Релиз Kaspersky Security для Windows Server 11.0.1.897 [EOL 01.07.2025/01.01.2027]

[Demiad]

Пояснения про EOL и миграцию на KESW:  https://support.kaspersky.ru/16086

Техническая поддержка Лаборатории Касперского, [25.05.21 10:44]

? У нас состоялся релиз Kaspersky Security 11.0.1 для Windows Server (версия 11.0.1.897).

? В этой версии мы:
— Обновили функциональность программы: параметры самозащиты, правила доверенной зоны и Защиты трафика.
— Оптимизировали интерфейс программы.
— Исправили ошибки предыдущих версий.

❓ Вы можете найти подробную информацию в базе знаний и справке.

Скачать

Наблюдения от комьюнити:

• Важно ознакомиться со статьей про поддержку SHA-2, если не ознакомились, то возможна ошибка “Generic trust failure” на ОС без обновлений безопасности. Альтернатива установки KB от MS, использовать решение из статьи по KESS, проверено @dvz.
• В конце сентября появился Critical Fix Core 1 для KSWS 11.0.1./ @dvz  Запрашивать в поддержке.
• В середине ноября вышел Critical Fix Core 2 для KSWS 11.0.1./ @Katbert Запрашивать в поддержке.
• При наличии проблем в работе KSWS имеет смысл обратиться в поддержку для получения обновлений в виде исправлений Critical Fix.

< Предыдущая версия || НАВИГАТОР || 

[tyazhelnikov]

День добрый.

При установке поверх 11.0.0.480 CF4 требуется перезагрузка.

[Demiad]

@tyazhelnikov , точности ради, приведу ответ Вам от @Oleg Bykov на такой же пост к прошлому релизу (KSWS 11.0).

 Цитата:

  Oleg Bykov said:

  tyazhelnikov said:

День добрый.

При установке поверх 10.1.2.996 cf3 запросил перезагрузку. Учитывайте это при обновлении серверов.

 

Как и для других релизов KSWS, это сообщение в 99% случаев можно игнорировать.

 

[tyazhelnikov]

Подскажите, есть ли возможность проверить работу компонента “Защита от сетевых атак”?

Какая-нибудь тестовая утилита по аналогии с тестовым вирусом?

Прошла сетевая атака Scan.Generic.PortScan.TCP сервера с KSWS 10.0.0.480 ее отбили и заблокировали источник, а вот оба сервера с 11.0.1.897 ее не заметили. Работа модуля задается единой политикой.

[Demiad]

@tyazhelnikov , атаку типа “скан портов” можно устроить утилитой NMAP https://nmap.org/

[tyazhelnikov]

Спасибо.

Проверил 

KSWS 10.0.0.480  - блокирует скан портов

KSWS 11.0.1.897  - не замечает атаки.

[Coliseum]

При установке на некоторых серверах выдается такое сообщение

“Нарушено Лицензионное соглашение. Причина: пользователь не принял Положение о KSN”

Хотя и в пакет уже прописал KSN=1 и в политике принято….

[dvz]

При совместной установке KSWS 11.0.1.897 и KSC11, возможны проблемы с запуском служб ksnproxy или kladminserver. Решение - отключить самозащиту (INC000012868719).

[tyazhelnikov]

Подскажите ,будет ли какое то решение по отсутствию реакции на сетевые атаки в этой версии (писал об этом выше)?

Может уже какой-нибудь CF есть?

[Coliseum]

При установка на сервер ниже 2012 ошибка

 

 

 

при этом если запустить установку msi то ставиться

[dvz]

  Coliseum said:

При установка на сервер ниже 2012 ошибка

 

 

 

при этом если запустить установку msi то ставиться

проблема возникает на старых ОС, где не обновляются корневые сертификаты. Инсталлятор ЛК подписан свежим сертификатом, к которому нет доверия на устаревших ОС.

Решение: Обновить списки корневых сертификатов в ручную. https://support.kaspersky.ru/13727 

[Roman Andreev]

Метод, предложенный в статье https://support.kaspersky.ru/13727 не совсем корректный. К сожалению, за давностью лет у меня не осталась всех подробностей и ссылок, но суть проблемы следующая. В стеке TCP есть некоторый буфер, в который помещается информация о всех корневых сертификатах из текущего хранилища системы. Размер буфера ограничен, причём в Win10 он сильно больше, чем в старых ОС. И поэтому если переносить все сертификаты из Win10 в старую ОС (а их может там быть несколько сотен), то может случится ситуация, что часть из них не поместится в буфер и не будет использовано в работе со всеми вытекающими из этого последствиями. При этом Windows при каждой загрузке будет генерить событие, что не удалось загрузить все сертификаты. В этой ситуации нужно вручную удалять сертификаты их хранилища, чтобы уменьшить их количество. Ну а правильное решение с обновлением корневых сертификатов такое: обновлять не все их сразу, а только конкретные необходимые, либо вручную, либо автоматизировать процесс обновления, как это описано например здесь. У меня так работает много лет и проблем нет. А до этого описанная проблема возникала довольно часто.

[dvz]

  Roman Andreev said:

Метод, предложенный в статье https://support.kaspersky.ru/13727 не совсем корректный. К сожалению, за давностью лет у меня не осталась всех подробностей и ссылок, но суть проблемы следующая. В стеке TCP есть некоторый буфер, в который помещается информация о всех корневых сертификатах из текущего хранилища системы. Размер буфера ограничен, причём в Win10 он сильно больше, чем в старых ОС. И поэтому если переносить все сертификаты из Win10 в старую ОС (а их может там быть несколько сотен), то может случится ситуация, что часть из них не поместится в буфер и не будет использовано в работе со всеми вытекающими из этого последствиями. При этом Windows при каждой загрузке будет генерить событие, что не удалось загрузить все сертификаты. В этой ситуации нужно вручную удалять сертификаты их хранилища, чтобы уменьшить их количество. Ну а правильное решение с обновлением корневых сертификатов такое: обновлять не все их сразу, а только конкретные необходимые, либо вручную, либо автоматизировать процесс обновления, как это описано например здесь. У меня так работает много лет и проблем нет. А до этого описанная проблема возникала довольно часто.

Статья от ЛК - можете направить им корректировку ? У себя импортировал только один нужный сертификат который отсутствовал (USERTrust RSA Certification Authority). Прикладываю его на всякий случай.

[Katbert]

Заметил странное. В веб консоли (версия 12.2.265 ) запустил мастер первоначальной настойки, чтобы установить плагин и создать пакет KSWS 11.0.1.

Однако мастер предложил установить плагин версии 11.0.0, а сам пакет - версии 11.0.1.

Это бага, или версия веб-плагина не меняется?

p.s. установил плагин для mmc-консоли из файла klcfginst.exe из папки server дистрибутива ksws_11.0.1.897_ru.zip - там версия соответствует пакету

[Katbert]

  tyazhelnikov said:

Проверил 

KSWS 10.0.0.480  - блокирует скан портов

KSWS 11.0.1.897  - не замечает атаки.

Простое сканирование портов может сделать Angry IP Scanner 2.21 (portable, состоит из одного файла). Результат - похож на ваш. KSWS 11.0.1 молчит. KSWS 11.0.0 под рукой нет

[Katbert]

Еще вижу, что ломаются имена пользователей на русском в событиях контроля запуска программ. В локальном журнале KSWS 11.0.1 имя пользователя выглядит правильно, как KLE-KSC12\Администратор. А в событии и MMC-консоли, и Web-консоли - оно превращается в "User":"KLE-KSC12\\\u0410\u0434\u043C\u0438\u043D\u0438\u0441\u0442\u0440\u0430\u0442\u043E\u0440"

[Katbert]

В веб-консоли нет возможности редактировать имена пользователей в правилах контроля запуска программ. Даже есть в логине пользователя admin2 просто стереть “2” и вписать снова

 

[Demiad]

Коллега @dvz поделился информацией, что в поддержке выдают Critical Fix 1 для KSWS 11.0.1.

[Katbert]

  dvz said:

Статья от ЛК - можете направить им корректировку ? У себя импортировал только один нужный сертификат который отсутствовал (USERTrust RSA Certification Authority). Прикладываю его на всякий случай.

Столкнулся с проблемой установки KSWS 11.0.1 на WinSrv 2008 R2 с финальными патчами по январь 2020 г. (включая обновления SHA256) - тоже при запуске установки возникает “Общая ошибка доверия”.

Нюанс - у этого сервера не было прямого доступа в Инет, и корневые сертификаты не обновлялись автоматически. Временно дал инет, и снова запустил server\setup.exe - теперь он запустился (значит, для Win2008 R2 еще выпускаются  списки доверенных сертификатов) В журнале Application видны события от CAPI2 про обновление корневых сертификатов и установку пяти новых сертификатов:

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=UTN-USERFirst-Object, OU=http://www.usertrust.com, O=The USERTRUST Network, L=Salt Lake City, S=UT, C=US> Отпечаток Sha1: <E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US> Отпечаток Sha1: <A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA - R2> Отпечаток Sha1: <75E0ABB6138512271C04F85FDDDE38E4B7242EFE>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=AddTrust External CA Root, OU=AddTrust External TTP Network, O=AddTrust AB, C=SE> Отпечаток Sha1: <02FAF3E291435468607857694DF5E45B68851868>.

Успешное автоматическое обновление стороннего корневого сертификата:: субъект: <CN=AAA Certificate Services, O=Comodo CA Limited, L=Salford, S=Greater Manchester, C=GB>; отпечаток SHA1: <D1EB23A46D17D68FD92564C2F1F1601764D8E349>.

 

[Katbert]

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

[TSV]

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

[Coliseum]

  TSV said:

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

Такая же беда. Как обходное решение, после загрузки делал восстановление WSEE и он отпускал агент.

[tyazhelnikov]

  TSV said:

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

День добрый.

Была такая проблема. Решил удалением агента, чисткой его следов и установкой агента 13.2. Теперь работает.

[Katbert]

  Katbert said:

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Прислали патч Cumulative critical fix 1 (critical_fix_core_1_x64.msp), но с ним реакции на сканирование портов все так же нет. Использовал Angry IP Scanner 2.21 в режиме сканирования диапазона портов 100-1000.

[tyazhelnikov]

  Katbert said:

  Katbert said:

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Прислали патч Cumulative critical fix 1 (critical_fix_core_1_x64.msp), но с ним реакции на сканирование портов все так же нет. Использовал Angry IP Scanner 2.21 в режиме сканирования диапазона портов 100-1000.

Подтверждаю, с CF1 не реагирует на скан портов. Использовал Nmap