Dmitry Orlov

Я в итоге вспомнил, что у меня GPO накатывается, которая Defender включает)

Добрый день. KES 12, под управлением KSC. При этом в процессах наблюдаю работающий Antimalware Service Executable. Я полагал, что KES отключает антивирусы другие. Не прав? Надо дополнительные усилия прилагать? Через GPO не хотелось бы. Лучше бы через политику в KSC, если оно есть.

Я их открыл как раз для того, чтобы ТП могла проблемным пользователям вручную отключать контроль приложений. Как временное решение.

Добрый день. Есть вот такая политика на верхнем уровне, для запрета запуска ПО с внешних носителей. Есть отдельный контейнер, в котором есть своя политика с разрешенным запуском. Выглядит вот так: Клиент первоначально был в контейнере с запретом на запуск, потом переместили его в разрешенные. Политика, судя по отчету о применении, обновилась удачно. Но в настройках на клиенте все равно вижу запрет почему-то. Подскажите, пожалуйста, где ошибка?

Упс))) Спасибо, оно!

Да, то, что нужно. Но у меня Отчет о реестре оборудования имеет совершенно другой вид.

Добрый день, господа. Итак, отчет о реестре оборудования не устраивает, там все свалено в кучу. Нам же необходим отчет в котором в поле будет имя хоста, наименование оборудования, прочие поля типа SN (если есть) итп Причем эти данные в KSC есть, если заходить в компьютер и там смотреть его реестр оборудования. Вопрос именно в представлении необходимом. Можно ли такое?

Ну это не совсем так, как работает запрет автостарта через GPO и что я имел в виду под автостартом. Это чистой воды запрет старта со съемного носителя.

ElvinE5 Спасибо, очень подробно, но речь не про старт с носителя, а про автостарт! В принципе, можно сделать запрет на доступ к файлу autostart.ini. Хотя тоже не совсем корректно так делать, ИМХО. Aftalik Это уже сделано, а про распространение через bat\cmd думал, да. Подходит, конечно, хотя не и совсем удобно. Но я просто ожидал увидеть галку в политике KES.

На уровне GPO заблокировано. Но есть много недоменных удаленных компов на которых стоит KES под управлением KSC. Посмотрел политику, только контроль устройств нашел и там можно запрет на устройство организовать. А хотят авторан только запретить.

Да, работает, спасибо.

Да, можно, конечно в bat файле certutil вызвать и добавить сертификат. Но общей шары с клиентом нет, напомню, комп недоменный. Хотя можно дальше изобретать, например, в bat файл download с ftp прикрутить... но это уже очень похоже на реализацию велосипеда)) Может что встроенное попроще есть?

Коллеги, категорически приветствую. Созрел вопрос. Раз уж через KSC agent можно ставить софт, запускать bat файлы, то может и сертификат центра сертификации поставить можно? Просто есть большое количество внешних, недоменных компов, которые к инфраструктуре через Интернет цепляются, но ... на них будет KSC agent для антивирусных и прочих мелких нужд. Может и сертификат стороннего ЦС можно через него распространить? Весьма полезная и востребованная функция должна быть, ИМХО. ЗЫ Не путать с сертификатом KSC сервера. Нужно именно распространить сертификат стороннего ЦС.

Посмотрел, спасибо. Т.е. MDM сервер ставится на шлюз соединений (в моем случае он уже присутствует в конфигурации), такая рекомендация?

Здравствуйте, господа. Продолжаем пилот KSC, разбираемся с MDM в KSC. И возник вот какой вопрос. Настроили шлюз соединения в DMZ для всяких внешних недоменных компов и доменных ноутбуков, но которые подолгу через Интернет работать могут. И тут дошли до MDM для планшетов\телефонов. И что-то не вижу я тут в мануалах упоминания про подключение через шлюз соединения. Только напрямую на сервер MDM по 443 порту. Каковы бест практис в этом вопросе? Выносить сервер MDM на отдельную от сервера KSC машину и размещать в DMZ? Такой подход правильный?

Неактуальность своего последнего поста уже понял. Все, вопрос снят.

Demiad Кстати, может быть есть какой то способ инициировать соединение с сервером администрирования со стороны клиента вручную? С обновлением политик, запуском заданий итп Вот klnagchk.exe для меня выглядел перспективно в этом плане) Но нет, просто проверяет соединение.

У меня порядка 1500 устройств. Значит будем экспериментировать с периодом синхронизации, спасибо.

Да, в этом было дело. Спасибо! Хорошо бы еще это свойство на группу компьютеров можно было бы распространить. Чтобы не в ручную по одному компу это делать. Ожидал увидеть это свойство в политике агента администрирования KSC, но что-то не нашел. Не туда смотрю?

Добрый день. Настраиваем Cовместный доступ к рабочему столу Windows. Для клиентов внутри сети все работает хорошо. Для внешних компьютеров, которые подключаются из Интернета через шлюз соединения, не работает. При этом остальной функционал для таких клиентов работает нормально. После установки агента KSC компьютер полностью управляется, ставится\деинсталлируется ПО на него. Запускаются прочие задачи, собираются данные. Подозреваю, что проблема в том, что подключение к клиенту идет на внутренний IP (см вложение.) А сервер KSC ничего о той сети не знает и не может соединиться с клиентом. Во вложении IP 192.168.7.199 - это то, что клиент получает в своей удаленной сети.

Шампанское за этот столик!!! )))

Господа, такая проблема. Распаковал инсталяционный пакет из ksc_13_13.2.0.1511_full_ru, пытаюсь удаленно ставить консоль KSC (не web версию.) Руководствовался статьей https://support.kaspersky.com/KSWS/11/ru-RU/147726.htm Не получается. Пробую из распакованного пакета запускать в cmd setup.exe с ключами /s /p "ADDLOCAL=MmcSnapin EULA=1" - в журнале Приложения получаю ошибку: Консоль администрирования Kaspersky Security Center - Не принято Лицензионное соглашение. Также пробовал ключи в виде /s /p "EULA=1" и /s /pEULA=1 Все равно ругается на то, что лицензия не принята. Почему это происходит? Ведь EULA=1.