Защита от веб-угроз блокирует интернет KES 11.1.0.15919

[Mice]

А что, тут нельзя удалять свои сообщения?

[Mice]

Кое как нашел эту настройку в политиках. Самое интересное, что только на самом сервере эту политику видно, если консоль RSC поставить на другой комп и оттуда заходить - то этой настройки нет.

Разобрался. Плагин не той системы был. Но почему-то ДО перезагрузки компа с консолью никаких обновлений плагина не требовал. Очень странное поведение.

[Mice]

В организации стоит PROXMOX, на нем куча виртуалок. Вход на датацентр идет по IP. Пока не выключишь "Проверять защищенные соединения" зайти не возможно. KES ПОЛНОСТЬЮ блокирует такую возможность. Как добавить IP адрес в исключения?

[INFINUM]

В организации стоит PROXMOX, на нем куча виртуалок. Вход на датацентр идет по IP. Пока не выключишь "Проверять защищенные соединения" зайти не возможно. KES ПОЛНОСТЬЮ блокирует такую возможность. Как добавить IP адрес в исключения?

я в 3 разных местах в исключения добавлял, безрезультатно.

[INFINUM]

Пожалуйста, приложите к своему ответу логи wireshark в момент воспроизведения проблемы.

https://yadi.sk/d/Kx7PaVYyJiwylw

[Dmitry Parshutin]

Пожалуйста, приложите к своему ответу логи wireshark в момент воспроизведения проблемы.

https://yadi.sk/d/Kx7PaVYyJiwylw

Добрый день! Информацию передали разработчикам. Спасибо!

[Nikolay Arinchev]

INFINUM, уточните, пожалуйста, что именно логи без продукта были переданы для анализа.

Спасибо!

[Success]

Интересно узнать решилась ли проблема у писавших здесь или Защита от вэб-угроз так и блокирует все (или определенные) сайты?

[Mr. Fix-it]

Здравствуйте! Столкнулся с подобной проблемой - на KES 11.1.0.15919 - Защита от веб-угроз блокирует вход в личные кабинеты на сайты, использующие Крипто ПРО ЭЦП browser plug-in (закупки, налог, ртс-тендер). Проверяли на Windows 10, в IE11. С отключенной "защитой от веб-угроз" возможность входа (выбора сертификата) появляется. На KES 11.0.1.90 такого поведения не наблюдалось.

[Success]

Понятно значит проблема актуальна, планирую обновление с KES10, значит надо переходить на KES11.0

[Kommunist7304]

Понятно значит проблема актуальна, планирую обновление с KES10, значит надо переходить на KES11.0

В KES 11.1 добавили возможность более-менее полноценного контроля HTTPS-трафика и проблемы которые возникают из-за этого решаются убиранием одной-единственной галочки (и я сейчас не про защиту от веб-угроз, а про другую - описанную в этой же теме). Из-за этого переходить на более старую версию которого этого делать вообще не умела и поэтому некоторых сложностей не было (но зато было куча других) как-то странно. Если все-таки решите проигнорировать KES 11.1.0.15919, то обновитесь хотя бы до KES 11.0.1.90, т.к. в ней исправлено большинство нареканий, а кроме неё есть ещё 11.0.0.6499 - это самый первый релиз с наибольшим количеством багов (первый блин комом).

[Success]

Понятно значит проблема актуальна, планирую обновление с KES10, значит надо переходить на KES11.0

В KES 11.1 добавили возможность более-менее полноценного контроля HTTPS-трафика и проблемы которые возникают из-за этого решаются убиранием одной-единственной галочки. Из-за этого переходить на более старую версию которого этого делать вообще не умела и поэтому некоторых сложностей не было (но зато было куча других) как-то странно. Если все-таки решите проигнорировать KES 11.1.0.15919, то обновитесь хотя бы до KES 11.0.1.90, т.к. в ней исправлено большинство нареканий, а кроме неё есть ещё 11.0.0.6499 - это самый первый релиз с наибольшим количеством багов (первый блин комом).

Я хочу обновиться на стабильную свежую версию, в идеале на последнюю, просто почитал эту тему и я так понял что заведены иссуе по проблемам у людей а сообщения о решении нет. Вот и непонятно решены эти проблемы или дело было в неправильных настройках. У вас лично нет проблем в этой версии? Специалисты ТП могут что то сказать по поводу присутствия или отсутствия проблем с компонентом защиты от веб-угроз?

[Kommunist7304]

Я хочу обновиться на стабильную свежую версию, в идеале на последнюю, просто почитал эту тему и я так понял что заведены иссуе по проблемам у людей а сообщения о решении нет. Вот и непонятно решены эти проблемы или дело было в неправильных настройках. У вас лично нет проблем в этой версии? Специалисты ТП могут что то сказать по поводу присутствия или отсутствия проблем с компонентом защиты от веб-угроз?

Дело не в неправильности настроек, а в том, что KES научился вклинивается в HTTPS-трафик что некоторым приложениям или сайтам не нравится и они рвут соединение что для пользователя выглядит как неработающий сайт или программу, которая не может запуститься или выполнить свой функционал. Я долго ковырялся и самое простое решение - это убрать галочку "проверять защищенные соединения" в разделе "общие параметры" - "Параметры сети". Временно пришлось её отключить, но как только ЛК выпустят патч к KES, проблема уйдет. Установить будущий патч на KES довольно простое решение и на данный момент оно меня (с некоторыми оговорками, но такого чтобы было идеально все равно нет) устраивает.

[Success]

Дело не в неправильности настроек, а в том, что KES научился вклинивается в HTTPS-трафик что некоторым приложениям или сайтам не нравится и они рвут соединение что для пользователя выглядит как неработающий сайт или программу, которая не может запуститься или выполнить свой функционал. Я долго ковырялся и самое простое решение - это убрать галочку "проверять защищенные соединения" в разделе "общие параметры" - "Параметры сети". Временно пришлось её отключить, но как только ЛК выпустят патч к KES, проблема уйдет. Установить будущий патч на KES довольно простое решение и на данный момент оно меня (с некоторыми оговорками, но такого чтобы было идеально все равно нет) устраивает.

Отключение проверки защищенных соединений конечно нежелательно. Честно сказать не знаю проверяется ли он в текущем у меня 10.2.6, но в списке портов там есть 443. А в версии KES 11.0.1.90 такой проблемы нет?

[Mr. Fix-it]

Не стал отключать проверку защищенных соединений целиком. Добавил в том же разделе нужные домены в доверенные. Теперь ЭЦП плагин запускается.

[Kommunist7304]

Отключение проверки защищенных соединений конечно нежелательно. Честно сказать не знаю проверяется ли он в текущем у меня 10.2.6, но в списке портов там есть 443. А в версии KES 11.0.1.90 такой проблемы нет?

В версии KES 11.0.1.90 и более ранних такой возможности/функционала ещё не было, поэтому и проблемы не было.

Не стал отключать проверку защищенных соединений целиком. Добавил в том же разделе нужные домены в доверенные. Теперь ЭЦП плагин запускается.

У меня часть исключений не отрабатывает из-за чего работать проблематично, поэтому и пришлось отрубить целиком.

[Success]

Отключение проверки защищенных соединений конечно нежелательно. Честно сказать не знаю проверяется ли он в текущем у меня 10.2.6, но в списке портов там есть 443. А в версии KES 11.0.1.90 такой проблемы нет?

В версии KES 11.0.1.90 и более ранних такой возможности/функционала ещё не было, поэтому и проблемы не было.

А какой именно возможности, не совсем понимаю, контроль сетевого трафика по 443 порту или другое? Например KES10 SP1 MR4 который у меня сейчас стоит, контроль HTTPS не делает?

[Kommunist7304]

А какой именно возможности, не совсем понимаю, контроль сетевого трафика по 443 порту или другое? Например KES10 SP1 MR4 который у меня сейчас стоит, контроль HTTPS не делает?

Содержимое шифрованного https трафика смотреть не умеет и поэтому если на легитимном сайте обнаружится, допустим, троян, то каспер его заметит только когда он скачается на ПК, а не прервет на этапе загрузки. Теперича каспер (KES 11.1.0.15919) вставляет свой сертификат и HTTPS -трафик (при включенной галочке) гуляет через каспера. Тут получается легитимный вид атаки "человек посередине", но некоторые сайты и проги не любят когда их трафик разглядывают под лупой.

[Success]

Содержимое шифрованного https трафика смотреть не умеет и поэтому если на легитимном сайте обнаружится, допустим, троян, то каспер его заметит только когда он скачается на ПК, а не прервет на этапе загрузки. Теперича каспер (KES 11.1.0.15919) вставляет свой сертификат и HTTPS -трафик (при включенной галочке) гуляет через каспера. Тут получается легитимный вид атаки "человек посередине", но некоторые сайты и проги не любят когда их трафик разглядывают под лупой.

Теперь все понятно. Тогда пока надо переходить на KES 11.0.1.90

[Success]

А хотя почему? Надо перейти на последний релиз и пока до решения проблемы просто отключить проверку https.

[Success]

Почитал справку по защите от веб-угроз KES11.1 https://help.kaspersky.com/KESWin/11.1.0/ru-RU/128017.htm в описании также как и для KES10 сказано "Компонент Защита от веб-угроз защищает информацию, поступающую на компьютер пользователя и отправляемую с него по протоколам HTTP и FTP, а также устанавливает принадлежность ссылок к вредоносным или фишинговым веб-адресам." Про проверку HTTPS нигде не сказано. Где и какая галка в справке (или в программе) отвечает за этот трафик?

[Success]

Я хочу обновиться на стабильную свежую версию, в идеале на последнюю, просто почитал эту тему и я так понял что заведены иссуе по проблемам у людей а сообщения о решении нет. Вот и непонятно решены эти проблемы или дело было в неправильных настройках. У вас лично нет проблем в этой версии? Специалисты ТП могут что то сказать по поводу присутствия или отсутствия проблем с компонентом защиты от веб-угроз?

Дело не в неправильности настроек, а в том, что KES научился вклинивается в HTTPS-трафик что некоторым приложениям или сайтам не нравится и они рвут соединение что для пользователя выглядит как неработающий сайт или программу, которая не может запуститься или выполнить свой функционал. Я долго ковырялся и самое простое решение - это убрать галочку "проверять защищенные соединения" в разделе "общие параметры" - "Параметры сети". Временно пришлось её отключить, но как только ЛК выпустят патч к KES, проблема уйдет. Установить будущий патч на KES довольно простое решение и на данный момент оно меня (с некоторыми оговорками, но такого чтобы было идеально все равно нет) устраивает.

Наконец то от теории добрался до практики, обновил KSC до 11 версии, на тестовую машину поставил KES11.1 и теперь понятно о чем идет речь, в политике там где вы и указали "проверка защищенных соединений" если есть проблемы убираем галочку и ждем решения, защиту не снижает потому что данная функция появилась только в этой версии. Тогда можно обновлять до 11.1 единственно есть еще проблема на компьютерах с VipNet CSP 4.3, там как я понял проблем не будет если перед установкой антивируса установить последнюю бетта версию VipNet.

[Skaz]

Не стал отключать проверку защищенных соединений целиком. Добавил в том же разделе нужные домены в доверенные. Теперь ЭЦП плагин запускается.

У меня часть исключений не отрабатывает из-за чего работать проблематично, поэтому и пришлось отрубить целиком.

Аналогичные проблемы. Ни снижение уровня защиты, ни добавление в список доверенных адресов в разделе исключений модуля защиты от веб-угроз не позволяют авторизоваться на сайтах с помощью браузерного плагина ЭП.

[Success]

Вышел новый релиз KES11.1.1.126. Решена ли там проблема с блокировкой сайтов, кто нибудь проверил?

[Mice]

У кого проблемы с HTTPS. Достаточно отключить в списках проверяемых портов 443 и все начинает работать. ЗЫ Оффтоп: Ребят, если Касперского и своя ОС так работать, то лучше не надо. Нам и одной Win10 хватит за глаза :)