dvz

Подключенные к старой консоли сервера KSC. Их много.

Добрый день. Как импортировать настройки из 10 консоли в установленную 11 ? Настройки хранятся в "C:\Users\user\AppData\Roaming\Microsoft\MMC" в новом формате, и называются "Kaspersky Security Center 11". Простым переименованием старой в новую, настройки не подхватываются. Как быть ?

Demiad ага, вовремя. Сразу обновленный можешь поставить. Первый явно сырым выпускали, раз через три месяца новый релиз с исправлениями переделали.

В KSC, в списке актуальных версий программ релиз еще не появился. 11.1.0.15919 только. Demiad ,спасибо, отвел беду)

Зарелизили 11.1.1.126 (тут). В описании исправлено много ошибок + поддержка 1903. Кто уже обновился ? Норм все ?

Добрый день. На вашем внутреннем Exchange надо создать Receive Connector для приема писем от KSMG. В настройках коннектора указать IP адреса KSMG и включить анонимную отправку. По такому-же принципу создать Send Connector для отправки исходящих писем c Exchange на KSMG. В настройках KSMG в разделе "Domains" указываете для записи вашего домена "Local domain" и там прописываете маршрут пересылки.

А оно контролируется политиками ? Можете показать где настройка ?

вам Sir_Freeze предлагает восстановить работоспособность сервиса как было до вашего некорректного переноса. Затем создать бекап и выполнить перенос по правильному сценарию. "Переподключить" установленный KSC к другой СУБД путем изменения конфигов не предусмотрено. ps/ посмотрите бекап все-таки. Он автоматически делается, если вы сами задачу не отключали.

Если таких ПК мало, то еще можно попробовать удалить чекпоинт и поставить его после KES

ага, тоже начал грешить на архивы, так как пользователь занимается бэкапами. можно установить ограничение в задаче проверки- "Не проверять архивы больше 100Мб"

Настройка подключения к SQL не изменяется в конфигах. На другой SQL переводится таким сценарием: Cоздать бекап KSC. Запустить инсталлятор KSC по новой. В процессе указать новый SQL. Восстановить KSC из бекапа п.1.

d1m0n94 могу предположить, что у вас на дисках архивы большого размера (бекапы например), а в задаче проверки KES стоит проверять архивы. Тогда он будет их распаковывать в временную папку для проверки, а потом по завершению удалять - место прыгает

Anna Zelenova да, это старая тема. Давно поднималась тут. Варианты предлагали такие: Включить событие "Компьютер работает в безопасном режиме", брать объяснительные и наказывать административно. Заблокировать "F8 Safe Mode" вот так От несанкционированного удаления/отключения служб KES через запуск с live-CD боролись включением шифрования в режиме FDE. Но и FDE не защитит от сценария обхода по F8.

Ничего они нам не скажут. Релиз выпущен, требования заявлены. На моей памяти только один раз пошли нам на встречу, это когда Oleg Bykov объявил, что KSWS10 для нас с поддержкой 2003 сделали. Спасибо их отделу за это. А отделы разработки KES\KSC ничего специально для нас делать не будут.

а сервера 2019 ?

1. Политики применились от старого (10.1.1). После установки плагина, название программы в старой политике изменилось на "Kaspersky Security 10.1.2 для Windows Server", сама политика осталась как есть. 2. Плагин работал старый (10.1.1.746), но я обновил до последнего (10.1.2.996). 3. на 3% серверов, после обновления, установился статус "требуется перезагрузка" - было проигнорировано.

Релиз. Кто массово уже обновил ? Норм все ? Политика/плагин от 10.1.1 подходит ?

В CA помочь не смогли (INC000010422006) и предложили узнать в ФСБ.

Kommunist7304 хорошо бы еще альтернативное мнение услышать... попробую Лукацкому вопрос задать, или в СА...

Это не будет являтся лицензируемой деятельностью в случае если компания будет использовать СКЗИ для обеспечения собственных нужд (например защиты корпоративной информации) это оговорено в п.1 Постановления 313.

Вы точно правильно меня поняли ? Этот пример касается деятельности по РАСПРОСТРАНЕНИЮ СКЗИ. Я указал на то, что в соответствии с п.3(б), Постановления 313, распространение СКЗИ с длинной ключа до 56 бит не ограничено. А меня интересует ИСПОЛЬЗОВАНИЕ. Тут у Вас целый абзац размышлений без фактов, как и в той теме. Приведите пожалуйста аргумент в виде ссылки на закон. Мой аргумент - 66 приказ ФСБ (ПКЗ-2005). В нем нет никаких запретов использовать AES256, если это явно не оговорено федеральным законодательством. (например работа с гостайной, обработка персональных данный, и т.п.) IMHO ЛК сделал два дистрибутива для экспортных ограничений. Если я к примеру американец, и купил себе KES, тогда из-за экспортных ограничений скачать в свою Америку имею права только kes AES56.

Откуда пошло утверждение, что на территории РФ надо использовать KES c библиотеками AES-56, и запрещено AES-256 ? 1. Есть такие ограничения, но для импорта криптографических средств. В частности, длинна ключа не должна превышать 56 бит (ПОСТАНОВЛЕНИЕ от 16 апреля 2012 г. N 313). Но мы не импортируем, а используем уже готовый продукт, произведенный на территории РФ. 2. Есть миф, что требуется использовать СКЗИ отечественного производства (ГОСТовых алгоритмов). Это обязательно только в случае работы с гостайной (Постановление Правительства от 26 июня 1995 г. №608 «О сертификации средств защиты информации» (в редакции Постановлений Правительства РФ от 23.04.1996 № 509, от 29.03.1999 № 342, от 17.12.2004 № 808) Других особых требований к используемому алгоритму государством не предъявляются, оставляя право выбора за владельцем/собственником информации или информационной системы. Он волен использовать любой алгоритм, который посчитает нужным и который не противоречит дополнительным ограничениям, прописанным в Приказе ФСБ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (положение ПКЗ-2005)

Zenden такого у нас не было. Напишите потом решение, что в CA вам скажут.

В логе KSMG какой вердикт указан для этих писем ? Покажите всю строку проверки ("KSMG: not clean: message-id=..........")

Добрый день. Давайте подытожим проблему-решение. Проблема: ошибки на сервере по запуску службы "ksnproxy", Решение: добавить УЗ ".\KlNagSvc" в группу "LogonService". Проблема: откуда на пользовательских ПК берется УЗ ".\KlNagSvc" Решение: УЗ не создается KES. Возможно создали администраторы. Определить можно по записи в журнале безопасности (если он у вас ведется, и не успел ротироваться) по событию 4720. Смотрите оснасткой, либо PS "Get-eventlog Security | ?{ $_.EventID -eq 4720} |Format-list Message" Проблема: почему локальный пользователь в доменной группе Решение: тут норм все - группа на скрине локальная. Возможно по задумке ваших администраторов, этим пользователем должны запускать оснастку управления KSC.