[Блокировка локальных(только локальных) принтеров]

День добрый.

Настройте в сетевом экране правило блокировать входящие пакеты TCP на 139, 445  порты (правда отвалятся и шары на клиентах).

Тогда печать по сети будет невозможна. В случае необходимости печати сможете добавить разрешающие правила на конкретных клиентов.

Нужно сделать ровно наоборот. Заблокировать локальные. Оставив возможность печати на сетевые, контролируемые, принтеры.

[Блокировка локальных(только локальных) принтеров]

Добрый день!

 

Подскажите, правилами контроля устройств можно ограничить доступ только к локально подключенным принтерам?

 

Есть задача принудить пользоваться сетевыми принтерами.

Но в правилах контроля есть отдельно блокировка принтеров (я так понимаю всех вообще, полный запрет печати) или шины данных (USB - блокировка всех устройств USB).

Реализовать блокировку локально (проводком) подключенных принтеров возможности нет? USB принтеров, не LPT (не думаю, что такие остались).

 

[Экспорт импорт правил межсетевого экрана]

Добрый день, lorder.

Поспешили Вы с переходом на 11.5.

Возможно. Но я просил и ждал экспорт/импорт несколько лет. Еще, кажется с с 9-й версии.

У меня тоже криво работает импорт. Даже не хочется описывать все варианты того как это выглядит.

Проблему с именами я проверил на трех KSC и на версиях 12.0.0, 12.1, 12.2. Везде она остается в неизменном виде.

Но техническая поддержка, вместо того, что-бы импортировать мой простой маленький XML  файл, увидеть проблему, и выдать заключение, по своему обыкновению просит собрать getsystemino и трассировки именно с моих серверов. Не понимаю зачем.

Как у Вас при экспорте получился такой маленький xml файл?

Этот файл я сделал сам. На основе экспорта. Потихоньку разбираюсь в структуре. В целом там почти все понятно, есть несколько атрибутов, назначение (или правила формирования) которых я не могу выяснить. Но в целом для редактирования уже всё понятно. Всё работает, кроме бага с именами при совпадении портов в правилах.

При чем этот баг наблюдается их XML, без всяких попыток редактирования.

Я рекомендую создать универсальную политику (профиль политики) со всеми возможными настройками сетевого экрана, а затем её (его) копировать и удалять лишние правила.

Но у меня другая задача. Сделать простую политику с запретом. И добавлять только то, что нужно (по заявкам).

[Экспорт импорт правил межсетевого экрана]

Добрый день, комьюнити.

 

Может кто-то с последними версиями KSC и KES выполнить у себя небольшую проверку работы импорта/экспорта настроек сетевого экрана.

Для проверки надо

Создать пустую политику KES11.5.

В правилах для пакетов сетевого экрана создать три новых правила. Все три правила разрешить:

1. входящий доступ на 3389 порт.
2. С любого на любого IP
3. Разные имена правил (типа Правило 1, Еще правило 2, другое правило 3)
4. Экспортировать правила фильтрации в XML
5. Импортировать правила фильтрации из XML

У меня, в случае если порты в правилах полностью совпадают, после импорта все правила получают одно имя, первое. (Несмотря на то, что в XML файле имена у правил разные).

 

PS: Можно просто импортировать файл, который я приложил. И сказать, разные имена правил получились, или одинаковые.

 

Спасибо!

[Пропадает подключение к подчиненным серверам]

НА центральный сервер администрирования заведено около 15 подчиненных. Позавчера центральный сервер обновили с версии 11.0.0.1131 до 12.0.0.***.

Сегодня обнаружили, что пропадают подключения к подчиненным серверам.

Раньше при обновлении центрального сервера связь с подчиненными сохранялась.

 

Но дело даже не в версиях.

Один из подчиненных серверов тоже обновили, связь не появилась. После чего удалили связь и подключили заново. Связь восстановилась, по через пол часа проверили - опять отсутствует подключение к подчиненному серверу. Скриншот вставил.

Это ошибка при подключении с главного к подчиненному серверу. Оба сервера обновлены до последней версии KSC. ПОдчиненный сервер был ПЕРЕПОДКЛЮЧЕН

 

[Xiaomi MDM рабочий профиль.]

На нескольких разных устройства протестировали KES для мобильных устройств со включенным рабочим профилем, ни на одном устройстве он не заработал нормально.

Добавили обязательное ПО, и оно нигде не ставится, либо черный экран на устройстве, либо вообще ничего не происходит.

На самсунге все прошло хорошо. Подозреваю, что есть какая-то несовместимость с MIUI

Кто-то этот вопроc изучал? Xiaomi в топе по распространенности, думаю, на этих устройствах все должно быть оттестировано и работоспособно, а получилось, что нет

[Проблемы после автопатча до KES 11.1.1.126]

@lorder , если эта та самая проблема, которая была у меня 5 лет назад на некоторых машинах и потом ещё пару раз возникала, то очень печально. В безопасный режим загружаться на каждой и через KavRemover зачищать от текущей версии KES.

У меня тоже именно при обновлении на новую версию происходило, а не при чистой установке.

В моём случае проблема очень редкая, но имеет место быть, не массово.

Да, проблема похоже такая же. На части компьютеров при установке автопатча устройства в диспетчере устройств отвалились.

На экране у пользователей после перезагрузки ПК ошибка 

 

Вам поддержка, я так понял, ничего полезного не сказала. А т.к. проблема была на предыдущих версиях, думаю доверять автопатчам нельзя совсем. Ну нафиг.

[Проблемы после автопатча до KES 11.1.1.126]

Вчера этот автопатч начал устанавливаться, сегодня десятки заявок “не работает мышь”.

В консоли KSC агент неактивен, антивируса нет, связи с ПК нет.

Локально заблокированы USB и, похоже, сеть.

 

Есть решение как быстро восстанавливать работу ПК?

[KES11.1 - ОС ругается на лицензию]

productstate : 266240

В общем у клиента код 3424256.

Наверное вопрос решен. Выход-вход из антивирусного ПО - код обновился, и теперь 266240. Спасибо!

[KES11.1 - ОС ругается на лицензию]

productstate : 266240

В общем у клиента код 3424256. И такого кода, насколько я понял. Вообще быть не может. Он переводится в HEX и по две цифры: (ТИП / СТАТУС / СТАТУС СИГНАТУР) 266240 -> 41000 -> 04/10/00 -> Антивирус/запущен/обновлен 3424256 -> 344000 -> 34/40/00 - Что это такое, не понимаю. $SECURITY_PROVIDER = switch ($WSC_SECURITY_PROVIDER) { 0 {"NONE"} 1 {"FIREWALL"} 2 {"AUTOUPDATE_SETTINGS"} 4 {"ANTIVIRUS"} 8 {"ANTISPYWARE"} 16 {"INTERNET_SETTINGS"} 32 {"USER_ACCOUNT_CONTROL"} 64 {"SERVICE"} default {"UNKNOWN"} } $RealTimeProtectionStatus = switch ($WSC_SECURITY_PRODUCT_STATE) { "00" {"OFF"} "01" {"EXPIRED"} "10" {"ON"} "11" {"SNOOZED"} default {"UNKNOWN"} } $DefinitionStatus = switch ($WSC_SECURITY_SIGNATURE_STATUS) { "00" {"UP_TO_DATE"} "10" {"OUT_OF_DATE"} default {"UNKNOWN"} }

[KES11.1 - ОС ругается на лицензию]

productstate : 266240

Интересно, на проблемном клиенте этот код 3424256. Гугл пока молчит, другие коды нашел, эт от не нашел.

[KES11.1 - ОС ругается на лицензию]

У вас базы АВ точно обновляются, насколько актуальны на данный момент?

Точно. Первым делом решили, что на компьютер на пришла лицензия с сервера. Проверили на экране лицензий - все хорошо, ключ свежий, активный. Проверили работу антивируса - базы скачиваются. Актуальны.

Никаких проблем с переводом времени на несколько месяцев вперёд/назад не происходило?

Вроде нет. На момент проверки время правильное. ПК в домене, пользователи не админы, время с контроллеров. Проблема только на KES 11.1. Но, при этом, не на всех.

[KES11.1 - ОС ругается на лицензию]

После обновления лицензии с сервера KSC 11 от пользователей идут жалобы. Win10 показывает свое стандартное синее окно о том, что лицензия на антивирусную защиту закончилась и надо бы обновить. Хотя реально смотрели на клиенте - лицензия установилась, KES 11.1 работает нормально, базы обновляет и все с ним хорошо. Но вот ОС это похоже не замечает и ругается каждое утро. Как с этим бороться?