Jump to content

C-S

Members
  • Posts

    19
  • Joined

  • Last visited

Reputation

1 Neutral
  1. Парольная защит на сам KES стоит у вас? Там где по умолчанию логин KLAdmin. Если стоит, то в свойствах задачи укажите эти логин и пароль.
  2. Если используется Kaspersky Security Center с агентами администрирования и есть связь с хостом через агента, можно в админке создать задачу на удаление программы. Если KSC не используется, можно попробовать удалить из командной строки. Вот ссылка на описание процесса удаления из командной строки версии 11.1.1 не знаю, применимо ли это к 11.7, у него в описании такого пункта нет, но мтоит попробовать.
  3. Спасибо, посмотрю. Но вряд ли проблема в этом, так как проблема не в том, что обновление не устанавливается, а в том, что оно вообще как будто ни к какому из хостов неприменимо. Операционные системы стоят разные Windows Server 2016/2019, Windows 10(21H2 еще на разворачивал). Такое впечатление, что агент не может получить нужную информацию с хостов.
  4. Стоит с незапамятных времен. Раньше таким образом обновлялось нормально. До текущей 11.6 например.
  5. Здравствуйте. Обновление до 11.7 появилось в списке доступных, одобрил его но оно почему-то не применяется. В состоянии только 3 машины со статусом “Не назначено к установке”, которые давно не включались. Всего в сети их под 90, но те, что доступны на сервере администрирования, без состояние о данном обновлении. Версия KSC 13.2.0.1511, агент на компьютерах обновлен до 13.2.0.1511, версия KES на всех машинах - 16.0.394, в инсталляционных пакетах дистрибутив KES 11.7.0.669 присутствует. Как понять почему не применяется обновление?
  6. Соединения по MAC-адресам работают в пределах одного сегмента локальной сети(2-й, канальный уровень модели OSI) и посмотреть статистику ARP-запросов можно только по адресам из этой сети. Соединения из других сетей, идут уже по IP(3-й уровень модели OSI, сетевой). Можно добавить в исключения отдельные адреса, но добавлять всю подсеть полностью смысла нет - проще тогда вообще эту защиту отключить. У меня никто на разрывы соединений не жаловался, как ни странно, петли и сбойное сетевое оборудование исключаю, так как это проявилось на 4 площадках. А на одной из них вообще почти все по WiFi подключаются. При петлях точно пожаловались бы. И с оборудованием все в порядке. В своем случае связываю это с частичной потерей пакетов из-за соединений по WiFi и нестабильной работы RAdmin VPN.
  7. Настроил как у вас, поставил 25 порт. Убрал галочку “Использовать DNS и MX поиск”(с ней не работает) - заработало. Отправляет даже не сам себе, а на другой адрес, если в параметрах отправки еще раз указать адрес отправителя. Странно что по 465 порту не работает. Если Яндекс прикроет 25 порт, уведомления перестанут ходить. Надо наверное в техподдержку написать.
  8. Реально yandex работает по 25 порту? У вас какой-то блатной ящик?
  9. Так задавать в исключения полностью рабочую подсеть не совсем правильно же. Тогда получается, что если кто-то реально захочет подменить MAC-адрес какого-нибудь устройства в вашей локальной сети, вы этого не увидите.
  10. По состоянию на текущий момент удалось выяснить, что сообщения о MAC Spoofing атаках появляются от беспроводных клиентов- мобильных устройств и ноутбуков, подключенных по WiFi, на которых так же установлен антивирус. Несоответствия в MAC-адресах не нашел. Т.е. те запросы, которые блокирует антивирус происходят от реальных MAC-адресов. Иногда появляются записи с “неполным” MAC, как уже писал выше, когда один из символов в одном из полей отсутствует, но при этом значения в остальных полях сходятся. Есть так же второй тип сообщений о MAC Spoofing при обращении к внешним IP-адресам, которые оказались адресами сервиса Radmin-VPN, который соответственно стоит на компьютерах, где появляются эти сообщения. Очевидно, события об атаках появляются, когда пакеты доходят не полностью, что возможно при подключении по беспроводной сети, а так же подключении по RadminVPN. Как дальше быть? Отключать совсем обнаружение MAC-спуфинг не хочется, а если включить только уведомления, то есть риск что не будет заблокирована реальная атака. И почему это началось 19-20 сентября, а до этой даты этих сообщений не было? Так же очень настораживает наличие запросов от мобильных устройств к рабочим станциям и серверу управления, но это скорее к вопросу организации гостевого WiFi, который давно уже стоит на повестке.
  11. Здравствуйте. Сервер под управлением Kaspersky Security Center 13.0.0.11247 Версия Kaspersky Endpoint Security для Windows 11.6.0.394 Агент администрирования 13.0.0.11247 Обнаружил в критических событиях сервера большое количество событий вида: Обнаружена сетевая атака Пользователь: %PCNAME%\Администратор (Активный пользователь) (либо NT AUTHORITY\СИСТЕМА (Системный пользователь)) Компонент: Защита от сетевых угроз Описание результата: Запрещено Название: Mac Spoofing Attack: unexpected ARP response Объект: ARP от неожиданного источника Тип объекта: Сетевой пакет Название объекта: ARP от неожиданного источника Дополнительно: Подозрительный: 19.10.2021 18:08:05: %MAC-адрес% -> %один из локальных IP-адресов% Дата выпуска баз: 19.10.2021 12:14:00 События отображаются на разных узлах сети - и рабочих станциях и серверах. Запросы могут блокироваться как с таких же рабочих станций под управлением антивируса, либо с других устройств - сетевых принтеров, роутеров, МФУ, мобильных устройств. Несоответствия MAC-адресов между теми, что в логах и реальными на устройствах не выявил. Повторяющихся MAC-адресов в списке по команде arp -a не нашел. Бывают так же события с отклоненными запросами от внешних IP-адресов www.arin.net с "битыми" MAC-адресами. Например: Подозрительный: 19.10.2021 18:07:41: 2-50-73-3f-95-6a -> 26.25.162.243 (в первом поле один символ отсутствует). Есть так же адреса 26.194.245.41, 26.206.118.185 Событие появилось примерно 20 сентября, где-то в это же время массово появились события "Серверы KSN недоступны". На всякий случай посмотрел в события в других офисах - там похожая ситуация, много сообщений "Серверы KSN недоступны", есть сообщения про ARP spoofing. Точно так же поддельных MAC`ов не выявил и так же есть ссылки на адреса от www.arin.net. Офисы между собой никак не связаны. Выполнил обновление в на площадке, где изначально обнаружил проблему до KSC 13.2, начал на хостах обновлять агент до 13.2.0.1511, установил октябрьское обновление Windows на сервер управления (Windows Server 2016). После перезагрузки сервера пока было только одно сообщение ARP spoofing от одного хоста через несколько минут и пока тишина почти полтора часа, но подобные промежутки и раньше бывали. Буду дальше мониторить. Это какой-то глюк KSC 13 или какая-то массовая атака?
  12. Здравствуйте. Пытаюсь настроить уведомления KSC 13.2 по электронной почте через учетную запись на Яндексе. Делаю все по инструкции, ввожу адрес SMTP, логин и пароль отправителя, задаю порт 465, включаю поддержку TLS, но тестовое сообщение не отправляется. Данные точно правильные ввожу, в Outlook ящик с этими же настройками подключается нормально. В чем может быть проблема?
  13. Спасибо, понял. А когда планируют убрать этот баг, неизвестно?
  14. Здравствуйте. Второй раз сталкиваюсь с ситуацией: Устанавливаю Kaspersky Security Center 13 с нуля. Добавляю ключ от Kaspersky Endpoint Seciruty Standard, ставлю галку “распространять ключ автоматически”, но ключ автоматически не распространяется. Проверяю свойства ключа - галка стоит. Пробовал убрать/поставить ее повторно - не помогает. Чтобы он применился на управляемых компьютерах, его надо распространить через задачу. Что я делаю не так?
  15. I have same problem with KES 11.1.0.3013. Can you say what is decision? In my case i uninstalled agent 11.0.0.38, and KES. Then i installed agent 12.0.0.51 and KES again. After this problem gone. Operation system oh host - CentOS 8 x64(4.18.0-193.19.1.el8_2.x86_64). Version of Seciruty Center is 12.0.0.7734.
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.