KЕS блокирует личный кабинет в СберБизнес

[eeerooma]

Добрый день.
Ночью обновили KES до версии 12.8.0.505. Сегодня утром не можем войти в личный кабинет в СберБизнес. Если отключить KES, то заходит.
Сбер прислал ip с номерами портов которые нужно исключить из блокировки (см. скриншот).
Я прописал их в исключения в разделе "Базовая защита" - "Защита от сетевых угроз" (см. скриншот).
Настройки применились на ПК пользователей (см. скриншот), но всё равно не пускает.
ПОдскажите, пожалуйста, что ещё нужно сделать.

[Demiad]

@eeerooma, добрый день.

Мы делали оповещение о возможных проблемах с устаревшими протоколами шифрования обмена на KESW 12.8 в канале Технической поддержки ЛК: https://t.me/kl_support/1126

Используйте ссылки на статьи из сообщения:

• https://support.kaspersky.ru/kes12/178483
• https://support.kaspersky.ru/15215

[durtuno]

  On 2/14/2025 at 10:32 AM, eeerooma said:

Сбер прислал ip с номерами портов которые нужно исключить из блокировки (см. скриншот).

Expand  

  On 2/14/2025 at 10:32 AM, eeerooma said:

Сегодня утром не можем войти в личный кабинет в СберБизнес.

Expand  

У Вас вход и авторизация по токену (какому?) или по URL с подтверждением по СМС?

В первом случае потребуется настраивать исключения, во втором нет.

Edited February 14 by durtuno

[Дмитрий Г.]

  On 2/14/2025 at 11:18 AM, durtuno said:

У Вас вход и авторизация по токену (какому?) или по URL с подтверждением по СМС?

В первом случае потребуется настраивать исключения, во втором нет.

Expand  

Добрый день, хотелось бы подробнее про настройку исключений при авторизации по сберовскому токену. Т.к. с ним страница в браузере открывается сразу как localhost (через запуск "start" с токена)

[durtuno]

  On 2/19/2025 at 8:14 AM, Дмитрий Г. said:

хотелось бы подробнее про настройку исключений при авторизации по сберовскому токену. Т.к. с ним страница в браузере открывается сразу как localhost (через запуск "start" с токена)

Expand  

Типа такого, исключение следует настраивать как показано на скрине, т.к. у Меня путь к исполняемому файлу СББОЛ постоянный, то исключил по конкретному пути:

[Дмитрий Г.]

  On 2/19/2025 at 8:26 AM, durtuno said:

Типа такого, исключение следует настраивать как показано на скрине, т.к. у Меня путь к исполняемому файлу СББОЛ постоянный, то исключил по конкретному пути:

Expand  

Спасибо, помогло! Мы даже не думали, что такое простое действие, как исключение старт.ехе поможет в данном случае. 

[durtuno]

  On 2/19/2025 at 10:16 AM, Дмитрий Г. said:

Мы даже не думали, что такое простое действие, как исключение старт.ехе поможет в данном случае. 

Expand  

Данное правило можно настроить точнее, что бы не понижать безопасность в целом, где задавать его в профиле политики и применять на отдельные устройства.

Чуть позже, наверное, попробую отладить и настроить фильтрацию по адресам и портам, а не как сейчас - "Любые".

[PolyakovSV]

  On 2/19/2025 at 10:43 AM, durtuno said:

Данное правило можно настроить точнее, что бы не понижать безопасность в целом, где задавать его в профиле политики и применять на отдельные устройства.

Чуть позже, наверное, попробую отладить и настроить фильтрацию по адресам и портам, а не как сейчас - "Любые".

Expand  

Добрый день, было бы интересно так настроить. Ждем инструкцию, спасибо!

[durtuno]

  On 2/26/2025 at 7:25 AM, PolyakovSV said:

было бы интересно так настроить. Ждем инструкцию, спасибо!

Expand  

В принципе ничего сложного нет.

Вам нужно определиться, каким образом будете активировать профиль политики, вариантов несколько, по группе "AD", тегу и прочее.

После, в настройках профиля в разделе "Общие настройки"--> "Настройки сети" указываете исключаемый файл и трафик (следует принимать во внимание, что удалённые сервера "Сбербанка" могут отличаться/ изменяться на периоде, на данный момент у Меня так):

  Reveal hidden contents

и закрываете замочек настройки.

Также в разделе "Общие настройки"--> "Исключение и типы объектов" закрываете замочек настройки "Исключение из проверки и доверенные приложения".

Также в обоих этих разделах стоит обратить внимание на галку "Объединять значения при наследовании", её следует проставить.

Для пущей уверенности применения изменённой политики, устройство следует принудительно синхронизировать.

Ниже привожу кусок трассировки, где видно, какой IP и порт исключать и по какой причине происходит обрыв подключения:

  Reveal hidden contents

09:41:39.748	0x440c	INF	trafmon	ProxySession(16): OUTBOUND connection from PID=2984 192.168.1.2:56807 -> 194.54.14.137:443
09:41:39.748	0x440c	WRN	trafmon	Failed to get connection context
09:41:39.748	0x440c	INF	trafmon	ProxySession(16): REMOTE NAME set to ftls.sberbank.ru
09:41:39.748	0x440c	INF	trafmon	ProxySession(16): Create TCP listener IDS_TLSDetector/1
09:41:39.748	0x440c	INF	trafmon	ProxySession(16): Create TCP listener IDS_AppLayerDetector/2
09:41:39.748	0x440c	INF	trafmon	ProxySession(16): Skip to create TCP listener IDS/3
...
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): Sending data to detection
09:41:39.764	0x440c	INF	ssl	ProxySession(16): TLSv1 handshake found for 10.21.132.124
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): TLS connection Found
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): Protocol detected by SSL/2
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): Protocol detected. Switch to PROCESS mode
...
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): ProcessData() for TCP listener IDS_TLSDetector/1
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): ProcessData() for TCP listener IDS_AppLayerDetector/2
...
09:41:39.764	0x440c	INF	ssl	ProxySession(16): Break legacy version connection
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): TERMINATE connection
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): Connection::Terminate

 

 

Edited February 26 by durtuno

[ITMetcom]

  On 2/19/2025 at 8:26 AM, durtuno said:

Типа такого, исключение следует настраивать как показано на скрине, т.к. у Меня путь к исполняемому файлу СББОЛ постоянный, то исключил по конкретному пути:

Expand  

Спасибо огромное. Не сразу сегодня понял в чем проблема и как легко её можно исправить.
Причём отключение Касперского почему-то не помогало, как ни странно.
А помог ваш способ

[ITMetcom]

кстати такой финт с Outlook (Microsoft Office 2010) на Windows 7 не прошёл.
с включенной галочкой - блокировать TLS 1.0 не работает IMAP и SMTP почта Яндекса - выдаёт ошибку при проверке почты.
добавлял в доверенные программы outlook.exe и по маске и по конкретному пути - не срабатывает.
если выключить галочку TLS - работает.
так и не понял, как побороть.
причём проблема почему-то именно на windows 7 всплыла пока, на 10-11 вроде бы не появляется.

[durtuno]

  On 3/25/2025 at 10:57 AM, ITMetcom said:

так и не понял, как побороть.

Expand  

Собрать трассировку и изучить лог.

[Itshaman]

  On 2/14/2025 at 10:37 AM, Demiad said:

@eeerooma, добрый день.

Мы делали оповещение о возможных проблемах с устаревшими протоколами шифрования обмена на KESW 12.8 в канале Технической поддержки ЛК: https://t.me/kl_support/1126

Используйте ссылки на статьи из сообщения:

• https://support.kaspersky.ru/kes12/178483
• https://support.kaspersky.ru/15215

Expand  

Добрый вечер!

Возможно не в том топике спрашиваю, не стал создавать новую тему, но как быть юзерам облачного KES Cloud?

Судя по статье выше, а именно https://support.kaspersky.ru/kes12/178483, должна быть опция отключения и включения проверки TLS 1.0, в настройках ничего подобного не нашел

Проблем 1:1 как у автора темы, есть токен, на котором клиент сбербизнес, что после запуска поднимает защищенное соединение, которое не работает при активном клиенте KES cloud 12.8

Саппорт предложил добавить определенные адреса в список доверенных, но это не помогло, быть может в 12.9 и свежем обновлении cloud консоли появится возможность полноценной работы с клиент банком, без полного отключения защиты? 

Спасибо

 

 

[andrew75]

Вы невнимательно прочитали тему. Если у вас токен, то вам нужно настраивать исключения.

Смотрите отсюда - https://forum.kaspersky.com/topic/kеs-блокирует-личный-кабинет-в-сбербизнес-53820/#findComment-202754

Поскольку у вас KES Cloud, то вам нужно делать это иначе. Но смысл действий вы должны понять.

[Itshaman]

@andrew75спасибо за оперативный ответ!

Посмотрел соседние темы, например 

Там на скриншоте как раз та самая галочка, про проверку TSL 1.0

Вариант выше, с добавлением полного пути до start.exe и снятием всех проверок с него пробовал, в моем случае не помогло, коллеги из саппорта прислали патч и только после этого заработало

Все хорошо, если речь про одну машину, а если из 10, 100, 1000? 

Имхо, не хватает в облачной настройки исключения для TLS 1.0, ибо вариант с разрешением всего и вся для start.exe, не всегда сработает, тк юзер может вставить токен после флешки и он получит иную букву

Надеюсь, что получилось донести мысль на ночь глядя)

[andrew75]

Эту мысль нужно доносить с саппорт )

Я такой же пользователь, как и вы и никак на это повлиять не могу.

 

[Itshaman]

  On 4/22/2025 at 7:30 PM, andrew75 said:

Эту мысль нужно доносить с саппорт )

 

Expand  

Пробовал, ответа не получил

Порой скучаю по временам, когда можно было не только написать, но и позвонить, множество проблем решалось при звонке за пару минут, особенно если с обоих концов продвинутый юзер)

 

Я все понимаю, что Б - безопасность и TLS 1.0 зло, но нужно помнить, что есть L - Legacy, и тот же сбер не торопится переходить на иной протокол взаимодействия 

Пс. Надеюсь, что это не жуткий оффтоп

Edited April 22 by Itshaman

[Demiad]

@Itshaman, добрый день. Подтверждаю, в ближайшем обновлении добавят опцию управления устаревшими протоколами, уточнял эту информацию у коллег.

[Itshaman]

@Demiadдоброе утро! 

спасибо за хорошие новости, будем подождать

надеюсь, что эта инфа попадет в официальный changelog в том же ТГ, на всякий проверил, что включены уведомления 😀

[durtuno]

  On 4/22/2025 at 7:23 PM, Itshaman said:

ибо вариант с разрешением всего и вся для start.exe, не всегда сработает, тк юзер может вставить токен после флешки и он получит иную букву

Expand  

Зачем всё и вся?

Вот же точечное решение, где Вы исключаете только проверку трафика одного определённого адреса и определённого порта на тех клиентах, которым это действительно нужно.

Или же Вы считаете, что отключение рекомендуемого параметра защиты проще и именно это следует непременно выполнять, чем выполнять более тонкую настройку защитного программного обеспечения?

[Itshaman]

@durtunoя видел ваш вариант, он применим к cloud консоли? 

в полноценном KSC настроек на голову выше, в облачном, не мне одному кажется, что слегка меньше 

[durtuno]

  On 4/23/2025 at 8:21 AM, Itshaman said:

он применим к cloud консоли? 

Expand  

Признаюсь честно, даже и не знаю, но в веб-консоли, профиль политики, выглядит так, например:

  Reveal hidden contents

 

Edited April 23 by durtuno

[Itshaman]

@durtunoи опять мы вернулись к абсолютным путям и если мы с вами за безопасность, то оба понимаем, что start.exe в корне диска не всегда может соответствовать легитимному по 😑, не говоря уже, что буква диска может поменяться в любой момент и правило не отработает

все же, я бы хотел видеть ту самую галочку выше, в самой консоли, чтобы централизовано на все, или только на выбранном профиле, куда включить целевые машины, был разрешен TLS 1.0

Edited April 23 by Itshaman

[durtuno]

  On 4/23/2025 at 10:27 AM, Itshaman said:

не говоря уже, что буква диска может поменяться в любой момент и правило не отработает

Expand  

Попробуйте использовать маску ?, вместо указания буквы тома накопителя;

  On 4/23/2025 at 10:27 AM, Itshaman said:

то оба понимаем, что start.exe в корне диска не всегда может соответствовать легитимному по 😑,

Expand  

И что, Вы же исключаете:

  On 4/23/2025 at 5:24 AM, durtuno said:

только проверку трафика одного определённого адреса и определённого порта на тех клиентах, которым это действительно нужно.

Expand  

, что куда безопасней чем:

  On 4/23/2025 at 5:24 AM, durtuno said:

отключение рекомендуемого параметра защиты

Expand  

  On 4/23/2025 at 10:27 AM, Itshaman said:

куда включить целевые машины, был разрешен TLS 1.0

Expand  

+ можете воспользоваться ещё и контролем приложений, где ещё тоньше настроить безопасность, разрешить "Start.exe" по тем или иным атрибутам, остальные запретить, или наоборот.

Edited April 23 by durtuno

[Itshaman]

@durtunoда, обходных вариантов несколько, все верно

пока работает через патч, подожду, как говорил @Demiad обновления и еще раз все проверю

спасибо большое коллеги, что не оставляйте в беде