Релиз Kaspersky Security Center 13

[Demiad]

Техническая поддержка Лаборатории Касперского, [23.03.21 15:01]

🔔 У нас состоялся релиз Kaspersky Security Center 13 (версия 13.0.0.11247).

🔧 В этой версии:
- Мы обновили функционал Kaspersky Security Center Web Console.
- Внедрили двухэтапную проверку для пользователей Консоли администрирования.
- Добавили возможность отправлять сообщения на Сервер администрирования по HTTP-протоколу.
- И другие изменения, о которых вы можете узнать в документации.

❓ Вы можете найти подробную информацию в базе знаний и документации.

Наблюдения от комьюнити: 

• Проблема с зависанием MMC- (долгие переходы) и Веб-консоли (крутится колесо загрузки после авторизации) при использовании БД MS SQL 2019 для этой версии тоже актуальна, решение как и ранее в документации.
• После обновления KSC до 13-й версии, установка на управляемые хосты агента администрирования обновлением поверх во многих случаях, предположительно, влечёт присвоение устройствам новых уникальных идентификаторов объектов, следовательно создаются новые объекты устройств на KSC (дублируются условно говоря). Это может повлечь превышение допустимого количества лицензий и выключение антивирусной защиты. Проверяйте такой сценарий и удаляйте не актуальные объекты. Проверить есть ли дубли проще всего поиском в консоли по хостам, в “Имя устройства или IP” указать запросы:
  *~*
  *company.domainname.*
  Решение проблемы

< Предыдущая версия || Навигатор  || Следующая версия >

[Itshaman]

Здравствуйте!

 

Недавно успешно обновил KSC до 12.2.0.4376, а вчера увидел новость о релизе 13 версии

 

Но что-то пошло не так и консоль не обновилась, более того - перестала работать

 

Помогло полное удаление, установка 12 и восстановление из бекапа

 

По логам что-то можно понять, с чем связана ошибка обновления и можно ли обновляться в будущем? 

 

 

[tyazhelnikov]

День добрый.

Сегодня обновился. При обновлении агентов с некоторых клиентов win7x32 стали приходить события “Администратору Kaspersky Security Center было предложено подтвердить перезагрузку.” В KSC нигде не нашел никаких предложений что-то подтвердить. Хотелось бы узнать где можно увидеть такие предложения... А если учесть, что в параметрах задачи установки задано “Не перезагружать устройство”  вобще не понятно почему требуются подтверждения

[Demiad]

@tyazhelnikov , попробуйте сделать выборку событий, есть стандартная “Запросы пользователей”. Может, там есть какие-то кнопки или в контекстном меню на событии.

[tyazhelnikov]

Запросы пользователей видно и на главном экране KSС и в выборке и естессно там их ноль.

Да и не пользователь ничего не просил. Самое забавное что агент 13 устанавливается, но служба не стартует автоматом, но если ее запустить руками, клиент переходит в статус “Требуется перезагрузка”.

Также заменил, что при установке агента 13 поверх 12, около 60-80% клиентов находится заново - если до обновления был comp1, то после находится “новый”  comp1~111, при этом задача на comp1 так и висит в статусе “запущена установка”

 

 

[tyazhelnikov]

Наконец то нашел, где отображается запрос на перезагрузку.

На главной странице мониторинга появляется ссылка

При нажатии выходит список устройств, которые можно перезагрузить

 

[dmitriy.novozhilov]

Аналогичная ситуация. При обновлении агентов с версии 12.2.0.4376 на 13.0.0.11247 устройство обнаруживается как новое. Написал заявку в тех. поддержку.

Использую KSC с версии 10, всегда обновления агентов на рабочих станциях происходили штатно, впервые с таким столкнулся.

[tyazhelnikov]

Аналогично, впервые обновление агентов доставили хлопот. из 270 обновленных клиентов, около 200 стали “новыми”, выпали в нераспределённые. Кстати ни один из ”новых” не подтянул описание клиента, хотя на 12.2. подтягивалось.

[Demiad]

В английской ветке человек тоже ругается на схожее поведение (новые объекты хостов). Возможно, его более тяжёлая ситуация с выключением защиты произошла из-за превышения количества лицензий на KES после дублирования объектов.

[Demiad]

@tyazhelnikov , запросы перезагрузки при обновлении агентов были только в событиях или на клиентской стороне в ОС от klshwmsg.exe выдавалось окно с предложением перезагрузиться? 

[tyazhelnikov]

 

@tyazhelnikov , запросы перезагрузки при обновлении агентов были только в событиях или на клиентской стороне в ОС от klshwmsg.exe выдавалось окно с предложением перезагрузиться? 

 

Не скажу, так как не подключался к клиенту, а просто удаленно запустил службу агента. В след. раз проверю.

В английской ветке человек тоже ругается на схожее поведение (новые объекты хостов). Возможно, его более тяжёлая ситуация с выключением защиты произошла из-за превышения количества лицензий на KES после дублирования объектов.

Ну у меня лицензий хватило, но на хостах было отключение политики и вопросы от KES пользователям от принятии положения KSN, включение локального интерфейса и тд)))) Ругался про себя))))

[tyazhelnikov]

Дополнительно! Появляются дубли клиентов не только с ~, но и с полным именем домена.

т.е до обновления клиент LMZ-IT-14, после обновления LMZ-IT-14.<полное имя домена>

 

 

 

[Demiad]

@tyazhelnikov , точно, спасибо, добавил в первый пост про имя домена тоже.

Уточните, KES какой используете? 11.6?

Сейчас если остановить службу агента на хосте, переключение на режим без политики KES производит?

На всякий случай уточню, никаких дополнительных советов ядать не смогу, просто интересуюсь поведением, чтоб другим было понятно чего можно ожидать.

За решением проблем стоит обращаться в CA.

[tyazhelnikov]

Нет, политика отключалась именно из-за того что клиент попадал в нераспределенные. 

Теперь при обновлении сразу устанавливаю группу, в которую нужно перемещать, ну т.е указываю ту в которой обновляю. Пришлось обновлять агентов “по группно”.

КЕС в основном 11.5.

Проверил. Остановка службы агента не отключает политику.

[Katbert]

В одной из сетей обновился с KSC12.2 (контроллер домена WinSrv2012 R2 + SQL Express 2012 SP2) до KSC13 установкой поверх. Предварительно удалил веб-консоль. Обновилось без ошибок в Kaspersky Event Log. Запустил задачу установки агента на 4 машинках - у трех появились дубли ~~510378 или с именем на основе FQDN. Клоны имеют активный статус, а задача установки застряла в статусе “Выполняется”

По логу Windows Installer на одной из машин - все закончилось прекрасно, даже перезагрузка не потребовалась:

Установщик Windows изменил настройку продукта. Продукт: Агент администрирования Kaspersky Security Center. Версия: 13.0.0.11247. Язык: 1049. Изготовитель: "Лаборатория Касперского". Изменение настройки завершено с состоянием: 0.

[Katbert]

На четвертом компе задача выполнялась 26 мин, после чего успешно завершилась и клона не возникло

[Katbert]

В журнале Kaspersky Event Log на одной из раздвоившихся машин нашел зацепку - почему возникают клоны:

 

[Katbert]

На втором клоне аналогичная картина - слетевшие идентификаторы на основе MAC-адреса и модели винта;

 

[Katbert]

Старые идентификаторы выглядят правдоподобно - действительный MAC-адрес и модель HDD. А новые идентификаторы совсем не похожи на правду

[Katbert]

На третьем компе - такая же фигня. Новый MAC-адрес пустой, идентификатор HDD заменен общей фразой

 

[tyazhelnikov]

@tyazhelnikov , запросы перезагрузки при обновлении агентов были только в событиях или на клиентской стороне в ОС от klshwmsg.exe выдавалось окно с предложением перезагрузиться? 

Проверил данную ситуацию, на клиенте никаких запросов, вопросов и тд.  

На клиенте фиксируются события в 1 секунду. 

Установщику Windows требуется перезагрузить систему. Продукт: Агент администрирования Kaspersky Security Center. Версия: 13.0.0.11247. Язык: 1049. Изготовитель: "Лаборатория Касперского". Тип перезагрузки: 2. Причина перезагрузки: 1. 

Продукт: Агент администрирования Kaspersky Security Center. Требуется перезагрузка. После установки или обновления продукта требуется перезагрузка, чтобы все изменения вступили в силу.  Перезагрузка будет выполнена позже. 

 

Если стартовать службу вручную без перезагрузки и остановить задачу установки агента на этом клиенте, статус “требуется перезагрузка” исчезает. Агент работает, клиент “зелененький”.

[Katbert]

Ясности не прибавилось, завел по проблеме дублирования агентов INC000012637545

[GlooM]

Поддержка кому-нибудь кто завел тикет ответила про дублирование?

Что-то не охота раскидывать 900 машин если они улетят в нераспределенные по группам. А предварительно еще и сохранять список кто как на данный момент разложен по группам, чтобы потом понимать куда какую машину возвращать.

[Demiad]

@GlooM , запрос @Katbert  про дублирование хостов был передан сотрудникам ЛК, занимающимся проблемами KSC. Далее от @Katbert ждём новостей.

[Katbert]

День прошел - СА молчит