Jump to content

Recommended Posts

Alexander K.
Posted

Здравствуйте.

  1. Windows 10 (21H1)
  2. Kaspersky Endpoint Security 11.8.0.384 AES256
  3. На компьютерах, которые имеют установленный Агент KSC 13.2 не запускается контроль запуска программ. На одной машине все исправно, но на ней нет агента. Полагаю, что причина в нем. Когда открываешь настройки контроля запуска, ползунок стоит в положении (ВКЛ), но при этом в списке компонентов KES он горит серым цветом, как неактивный. Переключение ползунка проблему не решило.

А вообще задача была следующая. Хотел запретить запуск скриптов *.vbs, *.js, *.wsf, запуск батников *.bat, запуск файлов реестра *.reg на машинах сотрудников. Пробовал через Endpoint Detection and Response (для этого специально установил веб-морду KSC), но так запретить запуск и не удалось. Поэтому решил через контроль запуска программ. Причём на своей машине (которая не имеет агента), а просто один KES 11.8.0.384 - указав в контроль запуска *.vbs - все работает отлично и запуск невозможен, а вот на двух машинах пробую (решил даже выключить политику в KES для тестов и напрямую к файлу указываю) - компонент не включается и все. Подскажите, куда копать? 

Kommunist7304
Posted (edited)

Замок защелкнут? Блокировка идет по учетным записям или "для всех"? Плагин актуальной версии?

Edited by Kommunist7304
Alexander K.
Posted (edited)

Замок защёлкнут на всех пунктах в компоненте "контроль программ" - "Контроль программ", "Настройки контроля программ", "Шаблоны сообщений".

Блокировка для всех, но повторяю, даже если отключить политику (ПКМ на KES в трее - "Выключить политику"), и вручную прописать блокировку, скажем, на файл C:\1.vbs , - файл не блокируется. А не блокируется он потому, что компонент продолжает быть неактивным. Даже если я его вручную выключу - сохраню изменения, затем обратно включаю, в общем списке компонентов он так и остается серого цвета. Скриншоты прикрепил. На первом - сама причина (возникающая на двух ПК), а на втором - моя машина, на которой нет агента, но настройки абсолютно идентичные и версии KES тоже идентичные.

Спойлер

852489831__(KSC13.2).png.8c40fda2c38adec745c450166007dbbb.png

382649012_().png.2b3cf0c03913dc4ca8cceb8fe5c7e090.png

 

Edited by Alexander K.
Kommunist7304
Posted (edited)

2008634226_.thumb.png.50a2ef7d4d2a7825f58329a232f93551.png

Замок там в двух местах (настройка шаблонов сообщений в данном случае не принципиально), проверьте что оба заблокированы. В качестве переключения снимите замок - применить - снова поставить замок - применить. На применение изменений может уйти до 15 минут.

Edited by Kommunist7304
Alexander K.
Posted

Сделал, они конечно стояли. Сейчас выжду, чтобы политику подхватили устройства. Но разве выключение политики на ПК и вручную выключение-включение компонента не должно было в таком случае исправить проблему, если дело в этом? На сколько я понимаю замок просто запрещает пользователю, который работает с данной политикой - вносить свои изменения. С KSC только знакомлюсь, ещё всех нюансов не знаю, но значение замка понимаю так

Kommunist7304
Posted (edited)

Выключение и включение политики не вызывает немедленной синхронизации. Чтобы ускорить синхронизацию можно в свойстве АРМ в KSC поставить галочку "не разрывать соединение с устройством" или отправить пакет пульс из агента на АРМ (Program Files (x86)\Kaspersky Lab\NetworkAgent\klcsngtgui.exe).

Актуальность плагинов проверяли?

Edited by Kommunist7304
Alexander K.
Posted (edited)

Я не говорю про немедленную синхронизацию. Я говорю про вообще отключение связи с политикой, для того чтобы вручную управлять софтом.

На ноутбук поставил KES 11.8.0.384 БЕЗ агента, ключ указал тот же самый корпоративный. Контроль программ так же не активен. То есть дело явно не в сервере и политиках, ибо с ним щас связи нет. Не могу понять где искать

Приостановил-возобновил защиту - и компонент запустился. На ПК с агентом это не помогает.

Плагины последних версий, все обновлял еще до этого.

Edited by Alexander K.
  • Solution
Kommunist7304
Posted

Явно почему-то параметр не принимается со стороны KSC. Могу предложить создать новую отдельную группу, в ней создать новую политику (пока что в ней настроить самые важные параметры и включить контроль программ), перебросить тестовый комп в неё и после синхронизации посмотреть на результат.

Если это не поможет, то придется скорее всего создавать запрос через CompanyAccount.

  • Like 1
Alexander K.
Posted
17 минут назад, Kommunist7304 сказал:

Могу предложить создать новую отдельную группу, в ней создать новую политику (пока что в ней настроить самые важные параметры и включить контроль программ), перебросить тестовый комп в неё и после синхронизации посмотреть на результат.

Не помогло. Создал группу TEST, она подхватила две политики (Агент и KES), я создал для группы две новых политики, не изменяя параметров никаких указал только включить компонент контроля программ, послал пакет пульс, политика прилетела, контроль программ сменил ползунок на ВКЛ(если зайти прям в сам компонент), но в общем списке так и остался серым. Само собой скрипты не блокирует. Странности какие-то

Alexander K.
Posted

Сейчас пересоздал политику для KES, но выбрал редактировать настройки политики в мастере, политика была не заполнена, контроль программ по-умолчанию отключен, никаких запретов там нет, после создания политики, захожу в её свойства - а там внутри все мои настройки с основной политики. Хотя наследований нет. Какой-то баг чтоли, или я что-то делаю не правильно. Почему-то все равно всё подхватывает самостоятельно.

Kommunist7304
Posted (edited)

Проверьте где размещена изначальная политика. Если она размещена в дереве/структуре выше, то она автоматически наследуется нижележащими/подчиненными. Либо переместите политику на нужный уровень ниже, либо создавайте новую группу в более высоком уровне.

У вас кстати из-за такой мешанины вышестоящая политика перебивает настройки нижестоящих. Постарайтесь избежать конфликтов политик и для каждой группы заведите отдельную политику, т.к. у вас и другие компоненты могут себя вести из-за этого не так как вы от них ожидаете.

Edited by Kommunist7304
Alexander K.
Posted

Да, с политиками разобрался, удалил все, и на каждую группу завел свою политику.

Теперь при создании новой группы , политики к ней не прикрепляются и я сам настроил новую политику на тестовую группу. Проблему не решило, то есть дело не в политиках.

Вообще до меня на сервере тут другой человек работал, обновлял с KSC вроде как была 10 версия=>на 12ую. Не знаю каким способом.
Я сам лично обновлял с 12 до 13, удалял 12 версию, затем устанавливал 13 версию и из БЭКАПА восстановил всё. (по-моему так, точно не помню алгоритм моих действий.)

Не знаю правильно это или нет, может подскажете как "по феншую" переустановить сервер, чтобы не потерять настройки? или хотя бы чтобы не потерять компьютеры в сети. Хотя я готов полностью с нуля настроить, очистив весь мусор на дисках оставшийся, если это решит проблему с контролем запуска программ.

Posted
В 01.04.2022 в 07:42, Alexander K. сказал:

Не знаю правильно это или нет, может подскажете как "по феншую" переустановить сервер, чтобы не потерять настройки? или хотя бы чтобы не потерять компьютеры в сети. Хотя я готов полностью с нуля настроить, очистив весь мусор на дисках оставшийся, если это решит проблему с контролем запуска программ.

Добрый день.

Вы планируете переустанавливать OC Windows?

Оф. инструкция https://support.kaspersky.com/KSC/13.2/ru-RU/3667.htm

Alexander K.
Posted
52 минуты назад, AIV сказал:

Добрый день.

Вы планируете переустанавливать OC Windows?

Оф. инструкция https://support.kaspersky.com/KSC/13.2/ru-RU/3667.htm

Нет, хочу информацию как полностью переустановить KSC на 13 версию (с созданием новой бд, как создать бд-знаю) с очисткой всего "мусора", который хранится на диске. Готов поставить полностью с нуля, но нужно знать какие файлы и папки на диске нужно подтереть после удаления текущей версии KSC.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...