Goddeimos13

Роутеры есть. Меня интересует почему не работают исключения? Или для MAC Spoofing Protection нет исключений?

Приветствую, народ! Решил значит включить компонент KES "Защита от сетевых угроз" (Network Threat Protection) с лайтовыми настройками (дабы прощупать работу модуля): И на одной машине посыпались события "Network attack detected". Ругается на видеорегистратор Hikvision в сети. Кто-нибудь понимает как этот модуль траблшутить и как интерпретировать событие ниже? Кстати, добавление IP адреса видеорегистратора (172.18.85.101) в исключение Network Threat Protection/Exclusions, а также в General settings/Network settings/Trusted addresses никак не помогло. События продолжают генерироваться. Собственно само событие: Event: Network attack detected IP: 172.18.85.20 Program: Kaspersky Endpoint Security for Windows (11.9.0.351) Task: Network Threat Protection Component: Network Threat Protection Result description: Allowed Name: Mac Spoofing Attack: conflicted ARP response Object: ARP from several different sources Object type: Network packet Object name: ARP from several different sources Suspicious: 28.06.2022 8:40:31: 8c-e7-48-98-82-9b -> 172.18.85.101 Database release date: 27.06.2022 20:54:00

Не совсем автоматически. Имя и адрес сервера лучше сменить, раз у Вас проблемы со старым. Для переключения запустить на клиентах команду "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address <NewKSC> Можно политиками, можно скиптом через RemotePS, тут уж как вам привычнее.

Миграция проходит за считанные минуты. У меня больше 2к устройств, за день мигрируют порядка 80%, остальные уже по накатанной при появлении в сети.

Ну вот же. Есть повод обновиться до 13.2 ? Поднимаете новый сервер, разворачиваете там KSC 13.2 с нуля и переключаете всех клиентов на новый сервер. Делов то. Я кстати каждый раз так делаю, когда выходит новая версия KSC. Не доверяю всяким этим In-place Upgrade ?

Кстати KSC какой версии?

Да я понимаю, что можно устройства туда сюда гонять по принципу доступен/недоступен. Но это уж прям совсем на мой взгляд "БДСМ" ? Хочется какого-нибудь волшебного скрипта-триггера, который при выключении в AD - удаляет из KSC. Может всё-таки найдутся умельцы, кто такое победил)

4 месяца ждать пока устройство самоудалится ? не вариант) К тому же полно ноутбуков, которые по пол года блуждают в командировках.

Приветствую! Посоветуйте рабочую схему, при которой отключение компьютера в AD автоматически удалит устройство из управляемых в KSC. Странно, что в KSC никак не реализован механизм обратной синхронизации с AD. То есть при опросе AD, KSC видит только включенные компьютеры и добавляет их в нераспределенные. Однако если устройство находится в управляемых и отключается в AD, то KSC на это уже никак не реагирует ? Наивно конечно, но может кто-то уже придумал костыль по борьбе с "мёртвыми душами"?

Приветствую! Есть такой глюк. Попробуйте напрямую зайти в плагины и оттуда загрузить/установить требуемый плагин. Тогда работает. По поводу доступа для региональных админов уже обсуждали тут: Если имеете представление как раздавать права в NTFS, то тут примерно тоже самое (наследование, группы доступа, роли). Нужно просто разложить всё в голове кто куда и какие должен иметь доступы и реализовать. Если никак, то скидывай скрины Security вкладки, попробуем подсказать.

Пардон. Ошибся с ответом. Неверно понял вопрос.

Приветствую! Не только возможно, но и нужно)

Тогда почитай вот этот топик https://forum.kasperskyclub.ru/topic/88643-ksc-ne-vidit-agentov-ksc-na-lokalnyh-kompah-v-domene/page/2/ Там похожая ситуация была. Нужно будет проверить доступность порта SSL и тд.

Как вариант просто переставить агента. В настройках инсталляционного пакета у Вас должен быть прописан сертификат сервера KSC. Но если он просрочился, то по логике все клиенты должны отвалится.

Приветствую! Для начала скиньте скрин команды на клиенте C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagchk.exe

Я тебе даже больше скажу. Если в диагностике указать вообще левую категорию, то она также тебе покажет, что сработало правило блокировки. Вот такие чудеса))) P.S. Похоже, что Веб-контроль писали на абум.

А как Вы это поняли? Категории в KES такая абстрактная непостоянная вещь. Сегодня сайт блокируется по категории, завтра уже нет. Или ещё лучше, у меня сейчас блокируется, на соседней машине нет.

Если у пользователя на влкадке Security нет никаких прав на группу, то он её точно не будет видеть. В этом весь смысл предоставления прав. Возможно где-то он входит в группу, которая есть на вкладке Security. Ищите, крыжте. Если не получается. Скидывайте скрины Security, поищем вместе. Роли тут не причём. Роль на видимость группы не влияет.

Это легко реализуется через вкладку Security. Верхнему уровню (группа Управляемые устройства) выдаёте права для всех админов. Дальше на уровне ниже убираете наследование, убираете лишних админов, оставляете только того, кто будет хозяйничать в группе. И так по всем группам.

Тогда не понятно. По идеи KSC должен видеть эти устройства. Если проблема на одном ПК, то как вариант переставить KES.

А если на самом клиенте в интерфейсе KES посмотреть какие устройства он видит. Или там тоже пусто?

А события по подключению/отключению внешних устройств на проблемном ПК хотя бы формируются?

На том ПК, где не находится устройства, KES установлен? Какой версии? Политика KES применена одна для всех? Нет ли профилей политики?

Если у Вас используется одна версия файла AnyDesk (один хэш), тогда надо запустить задачу инвентаризации (с соответствующими настройками), чтобы исполняемый файл появился в окне добавления программы в группу доверия. Но если у Вас винегрет из AnyDesk.exe, тогда разового решения нет. Нужно будет добавлять все возможные каталоги запуска AnyDesk.exe либо добавлять все возможные AnyDesk.exe (хэши) в доверенную группу. Ну и как вариант навести порядок и прийти к единому каталогу запуска/установки AnyDesk.exe.

Приветствую! А разве для KES есть разница установлена программа или просто запущена? Он прекрасно блокирует portable soft. Добавьте в исключение и будет работать.