Источник обновлений KES

[chkhartishvili]

Здравствуйте! Ситуация такая: некоторая часть ПК ходит в интернет на адреса касперского, хотя в задачах обновления в качестве источника указан только сервер администрирования: и KSN в политике для KES(10.2.6.3733) отключен: В политике для агента(10.4.343) ничего связанного с обновлением через интернет я не вижу. В свойствах инсталляционного пакета тоже. Под подозрение попадает параметр другой задачи: т.к. это определение для меня размыто. А также локальная задача обновления, но меня смущает, что она без статуса "выполняется" или "завершена" Как раз в ней указаны сервера лаборатории: В логах вот что: Вопрос, собственно, вот в чем: Почему на самом деле ПК все еще ходят в интернет? Если это все-таки локальная задача, то как централизованно ей управлять и почему сейчас "Источник обновлений: Задан пользователем"? Прошу прощения за такое количество скриншотов, пытался сохранить ход мысли при исследовании.

[chkhartishvili]

В детализации я все-таки обнаружил, что виновником является задача "Обновление". Вопрос про централизованное управление остается актуальным При этом в политике снята галочка с "Разрешить использование локальных задач"

[mvsvit]

Добрый день, 1) советую обновиться до актуальных версий 2) второе - в задаче обновления стоит галочка - распределять запуск задачи ? 3) возможно клиенты теряют связь с сервером администрирования (посмотрите логи на клиентах) и включаются настройки мобильного режима для задачи обновления баз - попробуйте убрать чек бокс из источника - "Сервера ЛК"

[chkhartishvili]

Добрый день, 1) советую обновиться до актуальных версий 2) второе - в задаче обновления стоит галочка - распределять запуск задачи ? 3) возможно клиенты теряют связь с сервером администрирования (посмотрите логи на клиентах) и включаются настройки мобильного режима для задачи обновления баз - попробуйте убрать чек бокс из источника - "Сервера ЛК"

Насколько мне известно, последняя совместимая с XP версия 10.2.6.3733? По крайней мере, она - самая последняя из предлагаемых для скачивания консолью администрирования. Если же Вы об агенте, то в планах установить на весь парк 11.0.0.1131 В локальной задаче обновления(инициатор событий выхода в интернет) я не вижу управления обновлением в мобильном режиме(см. приложение 8 ) ни для версии 10.2.6.3733, ни для 11.1.1.126, что используются у нас, а в созданных мной задачах серверы ЛК в самом деле выбраны, но галка "Загружать обновления модулей программы" снята. Убрал из источников серверы ЛК, поможет ли это, учитывая, что обновление в мобильном режиме было отключено?

[Demiad]

chkhartishvili , для XP последний KES с поддержкой: Kaspersky Endpoint Security 10 для Windows Service Pack 1 MR 4 (версия 10.2.6.3733) https://support.kaspersky.ru/13482 http://aes.kaspersky-labs.com/russian/endpoints/kes10windows/kes10winsp1_mr4_ru_aes56.exe Новую политику не придётся пересоздавать, она для всех MR* едина. Если хосты в инет ходят через прокси, то рекомендую снять в политике KES: Дополнительные параметры\ Параметры программы\ Параметры прокси-сервера - Настроить\ снять Использовать прокси-сервер. При условии, что KES'у точно никогда в инет не надо, поскольку для получения всех данных используется KSC. Мне на 11.1.1.126, вроде, это помогло. Групповая задача у Вас зовётся иначе "Установка обновлений", а локальная предустановленная "Обновление". Поэтому если до MR4 будете обновлять, то настройте предварительно конфигурационный файл для KES и подгрузите его в инсталляционный пакет, см. https://help.kaspersky.com/KESWin/10SP2/ru-RU/134486.htm . В параметрах конф.файла следует отключить и прокси, и расписание задачи Обновление, сделайте установите расписание на "Вручную". Тогда даже если KES решит обращаться к локальным задачам, то всё равно запускаться они не станут.

[chkhartishvili]

chkhartishvili , для XP последний KES с поддержкой: Kaspersky Endpoint Security 10 для Windows Service Pack 1 MR 4 (версия 10.2.6.3733)https://support.kaspersky.ru/13482 href="http://aes.kaspersky-labs.com/russian/endpoints/kes10windows/kes10winsp1_mr4_ru_aes56.exe">http://aes.kaspersky-labs.com/russian/endpoints/kes10windows/kes10winsp1_mr4_ru_aes56.exeНовую политику не придётся пересоздавать, она для всех MR* едина. Если хосты в инет ходят через прокси, то рекомендую снять в политике KES: Дополнительные параметры\ Параметры программы\ Параметры прокси-сервера - Настроить\ снять Использовать прокси-сервер. При условии, что KES'у точно никогда в инет не надо, поскольку для получения всех данных используется KSC. Мне на 11.1.1.126, вроде, это помогло. Групповая задача у Вас зовётся иначе "Установка обновлений", а локальная предустановленная "Обновление". Поэтому если до MR4 будете обновлять, то настройте предварительно конфигурационный файл для KES и подгрузите его в инсталляционный пакет, см. https://help.kaspersky.com/KESWin/10SP2/ru-RU/134486.htm . В параметрах конф.файла следует отключить и прокси, и расписание задачи Обновление, сделайте установите расписание на "Вручную". Тогда даже если KES решит обращаться к локальным задачам, то всё равно запускаться они не станут.

10.2.6.3733 уже используется в моей сети. Прокси сервер в политиках не указан. Какое он имеет отношение к попыткам задачи "Обновление" соединиться с облаком ЛК? Задача состоит в том, чтобы предотвратить попытку выхода в интернет, а не установку соединения. Из прикрепленного мной лога видно, что доступа у KES и так нет. Отключение обновлений в мобильном режиме не пресекает "решение" KES обратиться к локальным задачам? Неужели единственным вариантом является сбор нового инсталлятора со своей конфигурацией и переустановка на весь парк?

[Nikolay Arinchev]

Здравствуйте, Пожалуйста, приложите к своему ответу экспорт активной политики для машин, которые несанкционированно, по вашему мнению, выходят в интернет для обновления. Спасибо!

[chkhartishvili]

Здравствуйте, Пожалуйста, приложите к своему ответу экспорт активной политики для машин, которые несанкционированно, по вашему мнению, выходят в интернет для обновления. Спасибо!

Заархивировал, потому что форум не принимает свои же расширения файлов. Браво!

[Bofh]

Добрый день. У меня была подобная проблема. В итоге я ее победил замочком. То есть в политике применяемой на компьютер там где управление задачами у меня был открытый замочек. Как оказалось это препятствовало распространению этой настройки на ПК. Как только я закрыл замочек, настройки локальных задач на ПК у меня стали приниматься с сервера.

[chkhartishvili]

Добрый день. У меня была подобная проблема. В итоге я ее победил замочком. То есть в политике применяемой на компьютер там где управление задачами у меня был открытый замочек. Как оказалось это препятствовало распространению этой настройки на ПК. Как только я закрыл замочек, настройки локальных задач на ПК у меня стали приниматься с сервера.

Замочек отвечает за возможность управления параметром с клиента, насколько я понимаю. В моей политике он установлен

[Bofh]

Я тоже думал, что замочек отвечает именно за это. Что разрешено, а что не разрешено изменять на клиенте. Но в моем случае замочком вылечились не только локальные задачи, но и несколько других параметров. Поэтому я на всякий случай его закрыл везде.

[Demiad]

10.2.6.3733 уже используется в моей сети. Прокси сервер в политиках не указан. Какое он имеет отношение к попыткам задачи "Обновление" соединиться с облаком ЛК? <...> Неужели единственным вариантом является сбор нового инсталлятора со своей конфигурацией и переустановка на весь парк?

Неправильно я версию KES прочёл в Вашем посте, да, про ту же версию говорю, что у Вас есть. Прокси рекомендовал выключить в политике исходя из смысла вдруг как-то групповая задача пытается на ЛК сервера идти, а не на KSC. В Вашем случае правда явно в событиях указано имя локальной задачи, поэтому не то. Инсталлятор пересобирать не обязательно и перенакатывать с конфигом. Есть возможность импортировать конфиг локальных настроек через утилиту avp.com и экспортировать тоже. Распространить через задачу KSC удалённой установки должно получиться. Итого: Выключить на эталонном ПК с KES политику KES. Установить расписание локальной задачи на вручную. Выполнить экспорт настроек только этой задачи (чтоб не рисковать напороться на баги) командой: avp.com EXPORT SettingsUpdaterTask c:\UpdTaskSett.dat далее создать батник с импортом файла и сделать на KSC задачу с ним и файлом конфига. Версии KES на конечных хостах должны совпадать с версией KES на эталонном машине. Статья по avp.com: https://support.kaspersky.ru/11336