Berckut
Members-
Posts
19 -
Joined
-
Last visited
Reputation
5 NeutralRecent Profile Visitors
The recent visitors block is disabled and is not being shown to other users.
-
У меня аналогичная проблема с версией 11.3.0-7508 (пакет kesl-11.3.0-7508.cert.x86_64.rpm) на Oracle Linux 8. В логе после запуска скрипта настройки (после установки) или запуска руками через "systemctl start kesl": 2023-12-29 04:34:48 launcher {pid:1243}: Product not running (Can't open "/var/run/wdserver.pid" file. Reason: No such file or directory) Поставить более новую версию не могу, т.к. нужен именно сертифицированный KESL, а более свежих сертифицированных версий нет. Есть подозрение, что это связано с особенностями обработки символических ссылок в некоторых дистрибутивах. Если раньше сервисы работали с ссылкой "/var/run/" на папку "/run/" без проблем (а "/var/run/" это именно ссылка, а не каталог), то сейчас некоторые сервисы как раз выдают ошибку "Can’t open PID file /var/run/*.pid". Думаю, копать надо в эту сторону. Я пытался поправить файл "/opt/kaspersky/kesl/shared/kesl.service": PIDFile=/var/run/wdserver.pid заменить на PIDFile=/run/wdserver.pid Но это не помогло. Судя по логу pid-файл всё равно пытается открываться по адресу "/var/run/wdserver.pid". Либо правлю не там, либо где-то глубоко зашито.
-
Точки распространения могут быть внутри одной сети. Чтобы снизить количество соединений на KSC. И в этом случае случае всё будет отлично работать. Но вот в описанном мной случае у меня задача установки обновления нечего не смогла сделать. Хотя если создать пакет установки и задачу на установку этого ПО, то всё работает. Также без проблем проходят обновления продуктов Касперского. Но это работает, потому что идёт не в рамках такой задачи, а через обновление баз/модулей программы.
-
Есть 2 сегмента сети. В первом находится KSC, во втором управляемый компьютер. Между сегментами нет маршрутизации трафика и они не могут взаимодействовать напрямую. Имеется ещё один компьютер с двумя сетевыми картами, который подключены к обоим сегментам сети и выступает в роли шлюза соединений. Он назначен точкой распространения для второго сегмента. На всех компьютерах установлен агент KSC. При установке агента на управляемый компьютер в настройках было указано использовать шлюз соединений. Управляемый компьютер заведён на KSC, управляется. Политики и задачи получает с KSC. Обновления для KES для него также приходят. А что будет с задачей "Установка обновлений и закрытие уязвимостей". KSC сможет на управляемый компьютер через точку распространения прокинуть обновления (прикладное ПО, обновления Windows) или установка ПО возможна только через отдельные задачи по установке конкретного ПО?
-
Угроза klBackupDepository.dat
Berckut replied to Alloha's topic in Kaspersky Endpoint Security для бизнеса
Загрузиться с live-cd. -
Угроза klBackupDepository.dat
Berckut replied to Alloha's topic in Kaspersky Endpoint Security для бизнеса
Получит такой же алерт. Размер файла тоже около 100М. Событие: "Обнаружен вредоносный объект". Результат: Обнаружено: HEUR:Trojan.Win32.Generic Пользователь: NT AUTHORITY\система (Системный пользователь) Объект: C:\System Volume Information\klBackupDepository.dat Причина: Экспертный анализ Выгрузил этот файл и посмотрел содержимое. Внутри что-то типа кэша или бэкапа firefox. Закладки, журнал посещений, нечто, похожее на скаченные файлы и т.д. Если этот файл действительно генерирует Каспер, то возникают вопросы. Куда эти данные Каспер хотел слить? Я конечно подозреваю, что в кэш могла попасть завирусованная страница, а KES таким образом сформировал резервную копию удалённого файла кэша, но почему тогда нельзя было сразу сказать, что в файлы с подобными именами кладётся бэкап и возможно это он. Так что хотелось бы всё таки услышать, может ли KES создавать файлы с таким именем или нет. Если не может, то явно кто-то под KES косит и это надо искать. -
Релиз Kaspersky Endpoint Security 11.7.0.669
Berckut replied to Demiad's topic in Kaspersky Endpoint Security для бизнеса
Он унифицирован: и в старом и новом есть кнопочки. И в старом и в новом есть текст. И в старом и в новом есть картинки/пиктограммы. Рано или поздно все равно приходится менять интерфейс, а набор компонентов у разных продуктов разный. Подгонять всех под единый интерфейс - значит сделать всем неудобно. Универсальность - это компромисс, а не наилучшее решение. Или вы имеете ввиду чтобы интерфейс у антивирусов Касперского и, например, у Аваст был одинаковый, только лого отличалось? Я про местоположение этих кнопок, а не их наличие в целом. Плюсану. Зачастили с обновлением интерфейсов. Если раньше в разных продуктах и версиях примерно понимал где что искать, то теперь каждый раз заново всё меню перебираешь. Но я бы сказал, что проблема больше в другом. Раньше меню было сделано для удобства админов (компактным и информативным), а теперь для красоты. Как будто раньше его инженеры для себя разрабатывали, а теперь этим маркетологи занимаются. Большие кнопки с большими буквами и медленным откликом. Смотрится красиво, а администрируется не удобно. С каждой новой версией настраивать всё менее удобно. Если тенденция сохранится, то скоро каждый элемент настройки будет на отдельный экран помещаться, а чтобы следующую галку поставить придётся целую страницу проскроллить. -
Коллеги, может кто-то поделиться образцом заполнения формуляра к сертифицированной версии? Как оформить при скачивании (печатать или нет), контроле целостности (заносить в таблицу всё приложение к формуляру? для каждой установки?), какие делать записи при установке ПО, обновлении? Печать формуляр под каждую установку или один на всех и каким образов записывать в него 100500 установок? И т.д.
-
Релиз Kaspersky Security Center 13.1
Berckut replied to Demiad's topic in Kaspersky Endpoint Security для бизнеса
Да, у меня тоже исправилась адресация. -
Релиз Kaspersky Security Center 13.1
Berckut replied to Demiad's topic in Kaspersky Endpoint Security для бизнеса
Нет, на доменном DNS всё норм. Это поведение повторяется даже на недоменной машине. -
Релиз Kaspersky Security Center 13.1
Berckut replied to Demiad's topic in Kaspersky Endpoint Security для бизнеса
В прошлом сообщении фигню написал. В общем, проблема с новым KSC 13.1 в следующем заключается. Если на компьютере в корпоративной сети есть компы, которые имеют более одного IP-адреса в разных подсетях или на них стоит гипервизор, который создаёт свою виртуальную подсеть, то в базе KSC компьютер может зарегистрироваться не с реальным адресом из корпоративной сети, а с другим (недоступным). Например, берём комп, который имеет адрес корпоративной сети 10.2.0.10, а сервер KSC имеет адрес 10.2.0.1. На нём стоит VirtualBox, который создал внутреннюю подсеть 192.168.56.0/24 и присвоил этому компу второй адрес 192.168.56.1. После установки агента KSC, тот направляет данные серверу, но сервер регистрирует этот комп в своей базе с адресом 192.168.56.1, а не 10.2.0.10. В результате, агент периодически опрашивает сервер по адресу 10.2.0.1 и в это время забирает политики и задачи. Но KSC, при обращении к компьютеру, пытается стучаться на адрес 192.168.56.1, который зарегистрирован в его базе и который конечно для него не доступен. Та же самая ситуация, если виртуалок на компе нет, но есть вторая сетевая карта, которая смотрит в другой сегмент, недоступный для KSC. Агент может передать на сервер адрес компа из второй подсети, KSC зарегистрирует комп в своей базе под этим IP и тоже не сможет к нему обращаться. Как это победить не знаю, решение пока не нашёл. -
Релиз Kaspersky Security Center 13.1
Berckut replied to Demiad's topic in Kaspersky Endpoint Security для бизнеса
В общем, проблема не в агенте или KSC. Это проявляется только на на машинах с KES 11.6, а на KES 11.6 всё в порядке и с распространением политик, и с управлением групповыми задачами. -
Релиз Kaspersky Security Center 13.1
Berckut replied to Demiad's topic in Kaspersky Endpoint Security для бизнеса
Добавил правило, которое разрешает входящие соединения от любого компьютера на порт UPD 15000 и включил логирование. Хотел увидеть попытки подключения от KSC, но результате увидел кучу широковещательных запросов от других компов на этот. Зачем агент или KES рассылает такие пакеты? В параметрах политики агента администрирования отключен опрос сети для точек распространения и точки распространения не используются (в параметрах KSC стоит назначение точек распространения в ручном режиме и никто не добавлен). Программа: Kaspersky Endpoint Security Имя программы: avp.exe Направление протокола: Входящее Протокол: UDP Статус: Разрешено Удаленный адрес: 172.16.6.125 Удаленный порт: 61261 Локальный адрес: 255.255.255.255 Локальный порт: 15000 Зона: Все сети -
Релиз Kaspersky Security Center 13.1
Berckut replied to Demiad's topic in Kaspersky Endpoint Security для бизнеса
Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты Хммм… Иконки запуска/остановки задач в свойствах компа в консоли администрирования вообще не активны. Даже при отключенном МЭ. -
Релиз Kaspersky Security Center 13.1
Berckut replied to Demiad's topic in Kaspersky Endpoint Security для бизнеса
Перешёл на KSC 13.1 с 12.2. Переустановил агентов. Такое ощущение, что сервер сам больше не может достучаться до агентов. Любые изменения политик или запуск групповых задач на сервере по долгу висят в статусе “Ожидает выполнения”. Судя по всему ждут, когда агент сам соединится с сервером и увидит, что ему надо что-то сделать. Раньше политики сразу начинали применяться и групповые задачи выполняться. В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?