Katbert

Перебором скучно, один сайт может принадлежать к нескольким категориям сразу Можно конечно создать на тестовой машине столько правил, сколько категорий понимает KES - тогда по имени сработавшего правило можно будет установить категорию. И то скорее всего - только по первому сработавшему правилу

Раньше для проверки категорий, к которым относится конкретный сайт - использовал портал opentip https://opentip.kaspersky.com/ Однако сейчас смотрю - там проверку веб-адресов сделали только после регистрации, и доступна всего одна проверка без платного контракта. Какой еще есть способ, чтобы по URL получить список категорий для сайта?

Несколько раз отправлял трассировки, но потом попросили немного изменить сценарий и собрать трассировки снова. Потом были новогодние каникулы, и тот инцидент закрылся по неактивности. Не очень понятно, зачем было нужно столько трассировок для легко воспоризводимой проблемы. Если дойдут руки - соберу трассировки еще раз по последнему запрошенному сценарию, и заведу новый инцидент.

Тоже стали интересен вопрос, будет ли продукт развиваться. Сейчас в системных требования из возможных версий Hyper-V обозначен только 2012 R2, что в 2021 году выглядит как-то скучновато

В KSC 12.2 тоже наблюдаю проблему с ограничением одновременных загрузок. В свойствах задачи задал загрузку по одной, но по факту сразу на все одновременно загружал:

Хотя и от Терминал Fly оно не зависит. Снова восстановил виртуалку, терминал вовсе не открывал. Запустил графический файловый менеджер, запустил задачу с KSC. Задача типа-успешно отработала, но агент не установился. Еще раз пнул задачу KSC - и агент установился Ересь какая-то...

Еще раз восстановил образ, и две подряд попытки установить агент той же самой задачей KSC - опять не дали результата. Со стороны KSC задача зеленая, типа удачно завершилась. А локально нет даже логов в /var/log/kaspersky С третьей попытки агент установился, хотя третья попытка отличалась от первых двух только тем, что в локальной графической сессии Astra я закрыл Терминал Fly (командную строку)

Хотя все-таки сетевая установка именно типового пакета klnagent64_11.0.0-38_amd64.deb - работает. Восстановил виртуалку из копии, запустил ту же самую задачу установки с KSC - и все установилось. Почему в прошлый раз не пошло - осталось непонятным

Рано обрадовался, сетевая установка обычного пакета klnagent64_11.0.0-38_amd64.deb не идет на Орле, даже лога нет в /var/log/kaspersky

И действительно, после установки вручную на Astra Linux Орел 2.12 другого пакета - klnagent64_11.0.0-38_amd64.deb - служба сразу запустилась, и машинка стала видна со стороны KSC.

Нашел интересное: kesl-astra_11.1.0-<номер сборки>_amd64.deb Содержат основные файлы Kaspersky Endpoint Security. Пакеты можно установить в операционной системе Astra Linux Special Edition. https://support.kaspersky.com/KES4Linux/11.1.0/ru-RU/196582.htm Так как Astra Linux Орел 2.12 - это не есть Special Edition, то похоже ему пакет klnagent64-astra_11.0.0-38_amd64.deb не подходит

Посмотрел причину, по которой служба не запустилась. В стартовом скрипте была попытка запустить execaps, которой в Astra Linux Орел 2.12 НЕ ОКАЗАЛОСЬ testert@astra-test:~$ sudo systemctl status klnagent64.service ● klnagent64.service - LSB: Kaspersky Network Agent Loaded: loaded (/etc/init.d/klnagent64; generated; vendor preset: enabled) Active: failed (Result: exit-code) since Thu 2020-12-24 16:48:27 +05; 4min 20s ago Docs: man:systemd-sysv-generator(8) Process: 1076 ExecStart=/etc/init.d/klnagent64 start (code=exited, status=127) дек 24 16:48:27 astra-test systemd[1]: Starting LSB: Kaspersky Network Agent... дек 24 16:48:27 astra-test klnagent64[1076]: /etc/init.d/klnagent64: строка 86: execaps: команда не найдена дек 24 16:48:27 astra-test klnagent64[1076]: klnagent not started: unknown code 127 дек 24 16:48:27 astra-test systemd[1]: klnagent64.service: Control process exited, code=exited status=127 дек 24 16:48:27 astra-test systemd[1]: Failed to start LSB: Kaspersky Network Agent. дек 24 16:48:27 astra-test systemd[1]: klnagent64.service: Unit entered failed state. дек 24 16:48:27 astra-test systemd[1]: klnagent64.service: Failed with result 'exit-code'. tester@astra-test:~$

После того, как в задаче установки был указан верный пароль - задача завершилась успешно, в KSC стала зеленой. Однако агент на машине не запустился. В списке служб он появился, но висит со статусом failed:

Есть KSC 12.2 с установленным плагином версии 11.1.0.78 для KES 11.1.0 для Linux (mmc-консоль). Создал по документации инсталляционный пакет для агента (klnagent64-astra_11.0.0-38_amd64.deb) https://support.kaspersky.com/KSC/12/ru-RU/137593.htm Хочу установить пакет агента по сети на Astra Linux Орел 2.12.29 (все пакеты обновлены до актуальных версий) При установке этого пакета задачей KSC обнаружил некорректное поведение; если в задаче установке KSC указан неверный пароль учетной записи для подключения по ssh - то вместо вменяемой ошибки авторизации, задача обругается странно: 24 декабря 2020 г. 15:47:40 Завершена с ошибкой Возможно, устройство отключено от сети. 24 декабря 2020 г. 15:47:41 24 декабря 2020 г. 15:47:39 Выполняется Копирование файлов на указанное устройство... (192.168.150.206) 24 декабря 2020 г. 15:47:39 24 декабря 2020 г. 15:47:37 Ожидает выполнения 24 декабря 2020 г. 15:47:37 При этом в auth.log видны следы подключения со стороны KSC: Dec 24 15:47:38 astra-test sshd[1420]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.x.x user=tester Dec 24 15:47:40 astra-test sshd[1420]: Failed password for tester from 192.168.x.x port 52278 ssh2 Dec 24 15:47:40 astra-test sshd[1420]: Received disconnect from 192.168.x.x port 52278:11: Goodbye. [preauth] Dec 24 15:47:40 astra-test sshd[1420]: Disconnected from 192.168.x.x port 52278 [preauth]

Через некоторое время после обращения в CA (INC000012040017) они признали ошибку, и системные требования были исправлены. Теперь пишут: Microsoft .NET Framework 4.0 или выше.

Нашел свою старую тему - там проблема проявлялась на KES11.1.1 при долгой работе компов без перезагрузки. KES уставал. В версиях KES 11.2 и выше - такой проблемы я уже не встречал. Link Если у вас проблема проявляется на регулярно перезагружаемых компах - возможно это совсем другая проблема. Например, конфликты с другими средствами защиты, особенно отечественными. Тогда стоит для теста снеси эти средства защиты на паре машин, и понаблюдать. Также, стоит посмотреть в сторону более новых сборок, KES 11.1.0 уже довольно старая, и даже формально сертифицирована не была. После используемой вами сборки, вышло уже пять обновленных сборок KES11

Встречалось такое на старых сборках KES11, если комп работает несколько недель без перезагрузки. Именно без перезагрузки, т.к. Win10 по умолчанию только имитирует выключение, а на самом деле уходит в сон. Обходил проблему, из KSC остановив и снова запустив KES на проблемной машинке. После этого запускал задачу обновления баз - и все обновлялось успешно. В более свежих сборках KES11 эту проблему исправили, KES уставать перестал.

Пожалуй, двойная проверка трафика базами Касперского - действительно выглядит избыточной. А вот с фильтрацией сайтов по категориями - стоит хорошенько протестировать не себе. KWTS недавно тестировали у заказчика, и уперлись в проблему позднего зажигания - при запрете категории например порносайтов, при заходе на малоизвестные сайты (которых нет в локальной базе) - категория сайтов определяется через KSN. И это происходит асинхронно. Для пользователя это выглядит так, будто бы порносайт открылся и доступен в течении 1-2 мин, потом до KWTS доходит, и последующие запросы к этому сайту уже блокируются. Пока что веду по этой проблеме переписку с СА, но внятного решения не видно. Писал об этом на форуме: Link

Из СА потихоньку отвечают, но толку пока нет. Сначала запросили GSI с Event-логами и политику агента, потом попросили в политике закрыть замок в настройках точек распространения (хотя они не используются), потом прислал еще три отчета GSI - где видно поведение агента с отключенной и не-отключенной службой, с антивирусом и без. Теперь трассировки попросили. Заметил, что на всех серверах агент пытается теребить службу KSN-прокси четыре раза в день, с разбросом плюс/минус несколько минут: 00:30, 06:30, 12:30 и 18:30

Есть Kaspersky Web Traffic Security 6.1.0.4762, установленный на физическом сервере. Нагрузки пока нет, только два человека проверяют качество фильтрации. Столкнулись с проблемой "позднего зажигания" при запрете доступа к сайтам по категориям 1. Создали политику, которая применяется ко всем адресам локальной сети. Инициатор = 192.168.1.0/24, действие - запрет, и задано несколько категорий. 2. Обращаемся на сайты из запрещенных категорий, которые находим через поисковик Плохой сайт открывается, правило не доступа kwts не срабатывает. Таких сайтов МНОГО. Например, сайт некоторого казино. 3. Через несколько минут снова пытаемся открыть этот же сайт. И уже тогда KWTS блокирует этот сайт. Похоже, категория сайта определяется слишком долго, и пока не определилась - доступ предоставляется. Если проверить сайт через https://opentip.kaspersky.com/ - он прекрасно показывает категории, в том числе и запрещенную правилом на KWTS Лотереи Азартные игры, лотереи, тотализаторы Казино, карточные игры Сталкивался ли кто из пользователей KWTS с подобным?

Завел по этому вопросу INC000012062455

Нет. На всех серверах, где я отключал службу - желтые события есть. Только один сервер валит эти ошибки в журнал Application, и они бросались в глаза. А все остальные сервера - по-тихому ругались в Kaspersky Event Log А вот есть ли способ заставить агент не дергать службу KSN прокси, и как следствие - не засорять журналы - я тоже хотел бы знать

На тех серверах, где сегодня отключил службу KSN-проки - тоже стали появляться желтые события в Kaspersky Event Log.

Смотрю дальше - на всех остальных серверах, где отключена служба “Прокси-сервер Kaspersky Security Network” - ошибки про >>> Update & retranslation task: ^^^ Could not get PRCP-proxy to component (KSN). #1195 Resource is unavailable стабильно сыпятся каждые 6 часов, но в собственный журнал Kaspersky Event Log

Посмотрев логи, удалось найти момент, с которого начался спам событий. Это началось месяц назад ровно в день отключения службы “Прокси-сервер Kaspersky Security Network”, которая по умолчанию имела тип запуска “Вручную”, и периодически дергалась агентом. На некоторых других серверах служба “Прокси-сервер Kaspersky Security Network” у меня тоже отключена, но спама в Application нет. Возможная причина - что ни сам сервер, ни служба Агента KSC с момента отключения службы прокси ни разу не перезапускалась. Сейчас перезапустил службу Агента, и буду посмотреть - поможет ли.