Zandatsu

У меня сейчас есть на руках медиапак ЛК с KES 11, но внутри только сборка 11.0.0.6499. Если бы другие версии KES 11 прошли аттестацию, то ЛК бы об этом написала и в почту и на сайте. Но увы, сертификация это процесс длиной в 12-15 месяцев...

Nope. Просто ваше исходное сообщение с моей колокольни имело для меня тот смысл, что можно ставить что угодно пока есть сертификат и пока он действует. А я хотел сказать в своих ответах, что менять сертифицированную версию можно только на другую сертифицированную версию, а не на какую хочется. Я ничего не говорил про купленные медиапаки и возможность обновления с https://certifiedbuilds.kaspersky.ru/. Тут у меня нет возражений кроме одного. Обновление с https://certifiedbuilds.kaspersky.ru/ неприменимо для версии 11, там только покупать медиапак. Хотя мы покупаем все медиапаки для всех сертифицированных версий на всякий случай.

Насколько я знаю Агент 11 версии с XP вполне себе работает. Так что вам необязательно оставаться на версии 10 при наличии KSC версии 11.

Хм. Ну, тогда я отсылаю вас вот к этой статье базы знаний, https://support.kaspersky.ru/common/certificates/11319, в которой чёрным по зелёному написано, цитирую "Если на предприятии уже применяется сертифицированная версия продукта и принято решение заменить ее на новую сертифицированную версию, уже прошедшую инспекционный контроль, предприятию необходимо приобрести обновленный медиа-пак у наших партнеров или загрузить обновление и комплект измененной эксплуатационной документации (включая эксплуатационный бюллетень) в электронном виде с сайта АО «Лаборатория Касперского»". Это противоречит вашему утверждению, цитирую "...юридически данный сертификат распространяется на все паки/релизы Kaspersky Endpoint Security 10 для Windows. И в рамках действия данного сертификата Вы можете обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата...", в котором вы говорите, что можно якобы ставить что угодно в пределах, к примеру, версии 10 пока действует сертификат.

Все KSC имеют обратную совместимость с Агентами прежних версий. Так что работать будет, просто новый функционал KSC может быть недоступен для агентов прежних версий.

Мы уже хапнули проблем из-за конвертированных политик. С тех пор никакой конвертации, только создание с нуля, только хардкор. :grinning:

Задачи вам придётся пересоздавать руками. Что касается политик, то вы можете сделать конвертирование с помощью встроенного мастера и они будут работать. Но вам нужно знать, что механизм конвертации в KSC реализован очень криво и вы можете после конвертации столкнуться с непредсказуемым поведением антивируса на конечных станциях, которые оную конвертированную политику получили. Чтобы этого избежать лучше и политики тоже с нуля пересоздавать.

Не вводите в заблуждение остальных. Первое. Когда ЛК проводит ФСБ/ФСТЭК сертификацию, то всегда и везде указывается ЧТО именно она сертифицирует, вплоть до конкретной сборки. Страница 3 формуляра ФСТЭК на KES 10, к примеру. Второе. Когда/если организация покупает медиапак ФСБ и/или ФСТЭК, то там в формуляре указаны конкретные контрольные суммы того антивируса, который разрешено ставить в рамках данного сертификата и данного формуляра. Установка любых других патчей/сборок ведёт к неизбежному изменению приведённых контрольных сумм и нарушением сертифицированного статуса установленного продукта. То есть ставить-то можно, но сертифицированным антивирусом на ПК уже не будет. Третье. Сами сотрудники поддержки ЛК в курсе того, что на сертифицированные сборки запрещено ставить патчи (а MR/SP/PF это и есть патчи). В CA мы это уже проходили неоднократно. Четвёртое. Вам не кажется странным, что ЛК отдельно провела сертификацию одной из сборок KES 10 и отдельно сообщила об этом, хотя сертификат предыдущей версии KES 10 ещё не закончился? Если бы ваши утверждения имели отношение к реальности, то ЛК, исходя из вашей логики, сделала это зря, ведь можно "обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата". У вас точно есть письменные подтверждения/разрешения от ЛК/контролирующих органов, что так можно делать или это лишь теоретические предположения? В любом случае предлагаю дождаться ответов сотрудника ЛК, который специализируется на сертификации.

А можно ссылку где вам такой ответ дали? Или это было в CA?

Большое количество патчей означает, ИМХО, что продукт, мягко говоря, недоделали, не довели до ума, не протестировали как следует (нужное подчеркнуть). Беда в том, что те, кто вынуждены использовать сертифицированные сборки, не могут ими (патчами) воспользоваться, а ЛК не может произвести аттестацию новых сборок (тех, что уже с патчами) в короткие сроки.

В CA всегда отвечают долго или очень долго. А если вы уже отдали логи на обработку, то месяц ожидания - стандартный период. Да, бывает такое, что про запрос забывают. Так что если месяц прошёл, то вы там чего-нибудь напишите в CA чтобы ответственным за него пришёл отбойник и они вспомнили про вас.

На мой взгляд сертификаты не должны отменять друг друга пока есть формуляры на руках. Но предлагаю дождаться тут ответа спецов ЛК по сертификации (если они вообще сюда заходят).

Все сертификаты имеют свой срок службы и для 10.3.0.6294 он уже должен был закончиться. Поэтому нужно переходить или на KES 11, у которого сертификат ещё валиден либо, как оказалось, на 10.3.3.275. В целом да, переход на вышестоящую версию, имеющую сертификат, это необходимая операция.

Так как форум больше недоступен, то продолжаю свою тему тут. Итак, поскольку KES 11 оказался крайне забагованным (желающие могут впечатлиться списком включенных в KES патчей по ссылке https://support.kaspersky.ru/14968), то немедленно возникает вопрос какую версию KES 11 ЛК будет сертифицировать у ФСТЭК/ФСБ следующей? И что по срокам? //ModNote: Ответ в сообщении. Тема из одного вопроса конвертирована в обсуждение различных вопросов по сертифицированным версиям (ФСТЭК, ФСБ). Статьи Базы знаний по теме: KES 11, 12 https://support.kaspersky.ru/14693 KES 10 https://support.kaspersky.ru/11319 KSC https://support.kaspersky.ru/11320 KSWS https://support.kaspersky.ru/13750 Полный список https://support.kaspersky.ru/common/certificates

Да, вы правы, замки надо закрывать везде где необходимо чтобы параметры политик применялись безусловно.

Если у вас есть купленная корпоративная лицензия, то вы можете там зарегистрироваться от имени вашей организации и вам станет доступна возможность создавать кейсы.

Я лично сталкиваюсь с такой проблемой крайне редко, на уровне статпогрешности. В вашем случае я бы стал подозревать, что у вас политики не прилетают на конечные хосты и не отключают локальные задачи (в их числе локальная задача обновления). Если у вас не все машины страдают, а только некоторые, то проблема скорее всего именно на них.

Да, забыл сказать, что поддержку ЛК устраивают отчёты версии 6.1. Для траблшутинга там достаточно данных.

Я уже спрашивал у поддержки этот вопрос. Мне был ответ, что это ожидаемое поведение. Для удалённого использования сейчас годится только версия 6.1, для 6.2 такое использование является недокументированным и если работает, то это случайность. В большинстве случаев 6.2 валится с ошибкой (и у поддержки ЛК тоже). Так что ждём когда разработчики подружат 6.2 с KSC; это случится, вероятно, ещё крайне нескоро.

Рекомендую попасть в CA и создать там кейс. В очень многих случаях форум ничем не сможет помочь. Ваш (и мой) как раз из таких.

Хм. У нас тоже есть такая проблема. Сперва я подумал, что это какой-то частный случай, но теперь я подозреваю, что это баг. Вы создавали кейс в CA?

Сама функция вполне имеет смысл. Да, у неё есть недостатки, но она хотя бы работает. Плохо, что не работает автоматическое их подхватывание при развёртывании. Что касается установки, то у вас базы старые даже когда вы задачу пересоздали после обновления их в инсталпакете?

Крайне странная реализация от разработчиков. Мне интересно это ещё одна недокументированная особенность или про это где-то в документации указано. Что касается пакета, то его размер это меньшее зло нежели необходимость потом обновлять весь парк машин сразу после установки, убивая сеть.

То есть когда в пакете обновляются базы, то мне надо удалять все задачи установки этого пакета и пересоздавать их все снова? Каждый раз??! Вы это сейчас серьёзно?

Форум был оперативнее именно по причине, о которой я выше писал - сложность проблемы. Если она решается путём использования мануалов/статьи КБ или определёнными настройками, то тут форум помогает, спору нет. Однако когда кейс выходит за рамки стандартной сложности - сотрудники форума без колебаний отправляют в CA.