Jump to content

Berckut

Members
  • Posts

    22
  • Joined

  • Last visited

Everything posted by Berckut

  1. Не совсем хранилище сообщений. У нас есть требование - хранить электронные сообщения с архивным доступом на срок не менее 6 мес. и оперативным доступом на срок не менее 1 мес. В случае применения KSMG мы можем решить это тремя способами: 1. Ставим KSMG между внешним релеем (например, postfix) и внутренним Microsoft Exchange, а архив писем ведём на релее. Но тогда частично теряется функционал KSMG. Например, в качестве отправителя писем он будет видеть не реальный адрес почтового сервера отправителя, а адрес релея. 2. KSMG оставляем на границе с сетью Интернет, а копии писем отправляем на отдельный сервер после проверки их KSMG. Но тогда у нас не будет исходников писем (будут внесены изменения в заголовки), а это иногда важно. Например, при расследовании инцидентов, или когда надо вытащить именно исходник письма, если само письмо зашифровано или подписано электронной подписью и после внесения изменений в заголовки подпись слетает. 3. Отправляя с KSGM куда-то теневые копии. Но тут, во-первых, пока не понятно, будут ли внесены изменения в сообщения (заголовки). Во-вторых, весь архив всех пользователей будет свален в одну кучу - разбирать это всё будет не простым занятием в случае необходимости.
  2. Можно ли сделать так, чтобы в KSMG для просмотра был доступен архив всех сообщений, прошедших через сервер, а не только тех, которым сработало какое-либо правило обнаружения угрозы. При настройке правил обработки сообщений электронной почты в параметрах есть параметр "Поместить исходное сообщение в Хранилище". Но его настройка доступна только для ситуаций, когда прошла сработка по какому-то критерию.
  3. В инструкциях на сайте ТП написано, как подключить KSMG к KSC при первичной настройке после установки. А возможно ли это сделать уже после настройки KSMG, когда он уже какое-то время поработал? Или только заново с нуля всё устанавливать?
  4. У меня аналогичная проблема с версией 11.3.0-7508 (пакет kesl-11.3.0-7508.cert.x86_64.rpm) на Oracle Linux 8. В логе после запуска скрипта настройки (после установки) или запуска руками через "systemctl start kesl": 2023-12-29 04:34:48 launcher {pid:1243}: Product not running (Can't open "/var/run/wdserver.pid" file. Reason: No such file or directory) Поставить более новую версию не могу, т.к. нужен именно сертифицированный KESL, а более свежих сертифицированных версий нет. Есть подозрение, что это связано с особенностями обработки символических ссылок в некоторых дистрибутивах. Если раньше сервисы работали с ссылкой "/var/run/" на папку "/run/" без проблем (а "/var/run/" это именно ссылка, а не каталог), то сейчас некоторые сервисы как раз выдают ошибку "Can’t open PID file /var/run/*.pid". Думаю, копать надо в эту сторону. Я пытался поправить файл "/opt/kaspersky/kesl/shared/kesl.service": PIDFile=/var/run/wdserver.pid заменить на PIDFile=/run/wdserver.pid Но это не помогло. Судя по логу pid-файл всё равно пытается открываться по адресу "/var/run/wdserver.pid". Либо правлю не там, либо где-то глубоко зашито.
  5. Точки распространения могут быть внутри одной сети. Чтобы снизить количество соединений на KSC. И в этом случае случае всё будет отлично работать. Но вот в описанном мной случае у меня задача установки обновления нечего не смогла сделать. Хотя если создать пакет установки и задачу на установку этого ПО, то всё работает. Также без проблем проходят обновления продуктов Касперского. Но это работает, потому что идёт не в рамках такой задачи, а через обновление баз/модулей программы.
  6. Не всегда это возможно. Например, в случае с DMZ. Ну или просто из-за того, что сегментов может быть много и надо обеспечить их изоляцию (условно) друг от друга. Серверов не напасёшься.
  7. Есть 2 сегмента сети. В первом находится KSC, во втором управляемый компьютер. Между сегментами нет маршрутизации трафика и они не могут взаимодействовать напрямую. Имеется ещё один компьютер с двумя сетевыми картами, который подключены к обоим сегментам сети и выступает в роли шлюза соединений. Он назначен точкой распространения для второго сегмента. На всех компьютерах установлен агент KSC. При установке агента на управляемый компьютер в настройках было указано использовать шлюз соединений. Управляемый компьютер заведён на KSC, управляется. Политики и задачи получает с KSC. Обновления для KES для него также приходят. А что будет с задачей "Установка обновлений и закрытие уязвимостей". KSC сможет на управляемый компьютер через точку распространения прокинуть обновления (прикладное ПО, обновления Windows) или установка ПО возможна только через отдельные задачи по установке конкретного ПО?
  8. Получит такой же алерт. Размер файла тоже около 100М. Событие: "Обнаружен вредоносный объект". Результат: Обнаружено: HEUR:Trojan.Win32.Generic Пользователь: NT AUTHORITY\система (Системный пользователь) Объект: C:\System Volume Information\klBackupDepository.dat Причина: Экспертный анализ Выгрузил этот файл и посмотрел содержимое. Внутри что-то типа кэша или бэкапа firefox. Закладки, журнал посещений, нечто, похожее на скаченные файлы и т.д. Если этот файл действительно генерирует Каспер, то возникают вопросы. Куда эти данные Каспер хотел слить? Я конечно подозреваю, что в кэш могла попасть завирусованная страница, а KES таким образом сформировал резервную копию удалённого файла кэша, но почему тогда нельзя было сразу сказать, что в файлы с подобными именами кладётся бэкап и возможно это он. Так что хотелось бы всё таки услышать, может ли KES создавать файлы с таким именем или нет. Если не может, то явно кто-то под KES косит и это надо искать.
  9. Он унифицирован: и в старом и новом есть кнопочки. И в старом и в новом есть текст. И в старом и в новом есть картинки/пиктограммы. Рано или поздно все равно приходится менять интерфейс, а набор компонентов у разных продуктов разный. Подгонять всех под единый интерфейс - значит сделать всем неудобно. Универсальность - это компромисс, а не наилучшее решение. Или вы имеете ввиду чтобы интерфейс у антивирусов Касперского и, например, у Аваст был одинаковый, только лого отличалось? Я про местоположение этих кнопок, а не их наличие в целом. Плюсану. Зачастили с обновлением интерфейсов. Если раньше в разных продуктах и версиях примерно понимал где что искать, то теперь каждый раз заново всё меню перебираешь. Но я бы сказал, что проблема больше в другом. Раньше меню было сделано для удобства админов (компактным и информативным), а теперь для красоты. Как будто раньше его инженеры для себя разрабатывали, а теперь этим маркетологи занимаются. Большие кнопки с большими буквами и медленным откликом. Смотрится красиво, а администрируется не удобно. С каждой новой версией настраивать всё менее удобно. Если тенденция сохранится, то скоро каждый элемент настройки будет на отдельный экран помещаться, а чтобы следующую галку поставить придётся целую страницу проскроллить.
  10. Коллеги, может кто-то поделиться образцом заполнения формуляра к сертифицированной версии? Как оформить при скачивании (печатать или нет), контроле целостности (заносить в таблицу всё приложение к формуляру? для каждой установки?), какие делать записи при установке ПО, обновлении? Печать формуляр под каждую установку или один на всех и каким образов записывать в него 100500 установок? И т.д.
  11. Да, у меня тоже исправилась адресация.
  12. Нет, на доменном DNS всё норм. Это поведение повторяется даже на недоменной машине.
  13. В прошлом сообщении фигню написал. В общем, проблема с новым KSC 13.1 в следующем заключается. Если на компьютере в корпоративной сети есть компы, которые имеют более одного IP-адреса в разных подсетях или на них стоит гипервизор, который создаёт свою виртуальную подсеть, то в базе KSC компьютер может зарегистрироваться не с реальным адресом из корпоративной сети, а с другим (недоступным). Например, берём комп, который имеет адрес корпоративной сети 10.2.0.10, а сервер KSC имеет адрес 10.2.0.1. На нём стоит VirtualBox, который создал внутреннюю подсеть 192.168.56.0/24 и присвоил этому компу второй адрес 192.168.56.1. После установки агента KSC, тот направляет данные серверу, но сервер регистрирует этот комп в своей базе с адресом 192.168.56.1, а не 10.2.0.10. В результате, агент периодически опрашивает сервер по адресу 10.2.0.1 и в это время забирает политики и задачи. Но KSC, при обращении к компьютеру, пытается стучаться на адрес 192.168.56.1, который зарегистрирован в его базе и который конечно для него не доступен. Та же самая ситуация, если виртуалок на компе нет, но есть вторая сетевая карта, которая смотрит в другой сегмент, недоступный для KSC. Агент может передать на сервер адрес компа из второй подсети, KSC зарегистрирует комп в своей базе под этим IP и тоже не сможет к нему обращаться. Как это победить не знаю, решение пока не нашёл.
  14. В общем, проблема не в агенте или KSC. Это проявляется только на на машинах с KES 11.6, а на KES 11.6 всё в порядке и с распространением политик, и с управлением групповыми задачами.
  15. Добавил правило, которое разрешает входящие соединения от любого компьютера на порт UPD 15000 и включил логирование. Хотел увидеть попытки подключения от KSC, но результате увидел кучу широковещательных запросов от других компов на этот. Зачем агент или KES рассылает такие пакеты? В параметрах политики агента администрирования отключен опрос сети для точек распространения и точки распространения не используются (в параметрах KSC стоит назначение точек распространения в ручном режиме и никто не добавлен). Программа: Kaspersky Endpoint Security Имя программы: avp.exe Направление протокола: Входящее Протокол: UDP Статус: Разрешено Удаленный адрес: 172.16.6.125 Удаленный порт: 61261 Локальный адрес: 255.255.255.255 Локальный порт: 15000 Зона: Все сети
  16. Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты Хммм… Иконки запуска/остановки задач в свойствах компа в консоли администрирования вообще не активны. Даже при отключенном МЭ.
  17. Перешёл на KSC 13.1 с 12.2. Переустановил агентов. Такое ощущение, что сервер сам больше не может достучаться до агентов. Любые изменения политик или запуск групповых задач на сервере по долгу висят в статусе “Ожидает выполнения”. Судя по всему ждут, когда агент сам соединится с сервером и увидит, что ему надо что-то сделать. Раньше политики сразу начинали применяться и групповые задачи выполняться. В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?
  18. Как-то странно оно перестало обновляться. Если собрать все сообщения на форму, то получится, что у кого-то обновляется, у кого-то не обновляется. В первом сообщении написано, что базы застряли на дате 12 июля. У меня половина компов продолжает обновляться (в отчёте меняется не только дата, но и количество сигнатур), а другие застыли на дате 13.07.2020. Пытался понять, чем отличаются, но не получилось.
  19. Извиняюсь. Вот это совпадение. Старый сервер глюканул именно в том момент, когда пересустановил консоль. Перезагрузка старого сервера решила все проблемы. Повезло же, блин.
  20. Я не использую web console. Я говорил вот об этом компоненте. А там просто добавляешь сервер заново и заново выбираешь, получить сертификат с сервера или подгрузить его из файла.
  21. Пока сижу на KSC10, но решил поднять второй сервер с KSC11, чтобы посмотреть, стоит ли переходить на более свежее ПО. После установки самого сервера, также установил новую консоль администрирования. Консоль администрирования для KSC10 автоматически удалилась (даже нечего не спросив). Из новой консоли к старому серверу KSC10 подключиться нельзя - ошибка. У меня что-то пошло не так или это дейвительно не возможно? И с одного рабочего места нельзя одновременно управлять разными (старым и новым) серверами??
×
×
  • Create New...