Подмена сертификатов в веб-браузерах при включении защиты от веб-угроз

[Varvara.Ryabinina]

Добрый день!
Подскажите, пожалуйста, при включении защиты от веб-угроз на сервере KSC, на конечных устройства (ОС: Astra Linux) в веб-браузерах подменяется сертификат на сертификат касперского. Как сертификат распространить на все машины? На каждом ноутбуке свой сертификат, не хочется добавлять его руками. Может есть критерии политики которые надо поменять?

[ElvinE5]

Добрый день.

Он добавляется автоматом при развертывании защиты на конечные устройства. Используется для расшифровки SSL трафика, контролируется вот этой политикой. Ну то есть по идеи ни чего дополнительно вам делать не нужно для распространения этого сертификата.

[Varvara.Ryabinina]

Сейчас в консоли KES не активны настройки для пользователя. 
Возможно нужно скачать еще какую-то утилиту на конечные утсройства?

[mike 1]

7 часов назад, Varvara.Ryabinina сказал:

Сейчас в консоли KES не активны настройки для пользователя.

Здравствуйте, у KESL имеется ролевая модель прав доступа. Подробнее описано в справке https://support.kaspersky.com/KES4Linux/11.3.0/ru-RU/197942.htm

[Varvara.Ryabinina]

Спасибо за помощь!
То есть пользователей нужно вносить руками и потом добавлять их в группы с правами или есть какая-то интеграция с LDAP?

[mike 1]

9 часов назад, Varvara.Ryabinina сказал:

Спасибо за помощь!
То есть пользователей нужно вносить руками и потом добавлять их в группы с правами или есть какая-то интеграция с LDAP?

Вы можете использовать файл автоответов при установке https://support.kaspersky.com/KES4Linux/11.3.0/ru-RU/236945.htm . 

[Varvara.Ryabinina]

Не информативная статья. Ответа на свой вопрос я не нашла.
Изначально надо добавлять пользователя в KSC?
Руками это надо делать или можно интегрировать с LDAP?

Есть ли зависимость между ноутбуком и пользователем? 
в инструкции написано использовать команду kesl-control [-U] --grant-role <роль> <пользователь>

 но изначально как добавить пользователя в группу с определенными правами?

[Varvara.Ryabinina]

Так же сам KSC установлен на сервере Linux поэтому есть возможность работать только в веб версии.
Она ограничена в функционале?

[Varvara.Ryabinina]

Добрый день!
На машине присвоили роль пользователю kesladmin.
Сейчас окно графического интерфейса выглядит так.
Как дать права на функции добавления сертификата в доверенные? 

[ElvinE5]

Если выше устройство работает под действием политики KSCL, то внесите необходимые изменения в соответствующий политику распространяющеюся на это устройство. Так же это исключение будет применено и к другим устройством под данной политикой.

если хотите изменять настройки на клиентском устройстве, наверное, нужно снять "замки" с соответствующих пунктов в политике . или вывести машину из под политики. тогда пользователь сможет менять эти пункты.

прошу прощения нет KSCL скрины с KSC под Windows

при этом добавить сертификат в исключение появилась возможность в 11.3 в 11.2 ее пока нет ...

 

из ММС выглядит так

Edited November 28, 2022 by ElvinE5

[Varvara.Ryabinina]

Для добавления сертификатов в исключения нужно устанавливать новые агенты KES версией 11.3?
Или можно обновить старые 11.2? Подскажите, что нужно для обновления.

[ElvinE5]

в 11.2 как видите нет данного пункта в политике, он похоже, появится в 11.3 когда его починят и повторно опубликуют ? он в данное время пока не доступен.

обновление можно будет сделать через сервер KSC Linux, по средствам задачи удаленной установки.

[Varvara.Ryabinina]

Спасибо!
Когда можно ожидать обновления версии агента до 11.3? 
Есть сроки?

[ElvinE5]

не могу знать ? думаю информация тут появится

 

[Varvara.Ryabinina]

Можете еще уточнить. В разделе политики Защита от файловых угроз есть действие над зараженными объектами "Выполнять рекомендованное действие". Что подразумевается под данным параметром из списка? Если первое действие было "Блокировать" и вторым выбрано "Выполнять рекомендованное действие", то он будет блокировать второй раз?
Мы хотим настроить гибкую политику, чтобы антивирус не сразу удалял вирус (возможно он примет файл, который нужен сотруднику за вирус и удалит его безвозвратно), а помещал его в карантин. С последующим решением пользователя - удалять данный файл или оставить вытащить его из карантина.
Есть ли параметр установки времени хранения файлов карантине?)
Подскажите, пожалуйста, молю ?

[ElvinE5]

День добрый

ну тут по принципу - делаем первое, если не получилось второе. вот справка.

https://support.kaspersky.com/help/KES4Linux/11.2.0/ru-RU/210480.htm

Выполнять рекомендованное действие - выполняется на основе данных об уровне опасности угрозы, обнаруженной в файле, и возможности его лечения. - то есть все те-же Лечить, Удалять, Блокировать - некая лотерея ?

Блокировать - просто не даст пользователю работать с этим файлом, уберет в карантин.

Лечиnь и удалять создадут копии (на всякий), но пользователь сам их не достанет если работает под политикой KSC, администратор может увидеть данных об этих файлах в консоли и принять соответствующие меры - Удалить. Восстановить , сохранить итд

 

upd: лучше оставить лечить, первым и удалять вторым ...так будет надежнее

updd: да настройки хранилища можно изменить, как работают замочки знаете же ?

Спойлер

 

Спойлер

 

Спойлер

 

Edited November 30, 2022 by ElvinE5

[Varvara.Ryabinina]

В параметрах хранилища замочек открыт. Но на пользовательской машине будут падать сюда файлы?

[Varvara.Ryabinina]

Всплывает еще такая ошибка. С чем может быть связана?

[ElvinE5]

карантин и копии файлов всегда хранятся на клиенте, даже если закрыть замок.

замочек закрыт - означает что данный параметр политики будет передаваться на клиентские устройства, и пользователь не сможет их изменить локально.

если открыт - то это параметр не передается и пользователь сам может настроить его локально. в вашем случаи надо проверить сроки и размер хранилищ на данном клиенте.

upd: не думаю что стоит давать возможность пользователям восстанавливать вреданосы. ?

 

по ошибке не подскажу попробуйте перезапустить компоненты, возможно что то криво встало, или с ошибками.

если не поможет попробуйте обратится к https://companyaccount.kaspersky.com

и сразу соберите лог ... они все равно попросят ? - https://support.kaspersky.ru/collect