Katbert

И ещё бяку вижу - диагностика правил веб-контроля в локальном интерфейсе kes не проверяет категорию сайта. Например, создано единственное правило для запрета соцсетей по категории. Если в диагностику правил вбить vk.com - то она покажет, что доступ будет предоставлен по правилу по умолчанию. Если же в диагностике в явном виде указать категорию соцсети - то она покажет, что созданное блокирующее правило сработает. Насколько помню, раньше диагностика могла проверить категорию по доменному имени (что логично и ожидаемо)

по доступности сайта cloud.mail.ru, который должен блокироваться категорией файлообменники. И блокируется, когда в правиле оставил только 2 категории

В результате - при попытке обращения к vk.com будет блокировка, а cloud.mail.ru откроется. Если уменьшить список категорий - оставить только социальные сети и файловые обменники - то будут заблокированы оба сайта. Напрашивается вывод - что KES некорректно кушает большой список категорий, и игнорирует часть правил

Второе правило блокирует все возможные категории, которые есть в KES:

Похоже, уперлись в багу веб-контроля KES 11.9. Если создать правило блокировки всех возможных категорий сайтов - то весь список категорий не обрабатывается. Создаем два правила - первое будет поименно разрешать доступ к конкретным сайтам (белый список)

Security Center в большинстве случаев не требует лицензию. Она нужна для управления мобильными устройствами и для функциональности System Management в Расширенной лицензию. Чтобы просто управлять Kes на рабочих станциях - достаточно KSC без лицензии

Да, это была известная проблема в 13.1, она исправлена в 13.2

Создавал запрос в СА по этому же вопросу. Ответили так: Так что продолжаем ждать. Кому сильно нужно - заводите новые вопросы в СА, можно со ссылкой на мой INC000014061230. Возможно, количество запросов повлияет на сроки

Исходя из этой логике - в первом поле пишем domain.com, MX-lookup переключаем в положение Enable. И на DNS-сервере, к которому обращается KSMG, должны быть прописаны mx-записи для domain.com с учетом приоритетов (чтобы был основной и резервный SMTP-сервер)

И если в первом поле было прописано domain.com, то можно было включить поиск MX-записей для этого домена:

Посмотрел, как эти настройки выглядели в интерфейсе KSMG 1.2. Там были контекстные подсказки, которые здорово помогали в настройке. В KSMG 2.0 их зачем-то выпилили. В поле Destiantion address можно было писать так:

Вторую неделю веду вялую переписку с СА по этому же вопросу, INC000013926559. Пока что посоветовали использовать пересылку с галкой про поиск MX-записей (и уже на DNS-сервере прописать основной и резервный почтовик с разными MX-приоритетами). Но похоже в интерфейсе KSMG есть бага - если включаю поиск MX-записей - то не дает сохранить настройки без заполнения поля Хост. Хотя как я понимаю, это взаимоисключающие вещи: либо пересылаем на статически заданный хост, либо ищем хосты через DNS

Проверка веб-трафика и почты теперь тоже не доступна со Стандартным ключом:

Второе новое событие тоже нужно включать в политике KES. И тоже непонятно как оно должно работать. Если зайти на zakupki.gov.ru и попытаться войти в личный кабинет - возникнет ошибка SSL_ERROR_NO_CYPHER_OVERLAP - т.к. на машине нет криптопровайдера, который умеет ГОСТ TLS. Однако события от KES тоже нет - хотя он проверять ГОСТ TLS вроде не может

По поводу п.6 - Добавлены новые события об установке соединения с доменами с недоверенными сертификатами и ошибках проверки защищенных соединений. Одно новое событие нашел в уже существующей политике, его нужно включить. Однако реакции не вижу. Открываю сайт с недоверенным сертификатом - например, https://ia.egisz.rosminzdrav.ru/ Жму кнопку в сообщении KES, что принимаю риск и хочу продолжить. Однако никакое событие от компа не приходит. Возникает вопрос - в каком случае должно формироваться красное событие "Установлено соединение с доменом с недоверенным сертификатом"?