теперь вы можете использовать этот файл вместо стандартного, положив его в папку с setup.exe или *.kud\*.kpd перед созданием пакета для KSC. Упаковка файлов обратно в файл *.cab может вызвать сложности, если у вас нет специального ПО. Ниже приведены два сценария: один для командной строки, другой для powershell. Командная строка Запустите скрипт командной строки из папки с файлами *.ini. @echo off dir /s /b /a-d >files.txt makecab /d "CabinetName1=cleaner.cab" /d "MaxDiskSize=0" /f files.txt del /q /f files.txt, setup.inf, setup.rpt Powershell Синтаксис скрипта Powershell: compress-directory "ПУТЬ_К_INI" function compress-directory([string]$dir) { $ddf = ".OPTION EXPLICIT .Set CabinetNameTemplate=cleaner.cab .Set DiskDirectory1=. .Set CompressionType=MSZIP .Set Cabinet=on .Set Compress=on .Set CabinetFileCountThreshold=0 .Set FolderFileCountThreshold=0 .Set FolderSizeThreshold=0 .Set MaxCabinetSize=0 .Set MaxDiskFileCount=0 .Set MaxDiskSize=0 " $dirfullname = (get-item $dir).fullname $ddfpath = ($env:TEMP+"\temp.ddf") $ddf += (ls -recurse $dir | ? {!$_.psiscontainer}|select -expand fullname|%{'"'+$_+'" "'+$_.SubString($dirfullname.length+1)+'"'}) -join "`r`n" $ddf $ddf | Out-File -encoding UTF8 $ddfpath makecab /F $ddfpath rm $ddfpath rm setup.inf rm setup.rpt }
  22. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. Для удаления KES с помощью msiexec (msiexec.exe /x {PRODUCT_CODE}) необходим код продукта: Продукт KES Код FS6 {1B419CE6-A1AA-4207-8581-A414BE9C7B85} WKS6 {8F023021-A7EB-45D3-9269-D65264C81729} KES8 {D72DD679-A3EC-4FCF-AFAF-12E2552450B6} KES10CF1 x64 {04CF7FBD-E56C-446D-8FC9-DD444BDBEE8E} KES10CF1 x86 {9813DD3F-A28E-4B98-ACDE-12A3AB1C42E4} KES10SP1 {7A4192A1-84C4-4E90-A31B-B4847CA8E23A} KES10SP2 {7911E943-32CC-45D0-A29C-56E6EF762275} KES11 {E7012AFE-DB97-4B8B-9513-E98C0C3AACE3} KES11.1 {60BB97EB-61BD-4FF3-8506-F155850CC6B5} KES11.1.1 {D1AB12B0-B9B5-43A0-98E1-584D790524FE} KES 11.2 {9A017278-F7F4-4DF9-A482-0B97B70DD7ED} KES 11.3 {192DE1DE-0D74-4077-BC2E-A5547927A052} KES 11.4 {AF1904E7-A94C-4F4C-B3B7-EC54D7429DA2} KES 11.5 {7B437856-99E3-4F01-B31C-B5A26465C633} KES 11.6 {7EC66A9F-0A49-4DC0-A9E8-460333EA8013} KES 11.7 {F4ECE08F-50E9-44E2-A2F3-2F3C8DDF8E16} KES 11.8 {1F39E63E-3F9C-4E21-928B-136C6362E88B} KES 11.9 {6BB76C8F-365E-4345-83ED-6D7AD612AF76} KES 11.10 {305A9EC9-294E-4555-A7C5-E1C767E01C11} KES 11.11 {BF39B547-8E24-4E11-8179-183B2F7C83EB} KES 12.0 {E70CCFE8-163C-4E2B-BC36-61B747DAD590} KES 12.1 {D8E156BC-0E64-47F7-8E4F-0DCD80F2A6D3} KES 12.2 {B524FBEF-035B-455E-AA3A-2ABA729C62F8}
  23. Antipova Anna
    Материалы, представленные в разделе Форума "Советы и решения" (База знаний Форума), являются результатом работы сотрудников Службы поддержки клиентов Лаборатории Касперского и участников сообщества Форума. Они размещены здесь для удобства использования, развертывания и настройки продуктов Касперского. Пожалуйста, помните, что использование команд или рекомендаций из статей без четкого понимания их назначения может привести к ошибкам или сбоям в работе системы. Обращаем ваше внимание на то, что некоторые из представленных материалов не являются официальными, поэтому в ряде случаев техническая поддержка может отказать в поддержке конкретной неподдерживаемой конфигурации. Также просим обязательно использовать официальную документацию, представленную по этой ссылке.
  24. Antipova Anna
    Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума. Сценарий В Контроле устройств включено блокирование флэш-накопителей. Флэш-накопитель подключен к хосту. В результате KES показывает всплывающее окно о том, что USB-накопитель заблокирован компонентом Контроль устройств, однако пользователь может открыть флэш-накопитель и прочитать/изменить его содержимое. Основная причина проблемы На хосте установлена программа SecretDisk5. Решение У производителя (Alladin) есть решение этой проблемы.
  25. Antipova Anna
    Advice and Solutions (Forum Knowledgebase) Disclaimer. Read before using materials. You may wonder which product detection should create incident card, and which should not. Here's the answer. Product Component KES WebAV, MailAV, OAS/ODS, SystemWatcher, HIPS KSWS OAS, ODS, TrafficSecurity KSV LA WebAV, MailAV, OAS/ODS, SystemWatcher, HIPS
×
×
  • Create New...