Berckut

Загрузиться с live-cd.

Получит такой же алерт. Размер файла тоже около 100М. Событие: "Обнаружен вредоносный объект". Результат: Обнаружено: HEUR:Trojan.Win32.Generic Пользователь: NT AUTHORITY\система (Системный пользователь) Объект: C:\System Volume Information\klBackupDepository.dat Причина: Экспертный анализ Выгрузил этот файл и посмотрел содержимое. Внутри что-то типа кэша или бэкапа firefox. Закладки, журнал посещений, нечто, похожее на скаченные файлы и т.д. Если этот файл действительно генерирует Каспер, то возникают вопросы. Куда эти данные Каспер хотел слить? Я конечно подозреваю, что в кэш могла попасть завирусованная страница, а KES таким образом сформировал резервную копию удалённого файла кэша, но почему тогда нельзя было сразу сказать, что в файлы с подобными именами кладётся бэкап и возможно это он. Так что хотелось бы всё таки услышать, может ли KES создавать файлы с таким именем или нет. Если не может, то явно кто-то под KES косит и это надо искать.

Он унифицирован: и в старом и новом есть кнопочки. И в старом и в новом есть текст. И в старом и в новом есть картинки/пиктограммы. Рано или поздно все равно приходится менять интерфейс, а набор компонентов у разных продуктов разный. Подгонять всех под единый интерфейс - значит сделать всем неудобно. Универсальность - это компромисс, а не наилучшее решение. Или вы имеете ввиду чтобы интерфейс у антивирусов Касперского и, например, у Аваст был одинаковый, только лого отличалось? Я про местоположение этих кнопок, а не их наличие в целом. Плюсану. Зачастили с обновлением интерфейсов. Если раньше в разных продуктах и версиях примерно понимал где что искать, то теперь каждый раз заново всё меню перебираешь. Но я бы сказал, что проблема больше в другом. Раньше меню было сделано для удобства админов (компактным и информативным), а теперь для красоты. Как будто раньше его инженеры для себя разрабатывали, а теперь этим маркетологи занимаются. Большие кнопки с большими буквами и медленным откликом. Смотрится красиво, а администрируется не удобно. С каждой новой версией настраивать всё менее удобно. Если тенденция сохранится, то скоро каждый элемент настройки будет на отдельный экран помещаться, а чтобы следующую галку поставить придётся целую страницу проскроллить.

Коллеги, может кто-то поделиться образцом заполнения формуляра к сертифицированной версии? Как оформить при скачивании (печатать или нет), контроле целостности (заносить в таблицу всё приложение к формуляру? для каждой установки?), какие делать записи при установке ПО, обновлении? Печать формуляр под каждую установку или один на всех и каким образов записывать в него 100500 установок? И т.д.

Да, у меня тоже исправилась адресация.

Нет, на доменном DNS всё норм. Это поведение повторяется даже на недоменной машине.

В прошлом сообщении фигню написал. В общем, проблема с новым KSC 13.1 в следующем заключается. Если на компьютере в корпоративной сети есть компы, которые имеют более одного IP-адреса в разных подсетях или на них стоит гипервизор, который создаёт свою виртуальную подсеть, то в базе KSC компьютер может зарегистрироваться не с реальным адресом из корпоративной сети, а с другим (недоступным). Например, берём комп, который имеет адрес корпоративной сети 10.2.0.10, а сервер KSC имеет адрес 10.2.0.1. На нём стоит VirtualBox, который создал внутреннюю подсеть 192.168.56.0/24 и присвоил этому компу второй адрес 192.168.56.1. После установки агента KSC, тот направляет данные серверу, но сервер регистрирует этот комп в своей базе с адресом 192.168.56.1, а не 10.2.0.10. В результате, агент периодически опрашивает сервер по адресу 10.2.0.1 и в это время забирает политики и задачи. Но KSC, при обращении к компьютеру, пытается стучаться на адрес 192.168.56.1, который зарегистрирован в его базе и который конечно для него не доступен. Та же самая ситуация, если виртуалок на компе нет, но есть вторая сетевая карта, которая смотрит в другой сегмент, недоступный для KSC. Агент может передать на сервер адрес компа из второй подсети, KSC зарегистрирует комп в своей базе под этим IP и тоже не сможет к нему обращаться. Как это победить не знаю, решение пока не нашёл.

В общем, проблема не в агенте или KSC. Это проявляется только на на машинах с KES 11.6, а на KES 11.6 всё в порядке и с распространением политик, и с управлением групповыми задачами.

Добавил правило, которое разрешает входящие соединения от любого компьютера на порт UPD 15000 и включил логирование. Хотел увидеть попытки подключения от KSC, но результате увидел кучу широковещательных запросов от других компов на этот. Зачем агент или KES рассылает такие пакеты? В параметрах политики агента администрирования отключен опрос сети для точек распространения и точки распространения не используются (в параметрах KSC стоит назначение точек распространения в ручном режиме и никто не добавлен). Программа: Kaspersky Endpoint Security Имя программы: avp.exe Направление протокола: Входящее Протокол: UDP Статус: Разрешено Удаленный адрес: 172.16.6.125 Удаленный порт: 61261 Локальный адрес: 255.255.255.255 Локальный порт: 15000 Зона: Все сети

Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты Хммм… Иконки запуска/остановки задач в свойствах компа в консоли администрирования вообще не активны. Даже при отключенном МЭ.

Перешёл на KSC 13.1 с 12.2. Переустановил агентов. Такое ощущение, что сервер сам больше не может достучаться до агентов. Любые изменения политик или запуск групповых задач на сервере по долгу висят в статусе “Ожидает выполнения”. Судя по всему ждут, когда агент сам соединится с сервером и увидит, что ему надо что-то сделать. Раньше политики сразу начинали применяться и групповые задачи выполняться. В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

Как-то странно оно перестало обновляться. Если собрать все сообщения на форму, то получится, что у кого-то обновляется, у кого-то не обновляется. В первом сообщении написано, что базы застряли на дате 12 июля. У меня половина компов продолжает обновляться (в отчёте меняется не только дата, но и количество сигнатур), а другие застыли на дате 13.07.2020. Пытался понять, чем отличаются, но не получилось.

Извиняюсь. Вот это совпадение. Старый сервер глюканул именно в том момент, когда пересустановил консоль. Перезагрузка старого сервера решила все проблемы. Повезло же, блин.

Я не использую web console. Я говорил вот об этом компоненте. А там просто добавляешь сервер заново и заново выбираешь, получить сертификат с сервера или подгрузить его из файла.

Пока сижу на KSC10, но решил поднять второй сервер с KSC11, чтобы посмотреть, стоит ли переходить на более свежее ПО. После установки самого сервера, также установил новую консоль администрирования. Консоль администрирования для KSC10 автоматически удалилась (даже нечего не спросив). Из новой консоли к старому серверу KSC10 подключиться нельзя - ошибка. У меня что-то пошло не так или это дейвительно не возможно? И с одного рабочего места нельзя одновременно управлять разными (старым и новым) серверами??