Zandatsu
-
Posts
240 -
Joined
-
Last visited
Never
Posts posted by Zandatsu
-
-
Zandatsu Хм. Вы пытаетесь опровергнуть мои слова подтверждая мои слова???
Nope. Просто ваше исходное сообщение с моей колокольни имело для меня тот смысл, что можно ставить что угодно пока есть сертификат и пока он действует. А я хотел сказать в своих ответах, что менять сертифицированную версию можно только на другую сертифицированную версию, а не на какую хочется. Я ничего не говорил про купленные медиапаки и возможность обновления с https://certifiedbuilds.kaspersky.ru/. Тут у меня нет возражений кроме одного. Обновление с https://certifiedbuilds.kaspersky.ru/ неприменимо для версии 11, там только покупать медиапак. Хотя мы покупаем все медиапаки для всех сертифицированных версий на всякий случай. -
Понятно. Тогда чтобы не делать двойную работу наверно установлю KSC11, KSC10 SP3 установил чтобы штатно установился последний агент 10.5a для XP. Для KSC11 справедливо правило совместимости с агентами 10 версии? Так как XP останутся с 10ми.
Насколько я знаю Агент 11 версии с XP вполне себе работает. Так что вам необязательно оставаться на версии 10 при наличии KSC версии 11. -
Ах, да простите, забыл, что многие не читают данных рекомендацийhttps://certifiedbuilds.kaspersky.ru/?_ga=2.59018157.1268668469.1558444336-1658925467.1537341783по самостоятельному скачиванию обновленных формуляров, носителей и т.д.! Это же так сложно! Про патчи я абсолютно ничего не говорил, ибо это однозначно персональные сборки и сертификации они не имеют, пока не войдут в конкретный пак/релиз. И если Вы почитает по приведенной выше ссылке, то Вы поймете, что по мнению ЛК: обновление - использование новых дистрибутивов и сопутствующей документации заказчиками, имеющих сертифицированный медиапак с предыдущей версией продукта (имеющей тот же номер сертификата соответствия). А заказ медиапака при приобретении новых сертифицированных продуктов является обязательным (т.е имеющие другой номер сертификата соответствия).
Хм. Ну, тогда я отсылаю вас вот к этой статье базы знаний, https://support.kaspersky.ru/common/certificates/11319, в которой чёрным по зелёному написано, цитирую "Если на предприятии уже применяется сертифицированная версия продукта и принято решение заменить ее на новую сертифицированную версию, уже прошедшую инспекционный контроль, предприятию необходимо приобрести обновленный медиа-пак у наших партнеров или загрузить обновление и комплект измененной эксплуатационной документации (включая эксплуатационный бюллетень) в электронном виде с сайта АО «Лаборатория Касперского»". Это противоречит вашему утверждению, цитирую "...юридически данный сертификат распространяется на все паки/релизы Kaspersky Endpoint Security 10 для Windows. И в рамках действия данного сертификата Вы можете обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата...", в котором вы говорите, что можно якобы ставить что угодно в пределах, к примеру, версии 10 пока действует сертификат. -
Понятно. Тогда чтобы не делать двойную работу наверно установлю KSC11, KSC10 SP3 установил чтобы штатно установился последний агент 10.5a для XP. Для KSC11 справедливо правило совместимости с агентами 10 версии? Так как XP останутся с 10ми.
Все KSC имеют обратную совместимость с Агентами прежних версий. Так что работать будет, просто новый функционал KSC может быть недоступен для агентов прежних версий. -
Основные задачи работают - бэкап и обновление сервера, обновление компьютеров. Параметры политик которые проверил выборочно тоже применяются. Все равно лучше пересоздать?
Мы уже хапнули проблем из-за конвертированных политик. С тех пор никакой конвертации, только создание с нуля, только хардкор. :grinning: -
Здравствуйте! Обновил KSC10 SP2 MR1 до версии KSC10 SP3. Нужно ли с помощью мастера конвертировать ранее созданные политики и задачи? Или они будут работать корректно?
Задачи вам придётся пересоздавать руками. Что касается политик, то вы можете сделать конвертирование с помощью встроенного мастера и они будут работать. Но вам нужно знать, что механизм конвертации в KSC реализован очень криво и вы можете после конвертации столкнуться с непредсказуемым поведением антивируса на конечных станциях, которые оную конвертированную политику получили. Чтобы этого избежать лучше и политики тоже с нуля пересоздавать. -
Коллеги! По-моему, Вы немного запутались и путает остальных! По поводу сертификации ФСТЭК. В сертификате ФСТЭК четко указано "Kaspersky Endpoint Security 10 для Windows" и не о каких-либо конкретных паках/релизах версии 10 разговора нет. Т.е. юридически данный сертификат распространяется на все паки/релизы Kaspersky Endpoint Security 10 для Windows. И в рамках действия данного сертификата Вы можете обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата, а просто самостоятельно специальным образом подготовив цифровой носитель с устанавливаемым паком/релизом версии 10 либо купить новый медиапак из-за установочного диска. (С версией 11 все происходит аналогичным способом). По поводу сертификации ФСБ. Тут в сертификате ФСБ конкретно указана версия, пак, релиз, и поэтому использование любой не совпадающей с указанной в сертификате версии/пака/релиза требует приобретение нового медиапака с требуемым сертификатом и этой же версии KES на установочном диске.
Не вводите в заблуждение остальных. Первое. Когда ЛК проводит ФСБ/ФСТЭК сертификацию, то всегда и везде указывается ЧТО именно она сертифицирует, вплоть до конкретной сборки. Страница 3 формуляра ФСТЭК на KES 10, к примеру. Второе. Когда/если организация покупает медиапак ФСБ и/или ФСТЭК, то там в формуляре указаны конкретные контрольные суммы того антивируса, который разрешено ставить в рамках данного сертификата и данного формуляра. Установка любых других патчей/сборок ведёт к неизбежному изменению приведённых контрольных сумм и нарушением сертифицированного статуса установленного продукта. То есть ставить-то можно, но сертифицированным антивирусом на ПК уже не будет. Третье. Сами сотрудники поддержки ЛК в курсе того, что на сертифицированные сборки запрещено ставить патчи (а MR/SP/PF это и есть патчи). В CA мы это уже проходили неоднократно. Четвёртое. Вам не кажется странным, что ЛК отдельно провела сертификацию одной из сборок KES 10 и отдельно сообщила об этом, хотя сертификат предыдущей версии KES 10 ещё не закончился? Если бы ваши утверждения имели отношение к реальности, то ЛК, исходя из вашей логики, сделала это зря, ведь можно "обновлять до любого пака/релиза в пределах версии 10 без переполучения нового сертификата". У вас точно есть письменные подтверждения/разрешения от ЛК/контролирующих органов, что так можно делать или это лишь теоретические предположения? В любом случае предлагаю дождаться ответов сотрудника ЛК, который специализируется на сертификации. -
Ответ техподдержки: версия 10.3.0.6294 остается сертифицированной в течение всего срока действия выданного на неё сертификата.
А можно ссылку где вам такой ответ дали? Или это было в CA? -
Может большое количество патчей норма?
Большое количество патчей означает, ИМХО, что продукт, мягко говоря, недоделали, не довели до ума, не протестировали как следует (нужное подчеркнуть). Беда в том, что те, кто вынуждены использовать сертифицированные сборки, не могут ими (патчами) воспользоваться, а ЛК не может произвести аттестацию новых сборок (тех, что уже с патчами) в короткие сроки. -
В Company Account писал (INC000010349759), все логи забрали, но вот уже месяц ответа нет.
В CA всегда отвечают долго или очень долго. А если вы уже отдали логи на обработку, то месяц ожидания - стандартный период. Да, бывает такое, что про запрос забывают. Так что если месяц прошёл, то вы там чего-нибудь напишите в CA чтобы ответственным за него пришёл отбойник и они вспомнили про вас. -
Вообще сертификат для KES 10.3.0.6294 валиден и выдавался до 25.11.19. Вопрос в том, означает ли переоформление этого сертификата, что версия 10.3.0.6294 более не является сертифицированной. По идее в сертификате указывается номер формуляра, в котором в свою очередь контрольные суммы. Исходя из этой логики сертифицированность предыдущей версии слетела автоматически.
На мой взгляд сертификаты не должны отменять друг друга пока есть формуляры на руках. Но предлагаю дождаться тут ответа спецов ЛК по сертификации (если они вообще сюда заходят). -
Недавно сертификацию ФСТЭК прошла версия KES 10.3.3.275 (сертификат №3025 перееоформлен). То есть используемая у нас версия KES 10.3.0.6294 (имевшая тот же сертификат 3025) стала автоматически несертифицированной и необходимо обновляться?
Все сертификаты имеют свой срок службы и для 10.3.0.6294 он уже должен был закончиться. Поэтому нужно переходить или на KES 11, у которого сертификат ещё валиден либо, как оказалось, на 10.3.3.275. В целом да, переход на вышестоящую версию, имеющую сертификат, это необходимая операция. -
Так как форум больше недоступен, то продолжаю свою тему тут.
Итак, поскольку KES 11 оказался крайне забагованным (желающие могут впечатлиться списком включенных в KES патчей по ссылке https://support.kaspersky.ru/14968), то немедленно возникает вопрос какую версию KES 11 ЛК будет сертифицировать у ФСТЭК/ФСБ следующей? И что по срокам?//ModNote:
Тема из одного вопроса конвертирована в обсуждение различных вопросов по сертифицированным версиям (ФСТЭК, ФСБ).
Статьи Базы знаний по теме:
KES 11, 12 https://support.kaspersky.ru/14693
KES 10 https://support.kaspersky.ru/11319
KSC https://support.kaspersky.ru/11320
KSWS https://support.kaspersky.ru/13750
Полный список https://support.kaspersky.ru/common/certificates
-
По поводу локальных задач. Как только я закрыл замочек на этом блоке, так сразу на локальном клиенте задачи стали отображаться согласно настройкам политики. Правда при этом в консоли KSC в свойствах хоста все равно видны все задачи, и локальные и прилетевшие с сервера. Посмотрю за праздники по логам что на самом деле работает. P.S. Я думал замочек это запрет/разрешение изменения этих настроек на клиенте. Видимо недостаточно внимательно читал мануал.
Да, вы правы, замки надо закрывать везде где необходимо чтобы параметры политик применялись безусловно. -
а что делать, если нет доступа к CA?
Если у вас есть купленная корпоративная лицензия, то вы можете там зарегистрироваться от имени вашей организации и вам станет доступна возможность создавать кейсы. -
Спасибо за подсказку. Создам обязательно. Но меня больше интересует второй вопрос, про 2 задачи обновления. Он мне гораздо больше беспокойства доставляет. Или с ним тоже туда же?
Я лично сталкиваюсь с такой проблемой крайне редко, на уровне статпогрешности. В вашем случае я бы стал подозревать, что у вас политики не прилетают на конечные хосты и не отключают локальные задачи (в их числе локальная задача обновления). Если у вас не все машины страдают, а только некоторые, то проблема скорее всего именно на них. -
Да, забыл сказать, что поддержку ЛК устраивают отчёты версии 6.1. Для траблшутинга там достаточно данных.
-
Есть прекрасная статья Базы Знаний где даже есть раздел Как запустить утилиту Get System Info удаленно А есть мой очень старый пост на старом форуме. Суть его в том, что самая актуальная версия GSI 6.2.0.366 никак не желает работать от системы. А вот версия 6.1.0.51 работает прекрасно. Так вот, самая актуальная и на данный момент версия 6.2.0.427 от 15 апреля 2019 года так же не работает через удаленную установку именно так как описано в статье базы знаний. Вот именно так она не работает. С интерактивным запуском проблем нет. Как получить отчет GSI средствами удаленной установки KSC?
Я уже спрашивал у поддержки этот вопрос. Мне был ответ, что это ожидаемое поведение. Для удалённого использования сейчас годится только версия 6.1, для 6.2 такое использование является недокументированным и если работает, то это случайность. В большинстве случаев 6.2 валится с ошибкой (и у поддержки ЛК тоже). Так что ждём когда разработчики подружат 6.2 с KSC; это случится, вероятно, ещё крайне нескоро. -
Нет. Не создавал. Я подозревал, что где то мной что то недокручено, поэтому задал вопрос на форуме. Да и признаться еще не разбирался как в этот CA попасть и как там создавать кейсы. И я сперва тоже думал, что это частный случай. У меня тогда шла массовая установка и точно отследить было сложно. Но в последнее время несколько раз проверил, и убедившись что точно косяк есть написал сюда.
Рекомендую попасть в CA и создать там кейс. В очень многих случаях форум ничем не сможет помочь. Ваш (и мой) как раз из таких. -
Для примера вот скрин параметров пакета установки. Видно, что дата баз 24.04 . При этом когда я создаю задачу на его установку, то всегда после установке базы от 19.03
Хм. У нас тоже есть такая проблема. Сперва я подумал, что это какой-то частный случай, но теперь я подозреваю, что это баг. Вы создавали кейс в CA? -
Добрый день. Стесняюсь спросить а в чем тогда сакральный смысл кнопки "Обновить базы"? И кстати я вижу, что в папку с дистрибутивом для установки свежие базы копируются, но ставится все равно с базами с датой создания пакета.
Сама функция вполне имеет смысл. Да, у неё есть недостатки, но она хотя бы работает. Плохо, что не работает автоматическое их подхватывание при развёртывании. Что касается установки, то у вас базы старые даже когда вы задачу пересоздали после обновления их в инсталпакете? -
Да, они это серьезно. Также пакет заметно подрастает при обновлении баз, поэтому я таким лично балуюсь редко, раз в полгода. Также если данный пакет находится в режиме автоустановки также приходится временно отключать данную возможность, а после обновления баз в пакете заново включать и перенастраивать.
Крайне странная реализация от разработчиков. Мне интересно это ещё одна недокументированная особенность или про это где-то в документации указано. Что касается пакета, то его размер это меньшее зло нежели необходимость потом обновлять весь парк машин сразу после установки, убивая сеть. -
Здравствуйте, Для того, чтобы KES устанавливался с уже обновленными базами, необходимо также пересоздать задачу установки. Отключить локальную задачу обновления можно с помощью политики. Для этого нужно запретить отображение локальных задач и в этом случае они не будут запускаться по своему расписанию.
То есть когда в пакете обновляются базы, то мне надо удалять все задачи установки этого пакета и пересоздавать их все снова? Каждый раз??! Вы это сейчас серьёзно? -
Полностью с Вами согласен. Создал тикет INC000010403377Просто еще на старом форуме многие проблемы решал параллельно и в рамках ТП и в рамках форума. Притом форум всегда был оперативнее.
Форум был оперативнее именно по причине, о которой я выше писал - сложность проблемы. Если она решается путём использования мануалов/статьи КБ или определёнными настройками, то тут форум помогает, спору нет. Однако когда кейс выходит за рамки стандартной сложности - сотрудники форума без колебаний отправляют в CA.
Сертификация ФСБ и ФСТЭК продуктов Лаборатории Касперского
in Kaspersky Endpoint Security для бизнеса
Posted