Релиз Kaspersky Security Center 13.1

[Demiad]

🔔 У нас состоялся релиз Kaspersky Security Center 13.1 (версия 13.1.0.8324).

🔧 В этой версии мы:
– Улучшили интеграцию с SIEM-системами: теперь вы можете экспортировать события в SIEM-системы по зашифрованному каналу.
– Уменьшили время отклика Kaspersky Security Center 13.1 Web Console.
– Добавили возможность получать исправления для Сервера администрирования в виде дистрибутива.

❓ Вы можете найти подробную информацию в базе знаний и справке.

 

Наблюдения от комьюнити: 

• Проблемы с кодировкой в сообщениях при установке агента. Решение обходное: см словарик./@Demiad Решение полное: заменить KUD файл в пакете./ @Roman Andreev 
• Проблема с отправкой событий через Exchange. Ошибка #1893 Ошибка cURL: 'Requested SSL level failed'. Решение: опубликовано в сообщении @Demiad /@Roman Andreev 

 

< Предыдущая версия || Навигатор  || Следующая версия > 

[tyazhelnikov]

Описание события о успешной установке агента нечитабельное.

Сам агент успешно установился.

[Alex_K]

Какова ситуация в плане установки поверх KSC 12? Что там с двоением агентов? К сожалению, не вижу явного перчня исправленных ошибок.

[Demiad]

Словирик:

Установка завершена успешно.
Установка завершена успешно.

 

 Р’Рѕ время установки произошла неустранимая ошибка.
 Во время установки произошла неустранимая ошибка.

 

Мастер установки не смог обработать командную строку.
Мастер установки не смог обработать командную строку.

[iq180]

Перестала работать отправка алертов через Exchange.

 

На KSC сыплет непрерывно такое:

Cannot send notification by e-mail.
. #1893 Ошибка cURL: 'Requested SSL level failed'.

 

В логах Exchange такое (адреса и имена хостов заменены на “(***hidden***)”):

2021-08-17T21:39:59.317Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,0,(***hidden***):25,(***hidden***):54216,+,,
2021-08-17T21:39:59.317Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,1,(***hidden***):25,(***hidden***):54216,>,"220 (***hidden***) Microsoft ESMTP MAIL Service ready at Wed, 18 Aug 2021 00:39:59 +0300",
2021-08-17T21:39:59.317Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,2,(***hidden***):25,(***hidden***):54216,<,EHLO (***hidden***),
2021-08-17T21:39:59.317Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,3,(***hidden***):25,(***hidden***):54216,>,250  (***hidden***) Hello [(***hidden***)] SIZE 37748736 PIPELINING DSN ENHANCEDSTATUSCODES 8BITMIME BINARYMIME CHUNKING SMTPUTF8,
2021-08-17T21:39:59.318Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,4,(***hidden***):25,(***hidden***):54216,-,,Remote(SocketError)

[Demiad]

@iq180 , я проверил работу через Exchange, всё ок. Вероятно, есть условия при которых не работает. 

[iq180]

@iq180 , я проверил работу через Exchange, всё ок. Вероятно, есть условия при которых не работает. 

Конечно, есть. У меня запрещёны TLS < 1.2 и слабые cipher suite'ы. И на KSC, и на Exchange, и на Windows.  На предыдущей версии (13.0.0.11247) всё работало, А после апгрейда перестало.

[s.g.]

Есть ли какие-либо проблемы с установкой сабжа на английскую версию windows server, в частности, с автоматически применяемой кодировкой в субд sql express в зависимости от основного языка системы?

[Roman Andreev]

Подтверждаю проблему с отправкой событий через Exchange. В 13.0 всё отправлялось без проблем. В 13.1 ошибка #1893 Ошибка cURL: 'Requested SSL level failed'

В настройках KSC стоит для SMTP “Не использовать TLS”.

При нажатии на “Отправить тестовое сообщение” всё работает - тестовое письмо оправляется.  Но других писем больше нет.

Весь лог завален алертами “Ошибка времени выполнения: Cannot send notification by e-mail”.

Вот еще подтверждение проблемы 

Очень жду решения!!!

[Roman Andreev]

Еще вот такая красота в свойствах политики Сервера администрирования:

 

И вот такие кракозябры при установке агента:

 

[Pavel-OracleLinux]

День добрый!

1 Можно ли подправить линукс установщик, на возможность указания пути, для сокета MySQL\Percona5.7 ?

 

2 Заявлена поддержка SIEM, а как выбрать и направить события из касперского центра в logstash ?

3 PXE развернут на линуксе, и спокойно разливает образа и windows 10. Как то можно прицепить его к касперскому? 

 

4 если хочется кластер касперского центра 13 на линуксе, лучше сделать вариант нативный, или на кубах можно? Прилагаю пример картинок для понимания. 

 

 

 

[Roman Andreev]

Еще нашел вот такое дублирование в кнопке “Пуск” - Все программы - Kaspersky Security Center

 

[iq180]

Подтверждаю проблему с отправкой событий через Exchange. В 13.0 всё отправлялось без проблем. В 13.1 ошибка #1893 Ошибка cURL: 'Requested SSL level failed'

В настройках KSC стоит для SMTP “Не использовать TLS”.

При нажатии на “Отправить тестовое сообщение” всё работает - тестовое письмо оправляется.  Но других писем больше нет.

Весь лог завален алертами “Ошибка времени выполнения: Cannot send notification by e-mail”.

Вот еще подтверждение проблемы 

Очень жду решения!!!

Попробовал заменить klcurl.dll на библиотеку из patch_11_0_0_1131_server_b.zip (Коммерческий релиз Kaspersky Security Center 11 (версия 11.0.0.1131) патч B). Не помогло.

Попутно смотрел на трафик с помощью WireShark, обмена по TLS нет ни со старой dll, ни с новой. Постоянно повторяется то, что на картинке.

 

 

[Roman Andreev]

В рамках запроса в companyaccount предложено рабочее решение проблемы с отсылкой уведомлений в Exchange. Замена klcssrv.dll на патченую, плюс правки в таблицах SQL.

[Roman Andreev]

Решение проблемы с нечитаемыми сообщениями при установке агента следующее:

1. из ресурса с инсталляционными пакетами из папки NetAgent_13.1.0.8324\exec взять файл nagent.kud и положить его в папку NetAgent_13.1.0.8324, переписав существующий там файл.
2.  Обновить кэш инсталляционного пакета агента

После этого все последующие установки агента будут с читаемыми сообщениями.

[Demiad]

В рамках запроса в companyaccount предложено рабочее решение проблемы с отсылкой уведомлений в Exchange. Замена klcssrv.dll на патченую, плюс правки в таблицах SQL.

Опубликую патч я, чтобы был доверенный источник.

 

INC000013183311
“1. Скачайте прикрепленный файл - “TLS-уведомление о почте issue.zip”*
2. Остановите службу Сервера администрирования.
3. Откройте установочную папку KSC.
4. Переименуйте исходный файл klcssrv.dll
5. Поместите klcssrv.dll из прикрепленного архива в установочную папку KSC.
6. Запустить прикрепленный скрипт на Сервере администрирования под учетной записью, которая использовалась для установки KSC.
7. Запустите службу Сервера администрирования и проверьте результат.”

*SHA256          E57C080B381354E82B86328BA023A96F3EEF8303245CDF03F46F355427C06C4A

[Berckut]

Перешёл на KSC 13.1 с 12.2. Переустановил агентов.

Такое ощущение, что сервер сам больше не может достучаться до агентов. Любые изменения политик или запуск групповых задач на сервере по долгу висят в статусе “Ожидает выполнения”. Судя по всему ждут, когда агент сам соединится с сервером и увидит, что ему надо что-то сделать. Раньше политики сразу начинали применяться и групповые задачи выполняться.

В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

[Katbert]

В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты

[Berckut]

В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты

Хммм…

Иконки запуска/остановки задач в свойствах компа в консоли администрирования вообще не активны.

Даже при отключенном МЭ.

[Katbert]

Если команды запуска/остановки задач не доступы - это верный  признак того, что что-то блокирует порт UDP 15000

У себя после обновления KSC с 12.2 до 13.1 и агентов на машинках - такой проблемы не наблюдаю, задачи дергать могу

[Berckut]

Добавил правило, которое разрешает входящие соединения от любого компьютера на порт UPD 15000 и включил логирование.

Хотел увидеть попытки подключения от KSC, но результате увидел кучу широковещательных запросов от других компов на этот. Зачем агент или KES рассылает такие пакеты? В параметрах политики агента администрирования отключен опрос сети для точек распространения и точки распространения не используются (в параметрах KSC стоит назначение точек распространения в ручном режиме и никто не добавлен).

Программа: Kaspersky Endpoint Security
Имя программы: avp.exe
Направление протокола: Входящее
Протокол: UDP
Статус: Разрешено
Удаленный адрес: 172.16.6.125
Удаленный порт: 61261
Локальный адрес: 255.255.255.255
Локальный порт: 15000
Зона: Все сети

[Berckut]

В общем, проблема не в агенте или KSC.

Это проявляется только на на машинах с KES 11.6, а на KES 11.6 всё в порядке и с распространением политик, и с управлением групповыми задачами.

[Berckut]

В прошлом сообщении фигню написал.

В общем, проблема с новым KSC 13.1 в следующем заключается.

Если на компьютере в корпоративной сети есть компы, которые имеют более одного IP-адреса в разных подсетях или на них стоит гипервизор, который создаёт свою виртуальную подсеть, то в базе KSC компьютер может зарегистрироваться не с реальным адресом из корпоративной сети, а с другим (недоступным).

Например, берём комп, который имеет адрес корпоративной сети 10.2.0.10, а сервер KSC имеет адрес 10.2.0.1. На нём стоит VirtualBox, который создал внутреннюю подсеть 192.168.56.0/24 и присвоил этому компу второй адрес 192.168.56.1. После установки агента KSC, тот направляет данные серверу, но сервер регистрирует этот комп в своей базе с адресом 192.168.56.1, а не 10.2.0.10. В результате, агент периодически опрашивает сервер по адресу 10.2.0.1 и в это время забирает политики и задачи. Но KSC, при обращении к компьютеру, пытается стучаться на адрес 192.168.56.1, который зарегистрирован в его базе и который конечно для него не доступен.

Та же самая ситуация, если виртуалок на компе нет, но есть вторая сетевая карта, которая смотрит в другой сегмент, недоступный для KSC. Агент может передать на сервер адрес компа из второй подсети, KSC зарегистрирует комп в своей базе под этим IP и тоже не сможет к нему обращаться.

Как это победить не знаю, решение пока не нашёл.

[Katbert]

Возможно, дело в том, что компы с несколькими адресами регистрирую несколько записей на доменном DNS-сервере. Если находясь на сервере KSC, сказать ping computername - и будет попытка пинговать ненужный адрес - то скорее всего проблема решится исправлением в DNS

[Berckut]

Возможно, дело в том, что компы с несколькими адресами регистрирую несколько записей на доменном DNS-сервере. Если находясь на сервере KSC, сказать ping computername - и будет попытка пинговать ненужный адрес - то скорее всего проблема решится исправлением в DNS

Нет, на доменном DNS всё норм. Это поведение повторяется даже на недоменной машине.