Jump to content

Berckut

Members
  • Posts

    19
  • Joined

  • Last visited

Posts posted by Berckut

  1. У меня аналогичная проблема с версией 11.3.0-7508 (пакет kesl-11.3.0-7508.cert.x86_64.rpm) на Oracle Linux 8.

    В логе после запуска скрипта настройки (после установки) или запуска руками через "systemctl start kesl":

    2023-12-29 04:34:48 launcher {pid:1243}: Product not running (Can't open "/var/run/wdserver.pid" file. Reason: No such file or directory)

    Поставить более новую версию не могу, т.к. нужен именно сертифицированный KESL, а более свежих сертифицированных версий нет.

    Есть подозрение, что это связано с особенностями обработки символических ссылок в некоторых дистрибутивах. Если раньше сервисы работали с ссылкой "/var/run/" на папку "/run/" без проблем (а "/var/run/" это именно ссылка, а не каталог), то сейчас некоторые сервисы как раз выдают ошибку "Can’t open PID file /var/run/*.pid". Думаю, копать надо в эту сторону.

    Я пытался поправить файл "/opt/kaspersky/kesl/shared/kesl.service":

    PIDFile=/var/run/wdserver.pid
    заменить на
    PIDFile=/run/wdserver.pid

    Но это не помогло. Судя по логу pid-файл всё равно пытается открываться по адресу "/var/run/wdserver.pid". Либо правлю не там, либо где-то глубоко зашито.

  2. Точки распространения могут быть внутри одной сети. Чтобы снизить количество соединений на KSC. И в этом случае случае всё будет отлично работать.

    Но вот в описанном мной случае у меня задача установки обновления нечего не смогла сделать. Хотя если создать пакет установки и задачу на установку этого ПО, то всё работает.

    Также без проблем проходят обновления продуктов Касперского. Но это работает, потому что идёт не в рамках такой задачи, а через  обновление баз/модулей программы.

  3. Не всегда это возможно. Например, в случае с DMZ. Ну или просто из-за того, что сегментов может быть много и надо обеспечить их изоляцию (условно) друг от друга. Серверов не напасёшься.

  4. Есть 2 сегмента сети. В первом находится KSC, во втором управляемый компьютер. Между сегментами нет маршрутизации трафика и они не могут взаимодействовать напрямую.

    Имеется ещё один компьютер с двумя сетевыми картами, который подключены к обоим сегментам сети и выступает в роли шлюза соединений. Он назначен точкой распространения для второго сегмента.

    На всех компьютерах установлен агент KSC. При установке агента на управляемый компьютер в настройках было указано использовать шлюз соединений. Управляемый компьютер заведён на KSC, управляется. Политики и задачи получает с KSC. Обновления для KES для него также приходят.

    А что будет с задачей "Установка обновлений и закрытие уязвимостей". KSC сможет на управляемый компьютер через точку распространения прокинуть обновления (прикладное ПО, обновления Windows) или установка ПО возможна только через отдельные задачи по установке конкретного ПО?

  5. Получит такой же алерт. Размер файла тоже около 100М.

    Событие: "Обнаружен вредоносный объект".
    Результат: Обнаружено: HEUR:Trojan.Win32.Generic
    Пользователь: NT AUTHORITY\система (Системный пользователь)
    Объект: C:\System Volume Information\klBackupDepository.dat
    Причина: Экспертный анализ

    Выгрузил этот файл и посмотрел содержимое. Внутри что-то типа кэша или бэкапа firefox. Закладки, журнал посещений, нечто, похожее на скаченные файлы и т.д.

    Если этот файл действительно генерирует Каспер, то возникают вопросы. Куда эти данные Каспер хотел слить? Я конечно подозреваю, что в кэш могла попасть завирусованная страница, а KES таким образом сформировал резервную копию удалённого файла кэша, но почему тогда нельзя было сразу сказать, что в файлы с подобными именами кладётся бэкап и возможно это он.

    Так что хотелось бы всё таки услышать, может ли KES создавать файлы с таким именем или нет. Если не может, то явно кто-то под KES косит и это надо искать.

  6. Эх, вот бы уже был унифицированный интерфейс.

    Он унифицирован: и в старом и  новом есть кнопочки. И в старом и в новом есть текст. И в старом и в новом есть картинки/пиктограммы.

    Рано или поздно все равно приходится менять интерфейс, а набор компонентов у разных продуктов разный. Подгонять всех под единый интерфейс - значит сделать всем неудобно. Универсальность - это компромисс, а не наилучшее решение.

    Или вы имеете ввиду чтобы интерфейс у антивирусов Касперского и, например, у Аваст был одинаковый, только лого отличалось?

    Я про местоположение этих кнопок, а не их наличие в целом.


    Плюсану. Зачастили с обновлением интерфейсов. Если раньше в разных продуктах и версиях примерно понимал где что искать, то теперь каждый раз заново всё меню перебираешь.

    Но я бы сказал, что проблема больше в другом. Раньше меню было сделано для удобства админов (компактным и информативным), а теперь для красоты. Как будто раньше его инженеры для себя разрабатывали, а теперь этим маркетологи занимаются.

    Большие кнопки с большими буквами и медленным откликом. Смотрится красиво, а администрируется не удобно. С каждой новой версией настраивать всё менее удобно. Если тенденция сохранится, то скоро каждый элемент настройки будет на отдельный экран помещаться, а чтобы следующую галку поставить придётся целую страницу проскроллить.

  7. Коллеги, может кто-то поделиться образцом заполнения формуляра к сертифицированной версии? Как оформить при скачивании (печатать или нет), контроле целостности (заносить в таблицу всё приложение к формуляру? для каждой установки?), какие делать записи при установке ПО, обновлении? Печать формуляр под каждую установку или один на всех и каким образов записывать в него 100500 установок? И т.д.

  8. Возможно, дело в том, что компы с несколькими адресами регистрирую несколько записей на доменном DNS-сервере. Если находясь на сервере KSC, сказать ping computername - и будет попытка пинговать ненужный адрес - то скорее всего проблема решится исправлением в DNS


    Нет, на доменном DNS всё норм. Это поведение повторяется даже на недоменной машине.

  9. В прошлом сообщении фигню написал.

    В общем, проблема с новым KSC 13.1 в следующем заключается.

    Если на компьютере в корпоративной сети есть компы, которые имеют более одного IP-адреса в разных подсетях или на них стоит гипервизор, который создаёт свою виртуальную подсеть, то в базе KSC компьютер может зарегистрироваться не с реальным адресом из корпоративной сети, а с другим (недоступным).

    Например, берём комп, который имеет адрес корпоративной сети 10.2.0.10, а сервер KSC имеет адрес 10.2.0.1. На нём стоит VirtualBox, который создал внутреннюю подсеть 192.168.56.0/24 и присвоил этому компу второй адрес 192.168.56.1. После установки агента KSC, тот направляет данные серверу, но сервер регистрирует этот комп в своей базе с адресом 192.168.56.1, а не 10.2.0.10. В результате, агент периодически опрашивает сервер по адресу 10.2.0.1 и в это время забирает политики и задачи. Но KSC, при обращении к компьютеру, пытается стучаться на адрес 192.168.56.1, который зарегистрирован в его базе и который конечно для него не доступен.

    Та же самая ситуация, если виртуалок на компе нет, но есть вторая сетевая карта, которая смотрит в другой сегмент, недоступный для KSC. Агент может передать на сервер адрес компа из второй подсети, KSC зарегистрирует комп в своей базе под этим IP и тоже не сможет к нему обращаться.

    Как это победить не знаю, решение пока не нашёл.

  10. Добавил правило, которое разрешает входящие соединения от любого компьютера на порт UPD 15000 и включил логирование.

    Хотел увидеть попытки подключения от KSC, но результате увидел кучу широковещательных запросов от других компов на этот. Зачем агент или KES рассылает такие пакеты? В параметрах политики агента администрирования отключен опрос сети для точек распространения и точки распространения не используются (в параметрах KSC стоит назначение точек распространения в ручном режиме и никто не добавлен).

    Программа: Kaspersky Endpoint Security
    Имя программы: avp.exe
    Направление протокола: Входящее
    Протокол: UDP
    Статус: Разрешено
    Удаленный адрес: 172.16.6.125
    Удаленный порт: 61261
    Локальный адрес: 255.255.255.255
    Локальный порт: 15000
    Зона: Все сети

  11. В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

    Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты


    Хммм…

    Иконки запуска/остановки задач в свойствах компа в консоли администрирования вообще не активны.

    Даже при отключенном МЭ.

  12. Перешёл на KSC 13.1 с 12.2. Переустановил агентов.

    Такое ощущение, что сервер сам больше не может достучаться до агентов. Любые изменения политик или запуск групповых задач на сервере по долгу висят в статусе “Ожидает выполнения”. Судя по всему ждут, когда агент сам соединится с сервером и увидит, что ему надо что-то сделать. Раньше политики сразу начинали применяться и групповые задачи выполняться.

    В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

  13. Как-то странно оно перестало обновляться.

    Если собрать все сообщения на форму, то получится, что у кого-то обновляется, у кого-то не обновляется.

    В первом сообщении написано, что базы застряли на дате 12 июля.

    У меня половина компов продолжает обновляться (в отчёте меняется не только дата, но и количество сигнатур), а другие застыли на дате 13.07.2020. Пытался понять, чем отличаются, но не получилось.

  14. Пока сижу на KSC10, но решил поднять второй сервер с KSC11, чтобы посмотреть, стоит ли переходить на более свежее ПО. После установки самого сервера, также установил новую консоль администрирования. Консоль администрирования для KSC10 автоматически удалилась (даже нечего не спросив). Из новой консоли к старому серверу KSC10 подключиться нельзя - ошибка. У меня что-то пошло не так или это дейвительно не возможно? И с одного рабочего места нельзя одновременно управлять разными (старым и новым) серверами??
×
×
  • Create New...