Jump to content

Recommended Posts

Posted

Добрый день.
Ночью обновили KES до версии 12.8.0.505. Сегодня утром не можем войти в личный кабинет в СберБизнес. Если отключить KES, то заходит.
Сбер прислал ip с номерами портов которые нужно исключить из блокировки (см. скриншот).
Я прописал их в исключения в разделе "Базовая защита" - "Защита от сетевых угроз" (см. скриншот).
Настройки применились на ПК пользователей (см. скриншот), но всё равно не пускает.
ПОдскажите, пожалуйста, что ещё нужно сделать.

img-2025-02-14-13-17-21.png

img-2025-02-14-13-24-22.png

img-2025-02-14-13-28-52.png

  • Solution
Posted

@eeerooma, добрый день.

Мы делали оповещение о возможных проблемах с устаревшими протоколами шифрования обмена на KESW 12.8 в канале Технической поддержки ЛК: https://t.me/kl_support/1126

Используйте ссылки на статьи из сообщения:


image.thumb.png.5c6b484250ad6424446c2295bd5f7336.png

  • Thanks 1
Posted (edited)
  On 2/14/2025 at 10:32 AM, eeerooma said:

Сбер прислал ip с номерами портов которые нужно исключить из блокировки (см. скриншот).

Expand  
  On 2/14/2025 at 10:32 AM, eeerooma said:

Сегодня утром не можем войти в личный кабинет в СберБизнес.

Expand  

У Вас вход и авторизация по токену (какому?) или по URL с подтверждением по СМС?

В первом случае потребуется настраивать исключения, во втором нет.

Edited by durtuno
Дмитрий Г.
Posted
  On 2/14/2025 at 11:18 AM, durtuno said:

У Вас вход и авторизация по токену (какому?) или по URL с подтверждением по СМС?

В первом случае потребуется настраивать исключения, во втором нет.

Expand  

Добрый день, хотелось бы подробнее про настройку исключений при авторизации по сберовскому токену. Т.к. с ним страница в браузере открывается сразу как localhost (через запуск "start" с токена)

Дмитрий Г.
Posted
  On 2/19/2025 at 8:26 AM, durtuno said:

Типа такого, исключение следует настраивать как показано на скрине, т.к. у Меня путь к исполняемому файлу СББОЛ постоянный, то исключил по конкретному пути:

image.png

Expand  

Спасибо, помогло! Мы даже не думали, что такое простое действие, как исключение старт.ехе поможет в данном случае. 

Posted
  On 2/19/2025 at 10:16 AM, Дмитрий Г. said:

Мы даже не думали, что такое простое действие, как исключение старт.ехе поможет в данном случае. 

Expand  

Данное правило можно настроить точнее, что бы не понижать безопасность в целом, где задавать его в профиле политики и применять на отдельные устройства.

Чуть позже, наверное, попробую отладить и настроить фильтрацию по адресам и портам, а не как сейчас - "Любые".

PolyakovSV
Posted
  On 2/19/2025 at 10:43 AM, durtuno said:

Данное правило можно настроить точнее, что бы не понижать безопасность в целом, где задавать его в профиле политики и применять на отдельные устройства.

Чуть позже, наверное, попробую отладить и настроить фильтрацию по адресам и портам, а не как сейчас - "Любые".

Expand  

Добрый день, было бы интересно так настроить. Ждем инструкцию, спасибо!

Posted (edited)
  On 2/26/2025 at 7:25 AM, PolyakovSV said:

было бы интересно так настроить. Ждем инструкцию, спасибо!

Expand  

В принципе ничего сложного нет.

Вам нужно определиться, каким образом будете активировать профиль политики, вариантов несколько, по группе "AD", тегу и прочее.

После, в настройках профиля в разделе "Общие настройки"--> "Настройки сети" указываете исключаемый файл и трафик (следует принимать во внимание, что удалённые сервера "Сбербанка" могут отличаться/ изменяться на периоде, на данный момент у Меня так):

  Reveal hidden contents

и закрываете замочек настройки.

Также в разделе "Общие настройки"--> "Исключение и типы объектов" закрываете замочек настройки "Исключение из проверки и доверенные приложения".

Также в обоих этих разделах стоит обратить внимание на галку "Объединять значения при наследовании", её следует проставить.

Для пущей уверенности применения изменённой политики, устройство следует принудительно синхронизировать.

Ниже привожу кусок трассировки, где видно, какой IP и порт исключать и по какой причине происходит обрыв подключения:

  Reveal hidden contents

 

Edited by durtuno
  • Like 1
  • 4 weeks later...
ITMetcom
Posted
  On 2/19/2025 at 8:26 AM, durtuno said:

Типа такого, исключение следует настраивать как показано на скрине, т.к. у Меня путь к исполняемому файлу СББОЛ постоянный, то исключил по конкретному пути:

Expand  

Спасибо огромное. Не сразу сегодня понял в чем проблема и как легко её можно исправить.
Причём отключение Касперского почему-то не помогало, как ни странно.
А помог ваш способ

ITMetcom
Posted

кстати такой финт с Outlook (Microsoft Office 2010) на Windows 7 не прошёл.
с включенной галочкой - блокировать TLS 1.0 не работает IMAP и SMTP почта Яндекса - выдаёт ошибку при проверке почты.
добавлял в доверенные программы outlook.exe и по маске и по конкретному пути - не срабатывает.
если выключить галочку TLS - работает.
так и не понял, как побороть.
причём проблема почему-то именно на windows 7 всплыла пока, на 10-11 вроде бы не появляется.

durtuno
Posted
  On 3/25/2025 at 10:57 AM, ITMetcom said:

так и не понял, как побороть.

Expand  

Собрать трассировку и изучить лог.

  • 4 weeks later...
Itshaman
Posted
  On 2/14/2025 at 10:37 AM, Demiad said:

@eeerooma, добрый день.

Мы делали оповещение о возможных проблемах с устаревшими протоколами шифрования обмена на KESW 12.8 в канале Технической поддержки ЛК: https://t.me/kl_support/1126

Используйте ссылки на статьи из сообщения:


image.thumb.png.5c6b484250ad6424446c2295bd5f7336.png

Expand  

Добрый вечер!

Возможно не в том топике спрашиваю, не стал создавать новую тему, но как быть юзерам облачного KES Cloud?

Судя по статье выше, а именно https://support.kaspersky.ru/kes12/178483, должна быть опция отключения и включения проверки TLS 1.0, в настройках ничего подобного не нашел

Проблем 1:1 как у автора темы, есть токен, на котором клиент сбербизнес, что после запуска поднимает защищенное соединение, которое не работает при активном клиенте KES cloud 12.8

Саппорт предложил добавить определенные адреса в список доверенных, но это не помогло, быть может в 12.9 и свежем обновлении cloud консоли появится возможность полноценной работы с клиент банком, без полного отключения защиты? 

Спасибо

 

 

tls.PNG

andrew75
Posted

Вы невнимательно прочитали тему. Если у вас токен, то вам нужно настраивать исключения.

Смотрите отсюда - https://forum.kaspersky.com/topic/kеs-блокирует-личный-кабинет-в-сбербизнес-53820/#findComment-202754

Поскольку у вас KES Cloud, то вам нужно делать это иначе. Но смысл действий вы должны понять.

  • Like 1
Itshaman
Posted

@andrew75спасибо за оперативный ответ!

Посмотрел соседние темы, например 

Там на скриншоте как раз та самая галочка, про проверку TSL 1.0

Вариант выше, с добавлением полного пути до start.exe и снятием всех проверок с него пробовал, в моем случае не помогло, коллеги из саппорта прислали патч и только после этого заработало

Все хорошо, если речь про одну машину, а если из 10, 100, 1000? 

Имхо, не хватает в облачной настройки исключения для TLS 1.0, ибо вариант с разрешением всего и вся для start.exe, не всегда сработает, тк юзер может вставить токен после флешки и он получит иную букву

Надеюсь, что получилось донести мысль на ночь глядя)

andrew75
Posted

Эту мысль нужно доносить с саппорт )

Я такой же пользователь, как и вы и никак на это повлиять не могу.

 

Itshaman
Posted (edited)
  On 4/22/2025 at 7:30 PM, andrew75 said:

Эту мысль нужно доносить с саппорт )

 

Expand  

Пробовал, ответа не получил

Порой скучаю по временам, когда можно было не только написать, но и позвонить, множество проблем решалось при звонке за пару минут, особенно если с обоих концов продвинутый юзер)

 

Я все понимаю, что Б - безопасность и TLS 1.0 зло, но нужно помнить, что есть L - Legacy, и тот же сбер не торопится переходить на иной протокол взаимодействия 

Пс. Надеюсь, что это не жуткий оффтоп

Edited by Itshaman
Posted

@Itshaman, добрый день. Подтверждаю, в ближайшем обновлении добавят опцию управления устаревшими протоколами, уточнял эту информацию у коллег.

  • Like 1
Itshaman
Posted

@Demiadдоброе утро! 

спасибо за хорошие новости, будем подождать

надеюсь, что эта инфа попадет в официальный changelog в том же ТГ, на всякий проверил, что включены уведомления 😀

durtuno
Posted
  On 4/22/2025 at 7:23 PM, Itshaman said:

ибо вариант с разрешением всего и вся для start.exe, не всегда сработает, тк юзер может вставить токен после флешки и он получит иную букву

Expand  

Зачем всё и вся?

Вот же точечное решение, где Вы исключаете только проверку трафика одного определённого адреса и определённого порта на тех клиентах, которым это действительно нужно.

Или же Вы считаете, что отключение рекомендуемого параметра защиты проще и именно это следует непременно выполнять, чем выполнять более тонкую настройку защитного программного обеспечения?

Itshaman
Posted

@durtunoя видел ваш вариант, он применим к cloud консоли? 

в полноценном KSC настроек на голову выше, в облачном, не мне одному кажется, что слегка меньше 

durtuno
Posted (edited)
  On 4/23/2025 at 8:21 AM, Itshaman said:

он применим к cloud консоли? 

Expand  

Признаюсь честно, даже и не знаю, но в веб-консоли, профиль политики, выглядит так, например:

  Reveal hidden contents

 

Edited by durtuno
  • Like 1
Itshaman
Posted (edited)

@durtunoи опять мы вернулись к абсолютным путям и если мы с вами за безопасность, то оба понимаем, что start.exe в корне диска не всегда может соответствовать легитимному по 😑, не говоря уже, что буква диска может поменяться в любой момент и правило не отработает

все же, я бы хотел видеть ту самую галочку выше, в самой консоли, чтобы централизовано на все, или только на выбранном профиле, куда включить целевые машины, был разрешен TLS 1.0

Edited by Itshaman
durtuno
Posted (edited)
  On 4/23/2025 at 10:27 AM, Itshaman said:

не говоря уже, что буква диска может поменяться в любой момент и правило не отработает

Expand  

Попробуйте использовать маску ?, вместо указания буквы тома накопителя;

  On 4/23/2025 at 10:27 AM, Itshaman said:

то оба понимаем, что start.exe в корне диска не всегда может соответствовать легитимному по 😑,

Expand  

И что, Вы же исключаете:

  On 4/23/2025 at 5:24 AM, durtuno said:

только проверку трафика одного определённого адреса и определённого порта на тех клиентах, которым это действительно нужно.

Expand  

, что куда безопасней чем:

  On 4/23/2025 at 5:24 AM, durtuno said:

отключение рекомендуемого параметра защиты

Expand  
  On 4/23/2025 at 10:27 AM, Itshaman said:

куда включить целевые машины, был разрешен TLS 1.0

Expand  

+ можете воспользоваться ещё и контролем приложений, где ещё тоньше настроить безопасность, разрешить "Start.exe" по тем или иным атрибутам, остальные запретить, или наоборот.

Edited by durtuno
  • Like 1
  • Thanks 1
Itshaman
Posted

@durtunoда, обходных вариантов несколько, все верно

пока работает через патч, подожду, как говорил @Demiad обновления и еще раз все проверю

спасибо большое коллеги, что не оставляйте в беде 

  • Like 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...