Jump to content

Релиз Kaspersky Security для Windows Server 11.0.1.897 [EOL 01.01.2027]


Recommended Posts

Техническая поддержка Лаборатории Касперского, [25.05.21 10:44]

? У нас состоялся релиз Kaspersky Security 11.0.1 для Windows Server (версия 11.0.1.897).

? В этой версии мы:
— Обновили функциональность программы: параметры самозащиты, правила доверенной зоны и Защиты трафика.
— Оптимизировали интерфейс программы.
— Исправили ошибки предыдущих версий.

Вы можете найти подробную информацию в базе знаний и справке.

Скачать

Наблюдения от комьюнити:

  • Важно ознакомиться со статьей про поддержку SHA-2, если не ознакомились, то возможна ошибка “Generic trust failure” на ОС без обновлений безопасности. Альтернатива установки KB от MS, использовать решение из статьи по KESS, проверено @dvz.
  • В конце сентября появился Critical Fix Core 1 для KSWS 11.0.1./ @dvz  Запрашивать в поддержке.
  • В середине ноября вышел Critical Fix Core 2 для KSWS 11.0.1./ @Katbert Запрашивать в поддержке.
  • При наличии проблем в работе KSWS имеет смысл обратиться в поддержку для получения обновлений в виде исправлений Critical Fix.

< Предыдущая версия || НАВИГАТОР || 

Link to comment
Share on other sites

@tyazhelnikov , точности ради, приведу ответ Вам от @Oleg Bykov на такой же пост к прошлому релизу (KSWS 11.0).

 Цитата:

День добрый.

При установке поверх 10.1.2.996 cf3 запросил перезагрузку. Учитывайте это при обновлении серверов.

 

Как и для других релизов KSWS, это сообщение в 99% случаев можно игнорировать.

 

Link to comment
Share on other sites

Подскажите, есть ли возможность проверить работу компонента “Защита от сетевых атак”?

Какая-нибудь тестовая утилита по аналогии с тестовым вирусом?

Прошла сетевая атака Scan.Generic.PortScan.TCP сервера с KSWS 10.0.0.480 ее отбили и заблокировали источник, а вот оба сервера с 11.0.1.897 ее не заметили. Работа модуля задается единой политикой.

Link to comment
Share on other sites

  • 2 weeks later...

При установке на некоторых серверах выдается такое сообщение

“Нарушено Лицензионное соглашение. Причина: пользователь не принял Положение о KSN”

Хотя и в пакет уже прописал KSN=1 и в политике принято….

Link to comment
Share on other sites

При совместной установке KSWS 11.0.1.897 и KSC11, возможны проблемы с запуском служб ksnproxy или kladminserver. Решение - отключить самозащиту (INC000012868719).

Link to comment
Share on other sites

  • 2 months later...

При установка на сервер ниже 2012 ошибка

 

 

 

при этом если запустить установку msi то ставиться

проблема возникает на старых ОС, где не обновляются корневые сертификаты. Инсталлятор ЛК подписан свежим сертификатом, к которому нет доверия на устаревших ОС.

Решение: Обновить списки корневых сертификатов в ручную. https://support.kaspersky.ru/13727 

Link to comment
Share on other sites

Метод, предложенный в статье https://support.kaspersky.ru/13727 не совсем корректный. К сожалению, за давностью лет у меня не осталась всех подробностей и ссылок, но суть проблемы следующая. В стеке TCP есть некоторый буфер, в который помещается информация о всех корневых сертификатах из текущего хранилища системы. Размер буфера ограничен, причём в Win10 он сильно больше, чем в старых ОС. И поэтому если переносить все сертификаты из Win10 в старую ОС (а их может там быть несколько сотен), то может случится ситуация, что часть из них не поместится в буфер и не будет использовано в работе со всеми вытекающими из этого последствиями. При этом Windows при каждой загрузке будет генерить событие, что не удалось загрузить все сертификаты. В этой ситуации нужно вручную удалять сертификаты их хранилища, чтобы уменьшить их количество. Ну а правильное решение с обновлением корневых сертификатов такое: обновлять не все их сразу, а только конкретные необходимые, либо вручную, либо автоматизировать процесс обновления, как это описано например здесь. У меня так работает много лет и проблем нет. А до этого описанная проблема возникала довольно часто.

Link to comment
Share on other sites

Метод, предложенный в статье https://support.kaspersky.ru/13727 не совсем корректный. К сожалению, за давностью лет у меня не осталась всех подробностей и ссылок, но суть проблемы следующая. В стеке TCP есть некоторый буфер, в который помещается информация о всех корневых сертификатах из текущего хранилища системы. Размер буфера ограничен, причём в Win10 он сильно больше, чем в старых ОС. И поэтому если переносить все сертификаты из Win10 в старую ОС (а их может там быть несколько сотен), то может случится ситуация, что часть из них не поместится в буфер и не будет использовано в работе со всеми вытекающими из этого последствиями. При этом Windows при каждой загрузке будет генерить событие, что не удалось загрузить все сертификаты. В этой ситуации нужно вручную удалять сертификаты их хранилища, чтобы уменьшить их количество. Ну а правильное решение с обновлением корневых сертификатов такое: обновлять не все их сразу, а только конкретные необходимые, либо вручную, либо автоматизировать процесс обновления, как это описано например здесь. У меня так работает много лет и проблем нет. А до этого описанная проблема возникала довольно часто.

Статья от ЛК - можете направить им корректировку ? У себя импортировал только один нужный сертификат который отсутствовал (USERTrust RSA Certification Authority). Прикладываю его на всякий случай.

Link to comment
Share on other sites

Заметил странное. В веб консоли (версия 12.2.265 ) запустил мастер первоначальной настойки, чтобы установить плагин и создать пакет KSWS 11.0.1.

Однако мастер предложил установить плагин версии 11.0.0, а сам пакет - версии 11.0.1.

Это бага, или версия веб-плагина не меняется?

p.s. установил плагин для mmc-консоли из файла klcfginst.exe из папки server дистрибутива ksws_11.0.1.897_ru.zip - там версия соответствует пакету

Link to comment
Share on other sites

Проверил 

KSWS 10.0.0.480  - блокирует скан портов

KSWS 11.0.1.897  - не замечает атаки.

Простое сканирование портов может сделать Angry IP Scanner 2.21 (portable, состоит из одного файла). Результат - похож на ваш. KSWS 11.0.1 молчит. KSWS 11.0.0 под рукой нет

Link to comment
Share on other sites

Еще вижу, что ломаются имена пользователей на русском в событиях контроля запуска программ. В локальном журнале KSWS 11.0.1 имя пользователя выглядит правильно, как KLE-KSC12\Администратор. А в событии и MMC-консоли, и Web-консоли - оно превращается в "User":"KLE-KSC12\\\u0410\u0434\u043C\u0438\u043D\u0438\u0441\u0442\u0440\u0430\u0442\u043E\u0440"

Link to comment
Share on other sites

В веб-консоли нет возможности редактировать имена пользователей в правилах контроля запуска программ. Даже есть в логине пользователя admin2 просто стереть “2” и вписать снова

 

Link to comment
Share on other sites

  • 2 weeks later...

Статья от ЛК - можете направить им корректировку ? У себя импортировал только один нужный сертификат который отсутствовал (USERTrust RSA Certification Authority). Прикладываю его на всякий случай.

Столкнулся с проблемой установки KSWS 11.0.1 на WinSrv 2008 R2 с финальными патчами по январь 2020 г. (включая обновления SHA256) - тоже при запуске установки возникает “Общая ошибка доверия”.

Нюанс - у этого сервера не было прямого доступа в Инет, и корневые сертификаты не обновлялись автоматически. Временно дал инет, и снова запустил server\setup.exe - теперь он запустился (значит, для Win2008 R2 еще выпускаются  списки доверенных сертификатов) В журнале Application видны события от CAPI2 про обновление корневых сертификатов и установку пяти новых сертификатов:

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=UTN-USERFirst-Object, OU=http://www.usertrust.com, O=The USERTRUST Network, L=Salt Lake City, S=UT, C=US> Отпечаток Sha1: <E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US> Отпечаток Sha1: <A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA - R2> Отпечаток Sha1: <75E0ABB6138512271C04F85FDDDE38E4B7242EFE>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=AddTrust External CA Root, OU=AddTrust External TTP Network, O=AddTrust AB, C=SE> Отпечаток Sha1: <02FAF3E291435468607857694DF5E45B68851868>.

Успешное автоматическое обновление стороннего корневого сертификата:: субъект: <CN=AAA Certificate Services, O=Comodo CA Limited, L=Salford, S=Greater Manchester, C=GB>; отпечаток SHA1: <D1EB23A46D17D68FD92564C2F1F1601764D8E349>.

 

Link to comment
Share on other sites

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

Link to comment
Share on other sites

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

Такая же беда. Как обходное решение, после загрузки делал восстановление WSEE и он отпускал агент.

Link to comment
Share on other sites

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

День добрый.

Была такая проблема. Решил удалением агента, чисткой его следов и установкой агента 13.2. Теперь работает.

Link to comment
Share on other sites

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Прислали патч Cumulative critical fix 1 (critical_fix_core_1_x64.msp), но с ним реакции на сканирование портов все так же нет. Использовал Angry IP Scanner 2.21 в режиме сканирования диапазона портов 100-1000.

Link to comment
Share on other sites

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Прислали патч Cumulative critical fix 1 (critical_fix_core_1_x64.msp), но с ним реакции на сканирование портов все так же нет. Использовал Angry IP Scanner 2.21 в режиме сканирования диапазона портов 100-1000.

Подтверждаю, с CF1 не реагирует на скан портов. Использовал Nmap

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...