Jump to content

Релиз Kaspersky Security Center 13.1


Recommended Posts

🔔 У нас состоялся релиз Kaspersky Security Center 13.1 (версия 13.1.0.8324).

🔧 В этой версии мы:
– Улучшили интеграцию с SIEM-системами: теперь вы можете экспортировать события в SIEM-системы по зашифрованному каналу.
– Уменьшили время отклика Kaspersky Security Center 13.1 Web Console.
– Добавили возможность получать исправления для Сервера администрирования в виде дистрибутива.

❓ Вы можете найти подробную информацию в базе знаний и справке.

 

Наблюдения от комьюнити: 

 

< Предыдущая версия || Навигатор  || Следующая версия > 

Link to comment
Share on other sites

Какова ситуация в плане установки поверх KSC 12? Что там с двоением агентов? К сожалению, не вижу явного перчня исправленных ошибок.

Link to comment
Share on other sites

Перестала работать отправка алертов через Exchange.

 

На KSC сыплет непрерывно такое:

Cannot send notification by e-mail.
. #1893 Ошибка cURL: 'Requested SSL level failed'.

 

В логах Exchange такое (адреса и имена хостов заменены на “(***hidden***)”):

2021-08-17T21:39:59.317Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,0,(***hidden***):25,(***hidden***):54216,+,,
2021-08-17T21:39:59.317Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,1,(***hidden***):25,(***hidden***):54216,>,"220 (***hidden***) Microsoft ESMTP MAIL Service ready at Wed, 18 Aug 2021 00:39:59 +0300",
2021-08-17T21:39:59.317Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,2,(***hidden***):25,(***hidden***):54216,<,EHLO (***hidden***),
2021-08-17T21:39:59.317Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,3,(***hidden***):25,(***hidden***):54216,>,250  (***hidden***) Hello [(***hidden***)] SIZE 37748736 PIPELINING DSN ENHANCEDSTATUSCODES 8BITMIME BINARYMIME CHUNKING SMTPUTF8,
2021-08-17T21:39:59.318Z,(***hidden***)\Anonymous Relay,08D959055918DEE8,4,(***hidden***):25,(***hidden***):54216,-,,Remote(SocketError)

Link to comment
Share on other sites

@iq180 , я проверил работу через Exchange, всё ок. Вероятно, есть условия при которых не работает. 

Конечно, есть. У меня запрещёны TLS < 1.2 и слабые cipher suite'ы. И на KSC, и на Exchange, и на Windows.  На предыдущей версии (13.0.0.11247) всё работало, А после апгрейда перестало.

Link to comment
Share on other sites

Есть ли какие-либо проблемы с установкой сабжа на английскую версию windows server, в частности, с автоматически применяемой кодировкой в субд sql express в зависимости от основного языка системы?

Link to comment
Share on other sites

  • 2 weeks later...

Подтверждаю проблему с отправкой событий через Exchange. В 13.0 всё отправлялось без проблем. В 13.1 ошибка #1893 Ошибка cURL: 'Requested SSL level failed'

В настройках KSC стоит для SMTP “Не использовать TLS”.

При нажатии на “Отправить тестовое сообщение” всё работает - тестовое письмо оправляется.  Но других писем больше нет.

Весь лог завален алертами “Ошибка времени выполнения: Cannot send notification by e-mail”.

Вот еще подтверждение проблемы 

Очень жду решения!!!

Link to comment
Share on other sites

День добрый!

1 Можно ли подправить линукс установщик, на возможность указания пути, для сокета MySQL\Percona5.7 ?

 

2 Заявлена поддержка SIEM, а как выбрать и направить события из касперского центра в logstash ?

3 PXE развернут на линуксе, и спокойно разливает образа и windows 10. Как то можно прицепить его к касперскому? 

 

4 если хочется кластер касперского центра 13 на линуксе, лучше сделать вариант нативный, или на кубах можно? Прилагаю пример картинок для понимания. 

 

 

 

Link to comment
Share on other sites

Подтверждаю проблему с отправкой событий через Exchange. В 13.0 всё отправлялось без проблем. В 13.1 ошибка #1893 Ошибка cURL: 'Requested SSL level failed'

В настройках KSC стоит для SMTP “Не использовать TLS”.

При нажатии на “Отправить тестовое сообщение” всё работает - тестовое письмо оправляется.  Но других писем больше нет.

Весь лог завален алертами “Ошибка времени выполнения: Cannot send notification by e-mail”.

Вот еще подтверждение проблемы 

Очень жду решения!!!

Попробовал заменить klcurl.dll на библиотеку из patch_11_0_0_1131_server_b.zip (Коммерческий релиз Kaspersky Security Center 11 (версия 11.0.0.1131) патч B). Не помогло.

Попутно смотрел на трафик с помощью WireShark, обмена по TLS нет ни со старой dll, ни с новой. Постоянно повторяется то, что на картинке.

 

 

Link to comment
Share on other sites

Решение проблемы с нечитаемыми сообщениями при установке агента следующее:

  1. из ресурса с инсталляционными пакетами из папки NetAgent_13.1.0.8324\exec взять файл nagent.kud и положить его в папку NetAgent_13.1.0.8324, переписав существующий там файл.
  2.  Обновить кэш инсталляционного пакета агента

После этого все последующие установки агента будут с читаемыми сообщениями.

Link to comment
Share on other sites

В рамках запроса в companyaccount предложено рабочее решение проблемы с отсылкой уведомлений в Exchange. Замена klcssrv.dll на патченую, плюс правки в таблицах SQL.

Опубликую патч я, чтобы был доверенный источник.

 

INC000013183311
“1. Скачайте прикрепленный файл - “TLS-уведомление о почте issue.zip”*
2. Остановите службу Сервера администрирования.
3. Откройте установочную папку KSC.
4. Переименуйте исходный файл klcssrv.dll
5. Поместите klcssrv.dll из прикрепленного архива в установочную папку KSC.
6. Запустить прикрепленный скрипт на Сервере администрирования под учетной записью, которая использовалась для установки KSC.
7. Запустите службу Сервера администрирования и проверьте результат.”

*SHA256          E57C080B381354E82B86328BA023A96F3EEF8303245CDF03F46F355427C06C4A

Link to comment
Share on other sites

  • 2 weeks later...

Перешёл на KSC 13.1 с 12.2. Переустановил агентов.

Такое ощущение, что сервер сам больше не может достучаться до агентов. Любые изменения политик или запуск групповых задач на сервере по долгу висят в статусе “Ожидает выполнения”. Судя по всему ждут, когда агент сам соединится с сервером и увидит, что ему надо что-то сделать. Раньше политики сразу начинали применяться и групповые задачи выполняться.

В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

Link to comment
Share on other sites

В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты

Link to comment
Share on other sites

В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты


Хммм…

Иконки запуска/остановки задач в свойствах компа в консоли администрирования вообще не активны.

Даже при отключенном МЭ.

Link to comment
Share on other sites

Если команды запуска/остановки задач не доступы - это верный  признак того, что что-то блокирует порт UDP 15000

У себя после обновления KSC с 12.2 до 13.1 и агентов на машинках - такой проблемы не наблюдаю, задачи дергать могу

Link to comment
Share on other sites

Добавил правило, которое разрешает входящие соединения от любого компьютера на порт UPD 15000 и включил логирование.

Хотел увидеть попытки подключения от KSC, но результате увидел кучу широковещательных запросов от других компов на этот. Зачем агент или KES рассылает такие пакеты? В параметрах политики агента администрирования отключен опрос сети для точек распространения и точки распространения не используются (в параметрах KSC стоит назначение точек распространения в ручном режиме и никто не добавлен).

Программа: Kaspersky Endpoint Security
Имя программы: avp.exe
Направление протокола: Входящее
Протокол: UDP
Статус: Разрешено
Удаленный адрес: 172.16.6.125
Удаленный порт: 61261
Локальный адрес: 255.255.255.255
Локальный порт: 15000
Зона: Все сети

Link to comment
Share on other sites

В общем, проблема не в агенте или KSC.

Это проявляется только на на машинах с KES 11.6, а на KES 11.6 всё в порядке и с распространением политик, и с управлением групповыми задачами.

Link to comment
Share on other sites

В прошлом сообщении фигню написал.

В общем, проблема с новым KSC 13.1 в следующем заключается.

Если на компьютере в корпоративной сети есть компы, которые имеют более одного IP-адреса в разных подсетях или на них стоит гипервизор, который создаёт свою виртуальную подсеть, то в базе KSC компьютер может зарегистрироваться не с реальным адресом из корпоративной сети, а с другим (недоступным).

Например, берём комп, который имеет адрес корпоративной сети 10.2.0.10, а сервер KSC имеет адрес 10.2.0.1. На нём стоит VirtualBox, который создал внутреннюю подсеть 192.168.56.0/24 и присвоил этому компу второй адрес 192.168.56.1. После установки агента KSC, тот направляет данные серверу, но сервер регистрирует этот комп в своей базе с адресом 192.168.56.1, а не 10.2.0.10. В результате, агент периодически опрашивает сервер по адресу 10.2.0.1 и в это время забирает политики и задачи. Но KSC, при обращении к компьютеру, пытается стучаться на адрес 192.168.56.1, который зарегистрирован в его базе и который конечно для него не доступен.

Та же самая ситуация, если виртуалок на компе нет, но есть вторая сетевая карта, которая смотрит в другой сегмент, недоступный для KSC. Агент может передать на сервер адрес компа из второй подсети, KSC зарегистрирует комп в своей базе под этим IP и тоже не сможет к нему обращаться.

Как это победить не знаю, решение пока не нашёл.

Link to comment
Share on other sites

Возможно, дело в том, что компы с несколькими адресами регистрирую несколько записей на доменном DNS-сервере. Если находясь на сервере KSC, сказать ping computername - и будет попытка пинговать ненужный адрес - то скорее всего проблема решится исправлением в DNS

Link to comment
Share on other sites

Возможно, дело в том, что компы с несколькими адресами регистрирую несколько записей на доменном DNS-сервере. Если находясь на сервере KSC, сказать ping computername - и будет попытка пинговать ненужный адрес - то скорее всего проблема решится исправлением в DNS


Нет, на доменном DNS всё норм. Это поведение повторяется даже на недоменной машине.

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...