Kommunist7304

KES - это версия для клиента, с допилкой совместимости с сервером, KSWS - это версия для сервера. Отличаются значительно, распивать довольно долго. На серверы рассматривать KSWS нужно в первую очередь, чтобы управлять им с сервера нужно на сервере иметь плагин управления и политику именно для KSWS, одна политика “на все поряд” с разными продуктами работать не будет, соответственно получается минимум 2 политики: для KES - клиенты для KSWS - серверы Если разные клиенты/серверы должны работать с разными настройками/правами/ограничениями, то соответственно групп и политик в KSС нужно будет делать несколько (хотите клиентов разграничить на 5 условных групп, соответственно для клиентов будет минимум 5 политик, но я лично кроме активной политики сразу же в каждой группе создаю дополнительно автономную политику).

В документации администратора вся эта информация есть. Если кратко: Можно создать дистрибутив для ручной установки, активировать можно как вручную с помощью файла ключа, так и включить этот файл в автономный установщик. а) Если KSC в пределах той же локальной сети, то обновляем его, а клиенты обновляются с него; б) если KSC в отдельной локальной сети, то обновления можно на одном из клиентов копировать в отдельную папку (или использовать для этого отдельную утилиту kaspersky update utility для скачивания обновлений), а потом других клиентов сети настроить на обновление из этой папки (хоть локально, хоть по сети, главное чтобы они имели доступ к этой папке). Крайне желательно чтобы версии клиентов и их билды были одинаковы во всех сетях (ещё лучше чтобы билды были одних из последних версий), тогда потенциальных проблем будет в разы меньше. Также желательно чтобы хотя бы KSC имел возможность качать обновления из интернет самостоятельно, а не вручную к нему эти обновления таскать, т.к. если вы уйдете в отпуск/заболеете/уволитесь, то соответственно сервер тут же перестанет получать обновления и клиенты будут подвержены повышенному риску заражения.

Лично у меня была ситуация с 2 ключами в одном KSC и если у одного ключа стоит галочка “автоматически распространяемый”, то он пытается перебить все остальные (если срок действия автоматически распространяемого ключа больше чем ручного, то он встает либо как основной, либо как дополнительный, если же срок у автоматически распространяемого ключа меньше срока ручного распространяемого и программа уже активирована коммерческим ключом, то не заменяет, однако надо ручной распространять с отжатой/убранной галочкой “ставить как дополнительный если есть активный ключ”), поэтому в пределах одного KSC лично по своему опыту рекомендую иметь либо один ключ, либо если ключей больше 1, то ни у одного из них не ставить галочку “автоматически распространяемый”, а распространять задачей активации вручную на заданные ПК.

Sure Start Secure Boot Key Protection от HP необходимо отключить в настройках BIOS, т.к. MS официально заявили что если оно установлено в активное положение, то при установке очередных обновлений ОС Windows 10 система может падать в BSOD. Если данный компонент вам необходим, то необходимо удалить обновление KB4524244 - это обновление отзывает подпись у загрузчика с диска Kaspersky Rescue Disk, входящего в состав KES, поэтому в Вашем случае обновление KES до актуальной (11.1.1.126 и новее) версии должно было решить проблему (Обновляться нужно методом удаления старой версии, перезагрузки ПК и установки новой версии. Установка поверх старой версии крайне нежелательна).

KES 11.0.0.6499 официально несовместим с Win 10 Pro build 1903. Вам нужен новый медиапак с более новой версией. То что у вас не было проблем до НГ, означает лишь то, что их пока не было. Кстати в формуляре вашей сертифицированной версией сказано что минимум раз в 180 дней нужно проверять на наличие более новой сертифицированной версии, почему вы данное требование не исполняете - неизвестно.

Если данные устройства легально куплены в магазине (или у какого-то поставщика) и в них изначально в документации заявлено это как один из функционалов - то проблем точно не будет. Тут вопрос упирается в то, что будете ли вы использовать только для своей организации или будете трансгранично передавать, обрабатывать себе или другим юрлицам. Храните ключи шифрования на бумаге в сейфе чтобы в случае чего передать их ФСБ если им захочется почитать вашу “коммерческую тайну”. Коммерческая тайна у вас помечается в соответствии с законом или просто все в одну кучу (внутренняя переписка/корпоративные фоточки/чертежи и прочее)? Просто если вы называете коммерческой тайной все подряд, но при этом у вас нет установленного законодательством порядка работы с ней, то следует сначала нормативно это проработать, т.к. шифрование - шифрованием, а нужно ли это или лучше запретить пользоваться флешками вовсе.

В общем как уже общеизвестно в браузерах Mozilla Firefox и Google Chrome добавлена поддержка технологии DNS over HTTPS (уже довольно давно на самом деле). Самый смак что включить её использование можно постановкой одной-единоственной галочки в настройках (т.е. даже по параметрам в about:config не надо лазить). Вот тут-то и вылезает проблема: при включении данной галочки ни веб-контроль, ни блокировка на уровне DNS уже не работает и получается что пользователю не нужно ставить ничего запрещенного в организации (дополнения, сторонние программы или что-то иное), а достаточно штатными средствами браузера обходить блокировки. DPI провайдера это пока не обходит и на сайты экстремисткой направленности не заходит, но думаю что через пару обновлений браузеров это отладят. Собственно вопрос как с этим намеревает бороться ЛК, т.к. раньше я блокировал установку расширений/дополнений, но сейчас это делать бесполезно, т.к. функционал есть в самом браузере "из коробки". Можно конечно вручную выставить параметр network.trr.mode=0 (1, чтобы Firefox выбрал самый быстрый вариант; 2 - попытка соединиться через TRR и в случае неудачи подключается через родной DNS: 3 – чтобы использовать только TRR; 4 – теневой режим: запускает TRR параллельно со стандартным DNS для синхронизации и измерений, но использует только результаты стандартного резольвера; 0 – чтобы отключить TRR по умолчанию, 5 – чтобы отключить TRR по выбору) в Mozilla Firefox, но пользователь может грохнуть профиль или также этот параметр исправить обратно на двойку. С хромым (и соответственно всех браузеров на движке Chromium) вообще неясно как заблокировать/отрубить. Например в Веб-контроле YouTube блокировался как видеохостинг, стриминг видео и видео, да ещё по домену, а после постановки одной-единственной галочки в MF эта блокировка оказалась бесполезной. KES 11.1.1.126 AES56.

Список включенных приватных патчей за 3 месяца с релиза предыдущего билда впечатлил.

Если запрещать все что явно не разрешено, то работает. Если использовать списки категорий ЛК для блокировки, то они работают от случая к случаю.

Содержимое шифрованного https трафика смотреть не умеет и поэтому если на легитимном сайте обнаружится, допустим, троян, то каспер его заметит только когда он скачается на ПК, а не прервет на этапе загрузки. Теперича каспер (KES 11.1.0.15919) вставляет свой сертификат и HTTPS -трафик (при включенной галочке) гуляет через каспера. Тут получается легитимный вид атаки "человек посередине", но некоторые сайты и проги не любят когда их трафик разглядывают под лупой.

В версии KES 11.0.1.90 и более ранних такой возможности/функционала ещё не было, поэтому и проблемы не было. У меня часть исключений не отрабатывает из-за чего работать проблематично, поэтому и пришлось отрубить целиком.

Дело не в неправильности настроек, а в том, что KES научился вклинивается в HTTPS-трафик что некоторым приложениям или сайтам не нравится и они рвут соединение что для пользователя выглядит как неработающий сайт или программу, которая не может запуститься или выполнить свой функционал. Я долго ковырялся и самое простое решение - это убрать галочку "проверять защищенные соединения" в разделе "общие параметры" - "Параметры сети". Временно пришлось её отключить, но как только ЛК выпустят патч к KES, проблема уйдет. Установить будущий патч на KES довольно простое решение и на данный момент оно меня (с некоторыми оговорками, но такого чтобы было идеально все равно нет) устраивает.

В KES 11.1 добавили возможность более-менее полноценного контроля HTTPS-трафика и проблемы которые возникают из-за этого решаются убиранием одной-единственной галочки (и я сейчас не про защиту от веб-угроз, а про другую - описанную в этой же теме). Из-за этого переходить на более старую версию которого этого делать вообще не умела и поэтому некоторых сложностей не было (но зато было куча других) как-то странно. Если все-таки решите проигнорировать KES 11.1.0.15919, то обновитесь хотя бы до KES 11.0.1.90, т.к. в ней исправлено большинство нареканий, а кроме неё есть ещё 11.0.0.6499 - это самый первый релиз с наибольшим количеством багов (первый блин комом).

Насколько я знаю в новых медиапак кладут уже KES 11.0.1.90. А насчет слов @Zandatsu что он воспринял ваши слова как "ставлю что хочу в пределах одной версии", то я ваши слова прочитал точно так же и точно так же с ними не согласен что "что хочу, то и ворочу", а только прошедшие сертификацию (как и написал @Zandatsu). Опять же в самом формуляре KES 10 указано только 2 варианта обновления сертифицированной версии: новый медиапак или сертифицированный дистрибутив с https://certifiedbuilds.kaspersky.ru/. Надеюсь другие пользователи воспримут ваши слова в том виде, который согласуется с позицией ЛК и контролирующих органов, а не том, в котором им удобнее.

Там задается режим работы: черный список или белый. В зависимотси от того как будет настроено будет либо режим белых списков, либо черных. Блокирование расширений вообще непонятно как работает, т.к. даже в режиме блокировки всех расширений в одном браузере не грузит ничего, а в другом качай и ставь что хочешь.

BSOD может быть по разным причинам. Например когда-то существовала проблема что если драйвер сетевой карты очень старый могло наблюдать падение в BSOD и это исправлялось обновлением драйвера сетевой карты. Вы изучали какую ошибку выдает? Может у вас установлено какое-то несовместимое ПО?

Этот список до сих пор есть, однако в части блокирования работы веб-браузеров он работает весьма своеобразно: ставишь на блокировку категорию веб-браузеры и в итоге блокируется IE, Chrome и Edge, а о существовании других браузеров он как-будто не знает.

Запрещаем запуск исполняемых файлов отовсюду кроме каталогов Windows, Program Files и Program Files x86. Отбираем права админа. Папку Temp перемещаем из каталога Windows в какое-либо иное место (например в корень диска) чтобы из неё не пытались что-либо запускать, т.к. если каталог Windows в исключениях, то и темп попадает. Вычищает все лишнее ПО с компов сотрудников (даже если будет много визга - пусть письменно объяснят зачем им прога нужна). Уже этих действий достаточно чтобы весь лишний софт попал под раздачу. Позднее дополните правила для прог которые запускают свои сервисы обновлений из иных каталогов (чаще всего из профиля пользователя), чем указаны в исключениях, но только прописывая полные пути, а не целыми каталогами. Под такую политику выдели пару тестовых компов чтобы на них правила корректно создать под ваши нужды, а потом распространите на всех.

KES 11.0.0.6499 довольно проблемная версия KES. У Вас есть возможность обновиться до KES 11.1.0.15919 или хотя бы до KES 11.0.1.90?

Я скачал дистрибутив и с помощью 7-zip распаковал его. Полазив по каталогам там можно увидеть всё - структура довольно простая и названия каталогов соответствуют сокращенным наименованиям продуктов.

Так происходит уже не в первый раз и уже давно стало правилом. Я как-то привык проверять дату изменения у дистрибутивов и если она обновляется, то перекачиваю.

Ну я блокировал запуск любых исполняемых файлов с переносных носителей, втыкал флешку сбера, пользователь запускал Start.exe и у него выскакивал балун "запрещено политикой" с кнопкой "запросить доступ". Пользователь нажимает на кнопочку и в консоли сервера администрирования прилетает запрос на разрешение запуска по хэш-сумме файла. Я добавляю файл по хэш-сумме в исключения и все прекрасно работает и подписывает.

Учитывая что патч А был релизнут в ноябре прошлого года, а актуальный дистрибутив лежащий на сайте ЛК от февраля этого года, то патч в дистрибутив уже должен быть интегрирован. Вы перекачивали дистрибутив? (Update) Специально ради вас перекачал дистрибутив и патч А в нем интегрирован. Патч вшит как для KSC, так и для входящего в пакет агента администрирования.

Вот что написано в формуляре KES 10: 6.5.Предприятие, осуществляющее эксплуатацию программного изделия, должно периодически (не реже одного раза в 6 месяцев) проверять отсутствие обнаруженных уязвимостей в программном изделии, используя сайт предприятия-изготовителя (https://support.kaspersky.ru/vulnerability), базу данных уязвимостей ФСТЭК России (www.bdu.fstec.ru) и иные общедоступные источники. 12.6.В случае обнаружения уязвимостей, изготовитель распространяет обновления безопасности потребителям. Для этого изготовитель:Доводит до потребителя информацию о наличии уязвимости и способах ее устранения путем рассылки по электронной почте, указанной при заказе программного изделия, и публикации на своем веб-сайте на странице https://support.kaspersky.ru/vulnerability;Проводит в установленном порядке сертификационные испытания обновления безопасности;Размещает обновление безопасности, измененную эксплуатационную документацию, обновленный сертификат соответствия (в случае переоформления) на странице https://certifiedbuilds.kaspersky.ru/;Потребитель, при получении указанной информации, предпринимает необходимые действия для обновления программного изделия, описанные в разделе 16. 16.2.Этапы жизненного цикла обновлений программного изделия от выпуска до применения: там здоровенная табличка - читайте сами. 16.3.Потребитель может получить обновление 3 типа следующими способами: 1.Приобрести новый комплект поставки программного изделия («медиа-пак»), содержащий обновление и эксплуатационную документацию в печатном виде, согласно комплекту поставки (см. п. 5.1), обратившись к дистрибьюторам АО «Лаборатория Касперского». 2.Загрузить обновление и комплект измененной эксплуатационной документации (включая эксплуатационный бюллетень) в электронном виде с веб-сайта АО «Лаборатория Касперского» (https://certifiedbuilds.kaspersky.ru). По итогу получается что медиапак можно использовать не более 6 месяцев после выхода более новой версии. Если у Вас периодическая проверка по журналу учета проверки новой версии ПО произойдет раньше истечения этого срока - значит и обновиться надо раньше. Срок действия сертификата указывает на максимальный срок действия, но он может быть снижен из-за различных причин: отозван службой сертификации, обнаружение критической уязвимости из-за которой выпустили новый сертифицированный дистрибутив и другие факторы, на которые организация - эксплуатант ПО не может повлиять. Также имеются гарантийные обязательства ЛК к дистрибутиву равному 12 месяцам с момент приобретения медиапака. Можно ли по этим гарантийным обязательствам обменивать медиапак на актуальный - я не знаю, т.к. не проверял. Учитывая что медиапак копеечный никогда этим не заморачивался, а просто раз в год заказывал новый медиапак.

Ну плагин новый лежит. По-хорошему чтобы не испытывать судьбу надо бы при обновлении KS до новой версии и плагин обновлять. Попробовал обновить на одном из некритичных серверов - в итоге как и предыдущая версия запросил перезагрузку. Даже у предыдущей версии это считалось багом, почему сейчас не исправили - непонятно. WS 2019.