Neil Ruan

收集脚本输出对于大多数与KATA相关的问题和疑问来说是必须的。 哪些信息 哪些文件 如何发现和拦截 举例说明 КАТА version and role: CN/PCN/SCN/Sensor /config/apt-va 文件包含人类可读的版本和角色。此外，您还可以在“migrate”行中查看节点是否从之前的KATA版本升级而来 Primary CN [product] name=kata-cn title=Kaspersky Anti Targeted Attack Platform version=3.5.0-1269 release=release master = yes sensor = yes timestamp = 1568700994 migrate = cn_role = pcn Standalone CN [product] name=kata-cn title=Kaspersky Anti Targeted Attack Platform version=3.6.1-713 release=release master = yes sensor = yes timestamp =1572445307.01 migrate = cn_role = cn Sensor node [product] name=kata-cn title=Kaspersky Anti Targeted Attack Platform version=3.6.1-713 release=release master = no sensor = yes timestamp =1583845362.98 migrate = cn_role = Virtual or hardware? /environment/dmesg.txt OR /var/log/messages OR /var/log/boot.log 在文件中搜索“DMI”条目。 Physical server [ 0.000000] DMI: HPE ProLiant DL560 Gen10/ProLiant DL560 Gen10, BIOS U34 06/20/2018 Virtual server [ 0.000000] DMI: VMware, Inc. VMware Virtual Platform/440BX Desktop Reference Platform, BIOS 6.00 04/05/2016 CPU /environment/cpuinfo.txt 滚动到文件底部。列出的每个“处理器”不是物理核心，而是虚拟“线程”，因此，例如，具有超线程功能的8核物理CPU在文件中将有16个CPU。请记住，CPU是从0开始计数的，因此对于16线程CPU，最后一个条目将为15。 processor : 15 vendor_id : GenuineIntel cpu family : 6 model : 79 model name : Intel(R) Xeon(R) Platinum 8158 CPU @ 3.00GHz stepping : 0 microcode : 0x2000050 cpu MHz : 2992.968 cache size : 25344 KB physical id : 0 siblings : 16 core id : 15 cpu cores : 16 apicid : 15 initial apicid : 15 fpu : yes fpu_exception : yes cpuid level : 13 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts mmx fxsr sse sse2 ss ht syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon pebs bts nopl xtopology tsc_reliable nonstop_tsc eagerfpu pni pclmulqdq ssse3 fma cx16 pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand hypervisor lahf_lm abm 3dnowprefetch ibrs ibpb stibp fsgsbase tsc_adjust bmi1 hle avx2 smep bmi2 invpcid rtm rdseed adx smap xsaveopt arat spec_ctrl intel_stibp arch_capabilities bogomips : 5985.93 clflush size : 64 cache_alignment : 64 address sizes : 43 bits physical, 48 bits virtual power management: RAM /environment/memory.txt 文件显示了free命令的输出。值以兆字节为单位，请注意“total”和“available”列。注意！忽略“free”列：尽管它的名字是free，但它实际上并没有显示可用RAM，而是显示了“available”列。 total used free shared buff/cache available Mem: 197308 63869 3634 6738 129804 125558 Swap: 0 0 0 HDD /environment/hdd.txt 请注意分区 /dev/sda* 和 /dev/sdb*。 如果存在 /dev/sdb* 分区，则您正在处理双磁盘安装，否则，它是一个磁盘安装。 注意！请务必检查硬盘分区大小和可用空间！KATA需要大量磁盘空间才能正常工作。 最重要的分区是： /dev/sda4 1.2T 894G 224G 80% /data←用于处理队列和隔离，KATA的主分区 /dev/sdb1 2.7T 1.4T 1.3T 52% /data/var/lib/kaspersky/storage ← 用于 EDR 数据：（来自端点传感器的遥测数据） Filesystem Size Used Avail Use% Mounted on /dev/sda3 367G 14G 335G 4% / devtmpfs 126G 0 126G 0% /dev tmpfs 126G 252K 126G 1% /dev/shm tmpfs 126G 4.1G 122G 4% /run tmpfs 126G 0 126G 0% /sys/fs/cgroup /dev/sda2 232M 32M 189M 15% /boot /dev/sda1 237M 5.5M 232M 3% /boot/efi /dev/sda4 1.5T 435G 955G 32% /data /dev/sdb1 2.7T 1.4T 1.3T 52% /data/var/lib/kaspersky/storage tmpfs 26G 0 26G 0% /run/user/998 tmpfs 26G 0 26G 0% /run/user/1002 tmpfs 26G 0 26G 0% /run/user/1001 DNS name /environment/hostname.txt 文件包含具体的主机名称 kata-cn IP address /environment/ipa.txt /environment/ifconfig.txt 这两个文件都包含有关网络接口和分配的IP地址的信息。 ifconfig命令被社区认为已经过时，但它可能很有用：它有助于识别SPAN接口。SPAN接口通常没有分配IP地址，但流量很大。此外，SPAN接口始终处于混杂模式：<UP，BROADCAST，RUNNING，PROMISC，MULTICAST> ipa.txt 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:50:56:9f:0e:77 brd ff:ff:ff:ff:ff:ff inet 10.200.178.85/23 brd 10.200.179.255 scope global ens192 valid_lft forever preferred_lft forever inet6 fe80::250:56ff:fe9f:e77/64 scope link valid_lft forever preferred_lft forever 3: ens224: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 00:50:56:9f:db:4d brd ff:ff:ff:ff:ff:ff inet6 fe80::250:56ff:fe9f:db4d/64 scope link valid_lft forever preferred_lft forever ifconfig.txt ens192: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 10.200.178.85 netmask 255.255.254.0 broadcast 10.200.179.255 inet6 fe80::250:56ff:fe9f:e77 prefixlen 64 scopeid 0x20<link> ether 00:50:56:9f:0e:77 txqueuelen 1000 (Ethernet) RX packets 604911116 bytes 747444631331 (696.1 GiB) RX errors 0 dropped 26 overruns 0 frame 0 TX packets 368814032 bytes 353073760300 (328.8 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 ens224: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet6 fe80::250:56ff:fe9f:db4d prefixlen 64 scopeid 0x20<link> ether 00:50:56:9f:db:4d txqueuelen 1000 (Ethernet) RX packets 437 bytes 135823 (132.6 KiB) RX errors 0 dropped 1125 overruns 0 frame 0 TX packets 8 bytes 656 (656.0 B) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6 ::1 prefixlen 128 scopeid 0x10<host> loop txqueuelen 1000 (Local Loopback) RX packets 19418334689 bytes 12053991732736 (10.9 TiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 19418334689 bytes 12053991732736 (10.9 TiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 SPAN interface eno2: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST> mtu 1500 inet6 fe80::42f2:e9ff:fecc:4343 prefixlen 64 scopeid 0x20<link> ether 40:f2:e9:cc:43:43 txqueuelen 1000 (Ethernet) RX packets 122540697216 bytes 104768065608116 (95.2 TiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 7 bytes 586 (586.0 B) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 device memory 0xbd5a0000-bd5bffff Sandbox server information /config/apt-agents-id 文件的底部包含有关连接的沙盒节点的信息：IP地址、证书指纹和状态：沙盒可能已连接，但已禁用。 [sandbox_node.sandbox1] host = 172.16.0.151 enable = yes fingerprint = C0:15:18:C8:11:46:11:BC:23:50:16:95:10:2D:FF:FA:4E:06:21:90:20:AA:CC:36:53:27:B8:BF:CF:5A:1A:9C Enabled integrations(SPAN, ICAP, etc) /config/preprocessor.conf 预处理器是负责主要KATA集成的组件：SPAN、SMTP、ICAP、POP3。 你应该在 preprocessor.conf 中查找相应的部分： 西班牙语：[流量] SMTP: [smtp_proxy] ICAP：[icap] POP3: [pop3] 对于每个部分，都有一行定义是否启用此集成： 启用=是/否 其他集成，如KSMG/KLMS/neneneba API，不容易通过收集脚本输出进行检查 Only SPAN is enabled [app] use_syslog=no trace_level=ERR cache_socket=localhost:6379 collector_url=http://centralnode:8081/apt/collector license_remote=no #this section applicable for sections: pop3, smtp_proxy and for traffic section but only for smtp preprocessor [mail] extract_urls=yes #file extensions of attachments which format recognizer is not used for file_extensions=dll,exe,com,java,js,jse,wsf,wsh,vbs,vbe,msi,deb,rpm,apk,zip,7z,rar,iso,cab,jar,bz2,gz,tgz,ace,arj,dmg,xsr,rtf,pdf,msg,eml,vsd,vdx,xps,xsn,odt,ods,odp,sxw,doc,dot,docx,docb,dotx,docm,dotm,xls,xlt,xlm,xla,xll,xlw,xlsx,xltx,xlsm,xltm,xlam,xlsb,ppt,pot,pps,ppam,sldx,sldm,thmx,pptx,potx,pptm,potm,ppsx,ppsm,pub,html,htm,hta,swf,jpg,jpeg,gif,png,tiff,chm,mht,cpl,ocx,pif,scr,bat,cmd,ps1,lnk,reg,msu,msp,z [traffic] enable=yes network_interfaces=ens6f0,ens6f1,ens5f1,ens5f0,ens5f3,ens5f2,eno1,ens3f1,ens3f0 pcap_snaplen=1600 pcap_cores= pcap_filter= checksum_validation=no buffer_size_limit=4096 tcp_threads_number=16 enable_dns=yes enable_http=yes enable_ftp=yes enable_ssl=yes enable_smtp=yes ftp_data_expired_timeout_in_seconds=60 ftp_data_supposed_max_size_in_bytes=10485760 [ksn] enable=yes #possible values of type are KSN or KPSN type=KSN timeout=500 non_dl_formats=GeneralHtml,GeneralTxt,ExecutableJs,ImageGif,ImageJpeg,ImagePng,ArchiveCab ksn_adapter_interfaces= # Change cache entries only you know what are doing. # 0 - disables cache cache_entries=3600100 request_threads=4 [snmp] enable=yes master_agent_address=tcp:localhost:705 ping_interval_in_seconds=15 [icap] enable=no listen_interfaces=ens3f3:1344,ens3f2:1344,eno2:1344 allow204=yes max_connections=5000 respmod_url=av/respmod header_client_ip=X-Client-IP header_client_port=X-Client-Port extract_user=no header_username=X-Authenticated-User base64_decode_username=yes [filter] file_size_limit=100000000 dns_lookup_enable=yes dns_timeout=500 html_filter=/var/opt/kaspersky/apt/update/bases/htmlre.txt [snort] enable=yes alerts_socket=/var/log/kaspersky/snort/snort_alert [pop3] enable=no server= port= user= password= cipher_list=ALL:!aNULL:!eNULL:!LOW:!EXP:!MD5:!DSS:!KRB5:!PSK:!RC4:!SRP:!CAMELLIA:!IDEA:!SEED:!3DES:@STRENGTH:!kDH:!kECDH encrypted=yes check_interval_in_seconds=2 accept_any_certificates=no accept_untrusted_self_signed_certificate=yes process_msgs_per_session=3000 request_timeout_in_seconds=60 [smtp_proxy] enable=no max_threads=20 socket_in=inet:10025@127.0.0.1 #RFC 1123 suggests 10 min timeout_in_seconds=600 [stat_engine] enable=yes db=kafka:centralnode:9092?topic=network oltp_bulk_size=1000 subnets= taa_skip_header_proxy_auth=status-code: 407 oltp_raw_data_limit=0 [proxy] enable=no bypass_local_addresses=yes host= port= user= password= Connected Endpoint Sensors /config/aapt_info 您可以通过搜索“Agent Status”找到Endpoint Sensors列表的开头。要找到连接的传感器的数量，您需要计算行数；但是很难实现自动化，因为行数没有明显的独特匹配属性。但是，使用“Microsoft Windows”将为您提供足够的精度（它会从上次检测信息中给出一些额外的匹配）。 Sample entry for 1 agent ae5290b1-c490-404b-beec-ee553d5d64ee | DXB00079395.*.corp | 2019-09-24 08:41:51.579011 | 10.56.14.170 | 3.5.435.0 | 2019-09-23 03:21:26.883616 | 2019-09-24 03:15:28.642816 | t | Microsoft Windows 10 | | | 2346c7a2-a395-4dc4-bc5c-ea99fa488386 | 6 | 568b01b8-4497-decf-7f8c-671bbf8ad8cc KSN/KPSN connection /config/preprocessor.conf 从收集脚本中，你只能确定是否设置了KATA来接收来自云的判决，并了解它是哪种云——全球KSN还是私有KPSN。在preprocessor.conf中查找[ksn]部分，它非常容易理解。关于如何在KATA 控制台当中查看KSN的可用性，请参照这篇文章： [ksn] enable=yes #possible values of type are KSN or KPSN type=KSN

有些时候，您可能需要在KATA 控制台当中查看KSN的可用性和运行状态。 对于KSN的相关问题，这里有一个方法可以查看特定的信誉哈希值： 切换至 root sudo -i 运行如下命令: 对于 KATA 4.+ and 5.0: docker exec -it "$(docker ps | grep ksn_proxy| awk '{print $1}')" /opt/kaspersky/apt-ksn_proxy/sbin/ksn_client --ip 127.0.0.1 --hash 9C642C5B111EE85A6BCCFFC7AF896A51 对于 KATA 5.1: docker exec -it "$(docker ps | grep ksn_proxy| awk '{print $1}')" /opt/kaspersky/apt-ksn-proxy/sbin/ksn_client --ip 127.0.0.1 --hash 9C642C5B111EE85A6BCCFFC7AF896A51 UnTrusted: 说明KSN的运行是正常的。

问题 默认情况下，在伪图形菜单中没有更改本地管理员/群集管理员的选项。 解决方案 a) 升级到 5.1 b) 遵循以下步骤： 下载包含WHL数据包的存档。 将其上传到 KATA CN 的 /tmp/change_password.zip 提取（默认情况下我们没有解压缩的选项）： echo -e "import zipfile\nwith zipfile.ZipFile('/tmp/change_password.zip', 'r') as z:\n z.extractall('/tmp/')" | python3 成为根目录： sudo su 确认这是一个正确的节点： docker ps | grep kedr_database_server 安装安装程序补丁： installer-1.0-py3-none-any.whl pip3 install --ignore-installed --no-deps /tmp/installer-1.0-py3-none-any.whl .安装docker_utils补丁： docker_utils-1.0-py3-none-any.whl pip3 install --ignore-installed --no-deps /tmp/docker_utils-1.0-py3-none-any.whl 限制 root 用户更改密码： which kata-web-admin-change-password | xargs chmod 754 限制 root 用户更改密码： kata-web-admin-change-password 在提示中输入新密码，不会给出确认或验证 选择正确的节点 脚本必须在带有kedr_database_server容器的节点上执行，默认情况下，它是在集群中的节点2上首先安装的处理节点。 如果它在错误的节点上执行，将会给出正确的提示。

有时需要在管理的主机上执行批处理文件。执行时，请注意以下信息。 在远程管理的主机上执行批处理文件： 基于文件创建安装包 为该安装包创建一个远程安装任务 将任务分配给目标主机并启动它 在任务执行期间，NAgent将在LocalSystem帐户下使用32位cmd.exe进程（C:\Windows\SysWOW64\cmd.exe）运行该文件。 局限性 一些命令和程序 不支持在 LocalSystem 帐户下执行。 对于32位cmd，不将其识别为内部（外部），因此无法从32位cmd.exe进程启动。 使用64位cmd.exe进程执行批处理文件： 在脚本中添加simlink到64位cmd.exe 使用此simlink运行所有cmdlet 例如： REM the following creates simlink named cmdin64.exe to C:\Windows\System32\cmd.exe cmd.exe /c mklink cmdin64.exe "C:\Windows\System32\cmd.exe" REM next line starts uwfmgr.exe with , which is not recognized as internal or external for 32-bit cmd.exe cmdin64.exe /c uwfmgr.exe 或者： 使用x64版本的命令。例如，要导入reg.file，您需要创建以下bat文件： 例如 echo off reg add <reg file> /reg:64 您可以在网上找到x64版本的命令。 Reply to this topic... Go to topic listing Next unread topic

问题描述，症状和影响 由于系统错误 0x1F（连接到系统的设备无法正常工作），无法在设备上安装网络代理。 诊断 在MSI 日志和应用程序事件日志中可以发现下列信息: (1192/0x0 ("System container 'LOC-PUB-6EEB50F8D2EB46029DB4CCB77E0DA651' is corrupt") 解决方案 该问题来自操作系统中一个损坏的加密存储。这不是与卡巴斯基产品相关的问题，但是这里有方法可以尝试修复。 在出现问题的主机上使用管理员权限启用cmd.exe. 运行 klcryptstgclean.exe: klcryptstgclean -tl 4 -tf $klcryptstgclean_trace.txt -l klcryptstgclean.log 尝试安装网络代理. 如果依然安装失败, 请参照该 Cryptostorage-1.docx 文档，执行描述的操作。. 如果安装再次失败，请收集下列日志文件并发送至卡巴斯基技术支持团队："$klcryptstgclean_trace.txt", "klcryptstgclean.log", new GSI with klnagent installation logs. 这不是KSC和klnagent 的相关问题。 这是操作系统的相关问题。 如果上述解决方案无法帮助您解决该问题，请尝试 sfc /scannow 命令, 还原操作系统，重新安装操作系统或者联络微软支持团队。

产品：KSC 11+ 也适用于更新实用程序版本4.1及更高版本。 考虑以下有问题的场景： 1.您已经在KSC服务器上安装了KSWS，并启用了Traffic Security组件，Traffic Security使用MITM机制来分析流量。 2.您使用第三方软件或硬件设备进行流量过滤，而此设备会中断与启用HTTPS的公共更新服务器的连接。它可以是BlueCoat或F5、FortiGate SSL深度检测等硬件设备，也可以是使用ICAP将流量重定向到另一个安全应用程序进行扫描的Squid等软件代理。 KL使用HTTP公钥绑定机制来验证更新服务器的真实性；用于身份验证的证书由KL自行签署。使用任何基于MITM的SSL流量检测解决方案都会导致KSC与启用HTTPS的KL更新源之间建立连接失败。这是因为任何基于MITM的流量检测都会在检查后向KSC转发错误的证书，而KSC11会中断连接。 在 up2date 追踪日志中可以找到以下字符串： 证书链中的自签名证书 以下追踪日志是准确诊断所必需的：up2date−1103.∗、up2date-1103-eka.* 请注意，卡巴斯基支持需要收集上述KSC日志，然后再应用本文中列出的任何解决方法。 故障排除步骤 1. 如果您有KSWS阻止流量，请在Traffic Security设置中将Up2Date.exe进程或更新源证书添加到受信任的。 2. 如果您使用第三方设备来过滤流量，您可以明确允许由KL证书签名的流量。 3. 否则，您可以使用HTTP下载更新。有两种方法可以让KSC使用HTTP： 1. 使用以下命令在 KSC 上设置服务器标志： klscflag.exe -fset -pv klserver -s Updater -n DisableKLHttps -t d -v 1 以及更新代理（分发点）从互联网获取更新（如果有的话）： klscflag.exe -fset -pv klnagent -s 更新程序 -n 禁用KLHttps -t d -v 1 2. 明确设置更新任务以使用 HTTP 源 URL，例如 http://p00.upd.kaspersky.com。HTTP 启用源的完整列表可以在 http://dnl- 05.geo.kaspersky.com/updates/upd/updcfg2.xml 的 <insecure_sites_list> 参数中找到 4. 使用更新实用程序4.0下载更新。更新实用程序的最新版本使用https。

如果您想跳过特定软件的自动卸载，但不想完全禁用不兼容的软件检查，您可以编辑cleaner.cab。 分步指南 1. 下载完整的KES分发版 2. 启动它并确保所有文件都已解压缩 3. 导航到您解压缩安装程序的目录 4. 查找 cleaner.cab 5. 将其解压缩到单独的目录中 6. 找到您要跳过的 *.ini 并删除它 7. 将所有剩余的文件打包到 cleaner.cab 8. 找到 cleanapi.ini 9. 查找并删除与您在步骤 6 中删除的产品相关的所有行 10. 现在，您可以使用此自定义文件来代替标准文件，将其放置在setup.exe或*.kud\*.kpd附近，然后再为KSC创建包 如果您没有特定的软件，将文件打包回*.cab文件可能会很困难。下面您可以找到两个脚本：一个用于命令提示符，一个用于powershell。 命令提示符 从包含 *.ini 文件的目录运行命令提示符脚本。 @echo off dir /s /b /a-d >files.txt makecab /d "CabinetName1=cleaner.cab" /d "MaxDiskSize=0" /f files.txt del /q /f files.txt, setup.inf, setup.rpt Powershell Powershell script syntax is: compress-directory "PATH_TO_INI" function compress-directory([string]$dir) { $ddf = ".OPTION EXPLICIT .Set CabinetNameTemplate=cleaner.cab .Set DiskDirectory1=. .Set CompressionType=MSZIP .Set Cabinet=on .Set Compress=on .Set CabinetFileCountThreshold=0 .Set FolderFileCountThreshold=0 .Set FolderSizeThreshold=0 .Set MaxCabinetSize=0 .Set MaxDiskFileCount=0 .Set MaxDiskSize=0 " $dirfullname = (get-item $dir).fullname $ddfpath = ($env:TEMP+"\temp.ddf") $ddf += (ls -recurse $dir | ? {!$_.psiscontainer}|select -expand fullname|%{'"'+$_+'" "'+$_.SubString($dirfullname.length+1)+'"'}) -join "`r`n" $ddf $ddf | Out-File -encoding UTF8 $ddfpath makecab /F $ddfpath rm $ddfpath rm setup.inf rm setup.rpt }

如果你想使用msiexec（msiexec.exe /x {PRODUCT_CODE}）卸载KES，那么下列产品代码可能是你正在寻找的。 KES 产品代码 产品名称 产品代码 FS6 {1B419CE6-A1AA-4207-8581-A414BE9C7B85} WKS6 {8F023021-A7EB-45D3-9269-D65264C81729} KES8 {D72DD679-A3EC-4FCF-AFAF-12E2552450B6} KES10CF1 x64 {04CF7FBD-E56C-446D-8FC9-DD444BDBEE8E} KES10CF1 x86 {9813DD3F-A28E-4B98-ACDE-12A3AB1C42E4} KES10SP1 {7A4192A1-84C4-4E90-A31B-B4847CA8E23A} KES10SP2 {7911E943-32CC-45D0-A29C-56E6EF762275} KES11 {E7012AFE-DB97-4B8B-9513-E98C0C3AACE3} KES11.1 {60BB97EB-61BD-4FF3-8506-F155850CC6B5} KES11.1.1 {D1AB12B0-B9B5-43A0-98E1-584D790524FE} KES 11.2 {9A017278-F7F4-4DF9-A482-0B97B70DD7ED} KES 11.3 {192DE1DE-0D74-4077-BC2E-A5547927A052} KES 11.4 {AF1904E7-A94C-4F4C-B3B7-EC54D7429DA2} KES 11.5 {7B437856-99E3-4F01-B31C-B5A26465C633} KES 11.6 {7EC66A9F-0A49-4DC0-A9E8-460333EA8013} KES 11.7 {F4ECE08F-50E9-44E2-A2F3-2F3C8DDF8E16} KES 11.8 {1F39E63E-3F9C-4E21-928B-136C6362E88B} KES 11.9 {6BB76C8F-365E-4345-83ED-6D7AD612AF76} KES 11.10 {305A9EC9-294E-4555-A7C5-E1C767E01C11} KES 11.11 {BF39B547-8E24-4E11-8179-183B2F7C83EB} KES 12.0 {E70CCFE8-163C-4E2B-BC36-61B747DAD590} KES 12.1 {D8E156BC-0E64-47F7-8E4F-0DCD80F2A6D3} KES 12.2 {B524FBEF-035B-455E-AA3A-2ABA729C62F8}

描述 FDE precheck是一个用于高级全磁盘加密兼容性测试的实用程序。它包含将在未来KES版本中实现的最新驱动程序。FDE precheck还收集用于修复兼容性问题的诊断数据。无法使用笔记本电脑键盘和/或触摸板是最常见的问题之一。使用FDE precheck，您可以了解兼容性问题是否已得到修复，是否将包含在下一版本中，或者是否应该得到解决。 您可以使用以下链接下载最新的FDE预检查实用程序： 对于 KES 11 - https://support.kaspersky.com/14328 系统要求 测试机器上应安装单一操作系统，FDE Precheck 在具有多个操作系统的主机上无法正常工作。 使用管理帐户运行该实用程序。 在继续之前先阅读 解密测试主机并删除卡巴斯基端点安全和AES模块。 在测试机器上备份关键数据。 严格按照以下所述的测试顺序进行。 请勿手动停止该实用程序的执行。 系统会自动重新启动多次，这是预期的行为。 插入笔记本电脑电源。不要只在电池供电的模式下运行测试。 不遵守上述步骤可能会导致不可预知的后果。 测试顺序 1. 确保机器 已解密 未安装 KES 或 AES 模块 未运行任何 KL 驱动程序 没有关键数据 插上电源 2. 重新启动。 3. 复制并解压缩 fde_precheck.zip 存档。 4. 运行 elevated fde_precheck.exe（通过右键单击并选择以管理员身份运行，或从提升的命令提示符启动）。 5. 如果程序未发现任何不兼容问题，则会出现以下消息框： 6. 按Yes启动加密驱动程序的安装和测试。 7. 等待自动重新启动，然后像之前一样使用管理用户登录。 8. 在重启后不久出现的弹出窗口中按“确定”： 9. 如果UAC窗口很快出现，请在UAC窗口中按Yes。 10. 等待几分钟（最多 10-15 分钟），直到下一次自动重新启动。不要手动启动重11.新启动！它将自动完成。在此阶段手动重新启动可能会导致操作系统损坏。所有准备工作都在后台运行，桌面没有活动迹象是正常的。 11. 自动重启后，您将看到预启动代理，它将需要有人在场来完成这些测试。如果可能的话，在智能手机的相机上记录整个过程。您将被要求使用键盘和鼠标输入随机按键。如果按键注册成功，您将看到类似以下内容： 只需按照屏幕上显示的说明进行操作，并在完成每个测试后按“下一步>”。 12.如果FDE Precheck Preboot代理在某些时候无法启动或冻结，请拍摄错误消息的照片，或在相机上记录整个过程，并在必要时重新启动机器。 13.OS将以任何一种方式启动。 14.使用之前使用的管理帐户登录。此时，驱动程序将在后台被删除，主机将最后一次自动重新启动。 15.等待几分钟（最多 10-15 分钟），直到下一次自动重新启动。不要手动启动重新启动！它会自动完成。在此阶段手动重新启动可能会导致操作系统损坏。所有准备工作都在后台运行，桌面没有活动迹象是正常的。 以下三个文件始终会创建。这三个文件都是分析所必需的。 16． 16.1 fde_precheck_report.txt 16.2 fde_precheck.log（位于包含 fde_precheck.exe 的文件夹中） 16.3 测试期间发生的事情的描述（如果可能的话，使用截图和视频）。

1. 下载KES发行版 2. 解压到文件夹 3. 将补丁.msp文件（例如pf1794.msp）复制到同一文件夹 4. 在KSC中使用此文件夹中的文件创建安装包 5. 安装

问题： kesl-control --app-info 输出以下错误： File Threat Protection: Unavailable due to file interceptor driver error 最常见的根本原因是 Fanotify 被禁用（或 KESL 无法访问它），并且内核模块编译也失败。 在安装了 KESL 的受影响机器上，可以使用以下特殊实用程序： sudo /opt/kaspersky/kesl/bin/fanotify-checker && echo fanotify: supported || echo fanotify: unsupported 如果操作系统不支持 Fanotify 技术，则需要安装一些额外的软件包并为 KESL 构建一个内核模块。 所需软件包的一部分可以在产品文档的硬件和软件要求部分找到，例如 KESL 11.3；此外，必须安装新的软件包 kernel-headers-XXX 和 kernel-devel-XXX，其中 XXX 是操作系统内核版本。 使用以下方案安装这些软件包并为 KESL 构建一个内核模块： 对于基于 RHEL 的操作系统： yum install kernel-headers-uname -r kernel-devel-uname -r 对于基于 Debian 的操作系统： apt install linux-headers-uname -r 重新启动系统； 运行安装后的脚本： /opt/kaspersky/kesl/bin/kesl-setup.pl --build | tee /tmp/buildLog 重新启动服务： systemctl restart kesl-supervisor.service 如果遇到任何进一步的问题，请联系卡巴斯基支持。