Demiad

Hi. Please, use this manual: https://support.kaspersky.com/KSC/13.2/en-US/92475_1.htm

"The Allowlist program lets you add legal software to the Kaspersky Allowlist system. Registration in the program is open to clients, vendors and software developers interested in proactively preventing false positives." https://www.kaspersky.com/partners/allowlist-program

Если так проверить наличие событий на хосте (Свойства\События), то будут от KES другие?

Данный номер ошибки говорит об одновременном запуске задач Обновления АВ баз KES. Помните, что в KES могут быть включены локальные задачи обновления АВ баз помимо групповых. Обычно локальные задачи отключают в параметрах политик. В общем виде проблемы здесь нет, первая задача успешно отработает, вторая просто не сможет запуститься одновременно с первой и будет ошибка об этом. Added: на последних версиях KESW эта ошибка не актуальна. Решение других проблем с обновлением АВ баз вы можете найти в статьях: KSC https://support.kaspersky.ru/15633 KES https://support.kaspersky.ru/15980

Предлагаю проверить случай, когда какое-то определенное событие вытирает из БД все остальные. Посмотрите мой пост в другой теме. По диаграмме событий у вас что получается? И посмотрите какие "Последние события" на KSC. По ним тоже понятно становится какие события в огромном кол-ве приходят в KSC.

Сформируйте выборку событий по этому событию и проверим есть ли они в базе сервера:

Анализ подобной ситуации следует проводить через B2B-поддержку.

Добрый день. Проверьте эти настройки, замок закрыт, галка хранения на сервере, дни указаны. Далее проверяйте применена ли политика на устройство.

Добрый день. Отвечу на часть вопросов. Я из своей практики администрирования KSC в схожей инфраструктуре уверенно скажу, что правильно будет разделить технологические АРМы + сервера (доменные и нет) и офисные ПК. То есть сделать две KSC'шки. На офисной будете в более спокойном режиме раскатывать обновления до новых версий KES, смотреть как работает, менять политики. Завязывать условия применения профилей политик* лучше на группы Active Directory. А на другом уже аккуратно точечно обновлять и настраивать защиту. Например, после тестовой обкатки обновления автопатча для KES (обновления до новой версии), его можно будет спокойно одобрить на все офисные ПК, на технологических АРМах я бы не стал так поступать и контролировал процесс на каждой группе хостов до которой дошёл с задачей перехода на новую версию. *Если пока не сталкивались с настройкой KES/KSC, то строго рекомендую изучить применение Профилей политик для KES. Не надо делать отдельные политики в каждой из групп администрирования KSC! Про схему получения обновлений не очень понял. Если задача обновлять внешние устройства (корпоративные ноутбуки дома, в командировках), то следует организовать шлюз соединений в виде установленного Агента администрирования на устройстве в DMZ, тут есть описание этого варианта и менее безопасного, когда сам KSC в DMZ. Использовать на практике Виртуальные серверы мне не приходилось, не нашёл этому применение. Второй сервер можно сделать подчинённым первому. Но тогда надёжнее расположить корневую политику KES на Головном сервере не в корне структуры "Управляемые устройства", а в подпапке и от неё уже строить структуру. Тогда никогда не случится, чтобы политика с Головного сервера пришла на Подчиненный и затёрла имеющуюся политику KES. Галки про наследование хотя и присутствуют, но всегда можно проглядеть. Если защита на серверах ещё не развёрнута, то сразу устанавливайте KES (не ниже версии 11.8 для более полной поддержки работы на серверных ОС), новых релизов KSWS на текущий момент больше не ожидается.

Ответил в ЛС. Вероятно, обращение приложения с ПК.

Добрый день Вероятно, в момент нагрузки с Точек распространения данные распространяются на прочие хосты. Уточнить происходящее можно через поддержку, где попросят собрать трассировку в момент проблемы. Обратите внимание на аппаратные требования к Точкам распространения (несколько статей раздела справки): https://support.kaspersky.com/KSC/13.2/ru-RU/158510.htm

@Максим Ч, установите галку "О запускаемых приложениях" в политике Агента администрирования, подождите некоторые время, чтобы данные KSC получил.

Hi Check trouble on new version KES 11.9.

Техническая поддержка Лаборатории Касперского, [23.04.22] ? У нас состоялся релиз Kaspersky Endpoint Security 11 для Windows (версия 11.9.0.351). Новые функции в 11.9.0 Добавлена возможность создавать служебную учетную запись Агента аутентификации для шифрования диска Kaspersky Улучшен интерфейс с деталями обнаружения для EDR Optimum Что нового в каждой версии Kaspersky Endpoint Security для Windows Обновление 11.9.0 В Kaspersky Endpoint Security для Windows 11.9.0 появились следующие возможности и улучшения: Добавлена возможность создавать служебную учетную запись Агента аутентификации при шифровании диска. Служебная учетная запись нужна для доступа к компьютеру в случаях, когда пользователь, например, забыл пароль. Также вы можете использовать служебную учетную запись в качестве резервной учетной записи. Из комплекта поставки приложения исключен дистрибутив Kaspersky Endpoint Agent. Для работы решений Detection and Response вы можете использовать встроенный агент Kaspersky Endpoint Security. Если требуется, вы можете загрузить дистрибутив Kaspersky Endpoint Agent из комплекта поставки решения Kaspersky Anti Targeted Attack Platform. Улучшен интерфейс деталей обнаружения для Kaspersky Endpoint Detection and Response Optimum (EDR Optimum). Добавлены подсказки к функциям реагирования на угрозы. Также отображается пошаговая инструкция по обеспечению безопасности инфраструктуры организации при обнаружении индикаторов компрометации. Добавлена возможность активации Kaspersky Endpoint Security для Windows лицензионным ключом Kaspersky Security для виртуальных и облачных сред. Добавлена функция проверки файлов-контейнеров при установке приложения на сервер. Добавлены новые события об установке соединения с доменами с недоверенными сертификатами и ошибках проверки защищенных соединений. ❓ Вы можете найти подробную информацию в базе знаний и справке. Известные ограничения Список приватных патчей Скачать < Предыдущая версия || Навигатор || Следующая версия >

Добрый день. С учётом, что MMC-консоль уходит, а активно развивается WEB-консоль, то привычки в любом случае поменяются. Запрос на доработку для MMC смысла заводить нет.

@Владимир_СВ, добрый день. Здесь нет универсального решения. Требуется разобраться в ситуации. Обратитесь с запросом в поддержку для анализа проблемы.

Добрый день. Очень похоже на известную проблему совместимости с КриптоПро: https://support.kaspersky.ru/15483 Проще говоря удалите KES, обновите КриптоПро до актуальной версии, снова установите KES, всё будет ок.

Добрый день. С собранным диагностическим отчётом с сервера администрирования требуется обратиться в поддержку по B2B продуктам. Заодно поясните в запросе консоль локально на сервере запускается или удалённо, если удаленно, то с удаленного устройства тоже лучше GSI сразу дать. И проверить проблему на локальной консоли.

Причина возникновения таких событий - достижение лимита по находящимся в БД событиям. В хорошем варианте события должны удаляться по достижении времени хранения, а не Сервер администрирования принудительно очищать БД из-за достижения лимита количества хранимых событий, что сейчас происходит судя по записанному событию. Первым шагом рекомендую узнать каким типом событий занята большая часть места. Понять требуется ли хранить их. Очень часто БД оказывается занята малополезными событиями. Например, можно в задачах переключить только на запись результата выполнения, уменьшить срок хранения событий в задачах и политиках продуктов. Очистить БД от выявленных событий получится через выборку по целевым событиям и через правую кнопку мыши удалить по ним. Можно пошагово увеличить размер хранимых событий и найти баланс, когда срок хранения завершается раньше чем БД переполнится. Страница справки по настройке лимита событий в БД: https://support.kaspersky.com/help/KSC/13.2/ru-RU/30023.htm?cid=KSC_13.2 Дополнительно ознакомьтесь с функцией блокировки частых событий: https://support.kaspersky.com/help/KSC/13.2/ru-RU/213112.htm Если требуются дополнительные рекомендации, то лучше завести обращение в техническую поддержку для детального анализа причин в вашем конкретном случае: https://support.kaspersky.com/b2b Перед обращением имеет смысл провести и собрать ту же диагностику, что предлагается при превышении лимита БД в 10 Гб для SQL Express в статье https://support.kaspersky.ru/15731

@Игорь К., страница поддержки для B2B-пользователей https://support.kaspersky.com/b2b Обратитесь к ним.

https://support.kaspersky.com/help/KSC/13.2/ru-RU/73098.htm

@switch, оба агента, вероятно, вам не нужны. Уточните существует ли в компании развёрнутый комплект KATA / EDR, это отдельная от KSC система, с отдельной лицензией. Описание EDR-решения на странице продукта Подробная презентация EDR-линейки от Касперского в этом видео:

Известно удалился ли софт фактически с ПК? Из раздела "Реестр программ" в свойствах хоста на KSC исчез Chrome?

@switch, на первый пост ответ - да. Далее, "прилёт" ключа происходит при синхронизации Агента администрирования (АА) с Сервером администрирования (СА). Интервал синхронизации задаётся в политике АА, стандартное значение 15 минут. Не рекомендуется сильно уменьшать его, когда кол-во управляемых хостов измеряется десятками тысяч. Пока KES не установился ключу "прилетать" некуда. А после установки это происходит в ближайшую синхронизацию АА с СА. Касательно установки АА в шаблоны важно соблюдать правило установки АА без запуска, см. https://support.kaspersky.ru/9334

Kaspersky Endpoint Agent является агентом платформ KATA / KEDR. "Kaspersky Endpoint Agent Компонент программы. Устанавливается на рабочие станции и серверы, входящие в IT-инфраструктуру организации и работающие под управлением операционных систем Microsoft Windows и Linux. Осуществляет постоянное наблюдение за процессами, запущенными на этих компьютерах, открытыми сетевыми соединениями и изменяемыми файлами." / источник Агент администрирования это компонент Сервера администрирования (KSC). Собирает данные об оборудовании, событиях с хоста. Позволяет устанавливать на него ПО. Управлять продуктами ЛК. Страница справки о нём.