Kommunist7304

Прошу прощения за дезинформацию, да нужна расширенная лицензия.

Если есть возможность, то установите полноценный WSUS, т.к. тот функционал что есть в KSC это далеко не тоже самое. Обновления при KSC в роли WSUS-сервера будут также качаться каждым клиентом индивидуально с интернета, как будто WSUS и нет, просто в KSC будет возможность ограничивать на установку обновления, которые вам по каким-то причинам не понравились. У полноценного WSUS можно более подробные отчеты смотреть, все обновления сначала скачиваются на сервер, а потом с него раздаются в локальной сети (канал свободен и снижается нагрузка при большом количестве АРМ в сети) и полноценная возможность скачивать апгрейды, т.е. для Windows 10 это позволит переходить на новые билды распространяя централизованно, а не пиная каждый АРМ отдельно. Для работы KSC с ролью подобия WSUS достаточно стандартной лицензии.

Надо делать запрос в ФСБ в случае проверки ими они будут каким образом рассматривать "для обеспечения собственных нужд" по различным сценариям и уточнять есть ли у них ДСП которыми они руководствуются, а то у ФСТЭК есть такая привычка ДСП использовать и по ним наказывать. А о существовании ДСП узнаешь в момент проверки, а получить можно по специальному запросу и в лучшем случае через несколько месяцев.

Мда, я пропустил фразу.

Под распространением понимается также установка на ПК организации сотрудником организации. Под использованием понимается использование уже установленного и настроенного продукта. Если вы поставили дома на свой личный пк - проблемы нет. Если сотрудник ставит на ПК организации за которым он постоянно работает - то это все равно рассматривается как распространение, настройка и пуск в работу. А так как пуск в эксплуатацию подразумевает пуско-наладочные работы (или настройка по-простому) то т.к. данная деятельность относится к лицензируемой, то даже в тестовом виде на предприятии этого делать нельзя. На личный (домашний) ПК это не распространяется, т.к. он для личного использования, кроме случаев когда на личном ПК ведется коммерческая, благотворительная или государственная деятельность. Все это подразумевается для продуктов с модулями шифрования превышающую разрешенную законом криптостойкость требующую лицензирования, за исключением случаев оговоренных законом. Насчет распространения - достаточно разместить сервер на территории необходимого государства или союзного ему если это позволяет законодательство страны.

Вот вы ссылаетесь на умный документ "ПОСТАНОВЛЕНИЕ правительства от 16 апреля 2012 г. N 313", но при этом похоже сами его даже не открывали, т.к. там через предложение идет фраза "сертифицированных Федеральной службой безопасности Российской Федерации". Криптоалгоритмы по ГОСТ сертифицированны ФСБ РФ на территории России, а AES - нет. AES 56 на территории РФ использовать можно банально из-за того, что длина ключа короткая и предполагается что ФСБ собственными силами не имея закрытого ключа расшифруют ваши данные, а шифрование с криптоалгоритмом AES с длинной ключа более 56 они самостоятельно не смогут расшифровать в каких-то видимых им одним сроках. Если не смогут, значит использовать нельзя. Научатся быстро расшифровывать (не знаю какой срок считается быстро: может сутки, а может месяц) и правительство (или сами ФСБ если им разрешат) издадут постановление о новой предельной длине ключа (допустим 128) на алгоритмы шифрования. Также в данном постановлении указывается множество условностей: кому, зачем, при каких условиях и почему можно использовать более стойкое шифрование, а кому нельзя шифровать даже методом Цезаря. Опять-таки при использовании криптостойкого шифрования даже по ГОСТ вам придется пройти десять кругов ада оформляя необходимые документы, покупая сертифицированное ПО и оборудование, нанять необходимый штат безопасников/секретчиков/юристов согласно тех же требований ФСБ, а ещё получить лицензию если вы собираетесь это оборудование и ПО самостоятельно для себя своими силами настраивать (тут даже нет речи кому-то на сторону оказывать услуги). Конторы которые могут вам это провернуть в каждом подвале не найдешь, а тот же НПО "МАРС" долго будет вас футболить даже после уплаты денег за работу. В общем и целом если вы собираетесь использовать шифрование для 5 пк в среде друзей - то никому вы не нужны, поэтому хоть шифрование 50 века используйте, а если кто-то покрупнее, то хотите-не-хотите, но придется подстраиваться под требования законодательства.

тема на старом форуме ещё тема на старом форуме

В неуправляемом клиенте действительно доступа теперь нет к отчетам проверки на уязвимости. Только остался принудительный запуск через агента администрирования инициированного со стороны KSC. Я изначально неправильно понял ваш вопрос упустив часть что вам интересен именно режим неуправляемого клиента. Вообще как таковой функционал работает, просто теперь нельзя просмотреть список уязвимых приложений, т.к. правила применяются "на лету" функционалом "защита от эксплойтов" в двух доступных режимах: 1) на основе локальных баз если KSN недоступен или отключен 2) на основе данных из KSN если он доступен и включен. В "отчеты - защита от эксплойтов" можно просмотреть попытки эксплуатации уязвимостей, но не наличие известных уязвимостей на заданном хосте в данный момент времени.

На мелкие отвечу, т.к. есть чем бумагу замарать: По 1 вопросу надо ждать ответ от кого-то официального, но если KES управляется через KSC то проблемы нет. 2) Сканер уязвимостей никуда не делся, просто его немного переделали чтобы он ресурсы не жрал как не в себя.

У KSC 11 сейчас одна заметная проблема - это новый агент. Если обновить KSC до новой версии, но при этом ставить (или оставить если уже есть) агент администрирования версии 10.5.1781 (с патчем a), то все работает хорошо. Если и агент администрирования обновлять до новой версии, то это действительно требует вдумчивого тестирования, т.к. у меня (ну и не только у меня если почитать темы) очень много с новым агентом проблем вылезло, т.к. он на части ПК тупо начинает падать. В итоге я получил стабильную связку: KSC11 агенты администрирования 10.5.1781a KES 11.1 на АРМ KSWS 10.1.1 на серверах

11.0.0.6499 лучше без лишней нужды вообще не использовать, а как минимум обновляться на 11.0.1.90, т.к. 11.0.0.6499 - это по большей части бета-релиз в том виде сколько проблем он создает. По итогу имеем что надо использовать: 11.1.0.15919 если не требуется сертифицированная версия. 11.0.1.90 если требуется только сертифицированная версия.

Особенность в том, что KES 11 уже 3 коммерческих/публичных версии (билда): KES 11.0.0.6499 (довольно глючный даже если в целом все без приключений, по правде выглядит как бета-версия, а не релиз) KES 11.0.1.90 (большинство косяков исправили и жить можно) KES 11.1.0.15919 (вроде как пока самый стабильный и беспроблемный) Я держу везде версию KES 11.1.0.15919 на данный момент и с ним проблем не наблюдаю. На версии KES 11.0.0.6499 я и сам писал кучи гневных тем что в таком виде его выпускать было нельзя, а KES 11.0.1.90 исправил большинство проблем и в целом довольно хорош собой и по идее в таком виде и должен был быть релиз, не заставляя клиентов выполнять роль бета-тестеров. В изначальном сообщении про билды версий вообще ничего не сказано и из-за этого непонятно как помочь в решении проблемы.

Да, они это серьезно. Также пакет заметно подрастает при обновлении баз, поэтому я таким лично балуюсь редко, раз в полгода. Также если данный пакет находится в режиме автоустановки также приходится временно отключать данную возможность, а после обновления баз в пакете заново включать и перенастраивать.

Конкретно на серверах все-таки лучше использовать KSWS 10.1.1 и новее. Сам лично пользовался KES 8 на серверах, но это было очень давно и после появления линейки KSWS (изначально назывался антивирус касперского для windows servers enterprise edition) понял насколько он шустрее, стабильнее и беспроблемнее в целом. Рекомендую. Насчет аналогичных проблем на Windows 7 - тут проблему лечу обновлением до KES 11.1.

Пробовали отключать антивирус, проблема также проявляется?

Банально из-за того что некоторые версии имеют модифицированные исполняемые файлы (пиратки), либо старые версии которые подписаны скомпрометированными сертификатами. Запустите WSUS и настройте обновление всех ПК с него (ну или хотябы стандартный Windows Update включите и разрешите обновляться автоматом). У вас станет по итогу несколько разных версий (по версиям ПО 2003/2007/2010/2016), а не десятки. Все версии будут актуальными и в доверенных. Самое первое что нужно сделать как я написал: это актуализировать до новейших доступных по имеющимся лицензиям версий.

Чтобы обновить сервер администрирования достаточно скачать новый дистрибутив необходимой вам версии (новее чем установлен сейчас) и запустить его на установку. Он найдет установленный KSC и если у вас достаточно прав (из под обычного пользователя не хватит прав) автоматически обновит до более новой версии (та что в скачанном дисстрибутиве).

При обновлении KSC до новой версии новый агент администрирования автоматически добавляется в список инсталляционных пакетов. У вас он не появился или вы его уже успели оттуда удалить?

Проведите проверку диска на ошибки, похоже он помирает.

На KES 11 и KSWS 10.1.1 у меня каких-либо видимых и регистрируемых проблем с установленными данными обновлениями нет. Про другие версии ничего не могу сказать, т.к. эксплуатирую везде только вышеуказанные версии.

Для начала необходимо в политике агента администрирования отключить передачу данных об обновлениях Windows сняв соответствующую галочку на вкладке "хранилища". Потом запустите инвентаризацию и информация о статусе обновлений удалится (удалятся привязки для тех ПК, где инвентаризация успешно пройдет и данные успешно отправятся на сервер администрирования). Если вы хотите информацию из данного раздела удалить без проведения процедуры повторной всеобщей инвентаризации, то вам необходимо создать запрос через CompanyAccount. Контроль обновлений Windows очень полезный функционал и позволяет в сетях без WSUS контроллировать актуальность ОС. Чем он Вам помешал мне непонятно, но у каждого свои причины. Лично мне хотелось бы расширение возможностей данного функционала, но даже то в каком виде он есть - уже хорошо.

Вы пробовали убрать галочку "проверять защищенные соединения" в разделе "общие параметры" - "Параметры сети"? Я заметил что данная галочка мешает работе очень большого спектра сайтов по https, да ещё вдобавок локальных приложений, таких как Skype, WinPower и многие другие. Временно пришлось её отключить. После убирания данной галочки и включения всех необходимых вам компонентов необходимо перезапустить ПО в котором наблюдались проблемы (в идеале вообще перезагрузить ПК на случай если у вас проксируется работа приложений и служб).

Запустите задачу инвентаризации. У меня запускается раз в неделю и соответственно список обновляется до актуальной версии.

BIOS материнской платы обновлен до последней доступной версии на АРМ где наблюдается проблема? У меня такая проблема была на материнке на 1366 сокете где виделось 2 планки из 3 в KSC. Обновление BIOS решило проблему. Также можно обновить KSC и агенты администрирования, а KES оставить старой версии. KSC 10.5.1781a и соответствующие агенты администрирования точно работают на Windows XP. На Kaspersky Security Center 11 версии 11.0.0.1131 переходить пока не рекомендую, т.к. что-то он какой-то излишне проблемный.

Нужно запрещать запуск исполняемых файлов с любых устройств, а в исключение добавить windows и program files. Пока у пользователей не запрещен запуск чего ни попадя на АРМ всегда есть риск что шифровальщик шифранет все данные на компе и в сетевой шаре, а это гемора принесет гораздо больше. Что-то решение проблемы не с той стороны вы начали сударь.