KЕS блокирует личный кабинет в СберБизнес

[eeerooma]

Добрый день.
Ночью обновили KES до версии 12.8.0.505. Сегодня утром не можем войти в личный кабинет в СберБизнес. Если отключить KES, то заходит.
Сбер прислал ip с номерами портов которые нужно исключить из блокировки (см. скриншот).
Я прописал их в исключения в разделе "Базовая защита" - "Защита от сетевых угроз" (см. скриншот).
Настройки применились на ПК пользователей (см. скриншот), но всё равно не пускает.
ПОдскажите, пожалуйста, что ещё нужно сделать.

[Demiad]

@eeerooma, добрый день.

Мы делали оповещение о возможных проблемах с устаревшими протоколами шифрования обмена на KESW 12.8 в канале Технической поддержки ЛК: https://t.me/kl_support/1126

Используйте ссылки на статьи из сообщения:

• https://support.kaspersky.ru/kes12/178483
• https://support.kaspersky.ru/15215

[durtuno]

46 минут назад, eeerooma сказал:

Сбер прислал ip с номерами портов которые нужно исключить из блокировки (см. скриншот).

46 минут назад, eeerooma сказал:

Сегодня утром не можем войти в личный кабинет в СберБизнес.

У Вас вход и авторизация по токену (какому?) или по URL с подтверждением по СМС?

В первом случае потребуется настраивать исключения, во втором нет.

Edited February 14 by durtuno

[Дмитрий Г.]

В 14.02.2025 в 14:18, durtuno сказал:

У Вас вход и авторизация по токену (какому?) или по URL с подтверждением по СМС?

В первом случае потребуется настраивать исключения, во втором нет.

Добрый день, хотелось бы подробнее про настройку исключений при авторизации по сберовскому токену. Т.к. с ним страница в браузере открывается сразу как localhost (через запуск "start" с токена)

[durtuno]

9 минут назад, Дмитрий Г. сказал:

хотелось бы подробнее про настройку исключений при авторизации по сберовскому токену. Т.к. с ним страница в браузере открывается сразу как localhost (через запуск "start" с токена)

Типа такого, исключение следует настраивать как показано на скрине, т.к. у Меня путь к исполняемому файлу СББОЛ постоянный, то исключил по конкретному пути:

[Дмитрий Г.]

1 час назад, durtuno сказал:

Типа такого, исключение следует настраивать как показано на скрине, т.к. у Меня путь к исполняемому файлу СББОЛ постоянный, то исключил по конкретному пути:

Спасибо, помогло! Мы даже не думали, что такое простое действие, как исключение старт.ехе поможет в данном случае. 

[durtuno]

24 минуты назад, Дмитрий Г. сказал:

Мы даже не думали, что такое простое действие, как исключение старт.ехе поможет в данном случае. 

Данное правило можно настроить точнее, что бы не понижать безопасность в целом, где задавать его в профиле политики и применять на отдельные устройства.

Чуть позже, наверное, попробую отладить и настроить фильтрацию по адресам и портам, а не как сейчас - "Любые".

[PolyakovSV]

В 19.02.2025 в 13:43, durtuno сказал:

Данное правило можно настроить точнее, что бы не понижать безопасность в целом, где задавать его в профиле политики и применять на отдельные устройства.

Чуть позже, наверное, попробую отладить и настроить фильтрацию по адресам и портам, а не как сейчас - "Любые".

Добрый день, было бы интересно так настроить. Ждем инструкцию, спасибо!

[durtuno]

5 часов назад, PolyakovSV сказал:

было бы интересно так настроить. Ждем инструкцию, спасибо!

В принципе ничего сложного нет.

Вам нужно определиться, каким образом будете активировать профиль политики, вариантов несколько, по группе "AD", тегу и прочее.

После, в настройках профиля в разделе "Общие настройки"--> "Настройки сети" указываете исключаемый файл и трафик (следует принимать во внимание, что удалённые сервера "Сбербанка" могут отличаться/ изменяться на периоде, на данный момент у Меня так):

Спойлер

и закрываете замочек настройки.

Также в разделе "Общие настройки"--> "Исключение и типы объектов" закрываете замочек настройки "Исключение из проверки и доверенные приложения".

Также в обоих этих разделах стоит обратить внимание на галку "Объединять значения при наследовании", её следует проставить.

Для пущей уверенности применения изменённой политики, устройство следует принудительно синхронизировать.

Ниже привожу кусок трассировки, где видно, какой IP и порт исключать и по какой причине происходит обрыв подключения:

Спойлер

09:41:39.748	0x440c	INF	trafmon	ProxySession(16): OUTBOUND connection from PID=2984 192.168.1.2:56807 -> 194.54.14.137:443
09:41:39.748	0x440c	WRN	trafmon	Failed to get connection context
09:41:39.748	0x440c	INF	trafmon	ProxySession(16): REMOTE NAME set to ftls.sberbank.ru
09:41:39.748	0x440c	INF	trafmon	ProxySession(16): Create TCP listener IDS_TLSDetector/1
09:41:39.748	0x440c	INF	trafmon	ProxySession(16): Create TCP listener IDS_AppLayerDetector/2
09:41:39.748	0x440c	INF	trafmon	ProxySession(16): Skip to create TCP listener IDS/3
...
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): Sending data to detection
09:41:39.764	0x440c	INF	ssl	ProxySession(16): TLSv1 handshake found for 10.21.132.124
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): TLS connection Found
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): Protocol detected by SSL/2
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): Protocol detected. Switch to PROCESS mode
...
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): ProcessData() for TCP listener IDS_TLSDetector/1
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): ProcessData() for TCP listener IDS_AppLayerDetector/2
...
09:41:39.764	0x440c	INF	ssl	ProxySession(16): Break legacy version connection
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): TERMINATE connection
09:41:39.764	0x440c	INF	trafmon	ProxySession(16): Connection::Terminate

 

 

Edited February 26 by durtuno

[ITMetcom]

On 2/19/2025 at 11:26 AM, durtuno said:

Типа такого, исключение следует настраивать как показано на скрине, т.к. у Меня путь к исполняемому файлу СББОЛ постоянный, то исключил по конкретному пути:

Спасибо огромное. Не сразу сегодня понял в чем проблема и как легко её можно исправить.
Причём отключение Касперского почему-то не помогало, как ни странно.
А помог ваш способ

[ITMetcom]

кстати такой финт с Outlook (Microsoft Office 2010) на Windows 7 не прошёл.
с включенной галочкой - блокировать TLS 1.0 не работает IMAP и SMTP почта Яндекса - выдаёт ошибку при проверке почты.
добавлял в доверенные программы outlook.exe и по маске и по конкретному пути - не срабатывает.
если выключить галочку TLS - работает.
так и не понял, как побороть.
причём проблема почему-то именно на windows 7 всплыла пока, на 10-11 вроде бы не появляется.

[durtuno]

35 минут назад, ITMetcom сказал:

так и не понял, как побороть.

Собрать трассировку и изучить лог.

[Itshaman]

В 14.02.2025 в 13:37, Demiad сказал:

@eeerooma, добрый день.

Мы делали оповещение о возможных проблемах с устаревшими протоколами шифрования обмена на KESW 12.8 в канале Технической поддержки ЛК: https://t.me/kl_support/1126

Используйте ссылки на статьи из сообщения:

• https://support.kaspersky.ru/kes12/178483
• https://support.kaspersky.ru/15215

Добрый вечер!

Возможно не в том топике спрашиваю, не стал создавать новую тему, но как быть юзерам облачного KES Cloud?

Судя по статье выше, а именно https://support.kaspersky.ru/kes12/178483, должна быть опция отключения и включения проверки TLS 1.0, в настройках ничего подобного не нашел

Проблем 1:1 как у автора темы, есть токен, на котором клиент сбербизнес, что после запуска поднимает защищенное соединение, которое не работает при активном клиенте KES cloud 12.8

Саппорт предложил добавить определенные адреса в список доверенных, но это не помогло, быть может в 12.9 и свежем обновлении cloud консоли появится возможность полноценной работы с клиент банком, без полного отключения защиты? 

Спасибо

 

 

[andrew75]

Вы невнимательно прочитали тему. Если у вас токен, то вам нужно настраивать исключения.

Смотрите отсюда - https://forum.kaspersky.com/topic/kеs-блокирует-личный-кабинет-в-сбербизнес-53820/#findComment-202754

Поскольку у вас KES Cloud, то вам нужно делать это иначе. Но смысл действий вы должны понять.

[Itshaman]

@andrew75спасибо за оперативный ответ!

Посмотрел соседние темы, например 

Там на скриншоте как раз та самая галочка, про проверку TSL 1.0

Вариант выше, с добавлением полного пути до start.exe и снятием всех проверок с него пробовал, в моем случае не помогло, коллеги из саппорта прислали патч и только после этого заработало

Все хорошо, если речь про одну машину, а если из 10, 100, 1000? 

Имхо, не хватает в облачной настройки исключения для TLS 1.0, ибо вариант с разрешением всего и вся для start.exe, не всегда сработает, тк юзер может вставить токен после флешки и он получит иную букву

Надеюсь, что получилось донести мысль на ночь глядя)

[andrew75]

Эту мысль нужно доносить с саппорт )

Я такой же пользователь, как и вы и никак на это повлиять не могу.

 

[Itshaman]

2 минуты назад, andrew75 сказал:

Эту мысль нужно доносить с саппорт )

 

Пробовал, ответа не получил

Порой скучаю по временам, когда можно было не только написать, но и позвонить, множество проблем решалось при звонке за пару минут, особенно если с обоих концов продвинутый юзер)

 

Я все понимаю, что Б - безопасность и TLS 1.0 зло, но нужно помнить, что есть L - Legacy, и тот же сбер не торопится переходить на иной протокол взаимодействия 

Пс. Надеюсь, что это не жуткий оффтоп

Edited 17 hours ago by Itshaman

[Demiad]

@Itshaman, добрый день. Подтверждаю, в ближайшем обновлении добавят опцию управления устаревшими протоколами, уточнял эту информацию у коллег.

[Itshaman]

@Demiadдоброе утро! 

спасибо за хорошие новости, будем подождать

надеюсь, что эта инфа попадет в официальный changelog в том же ТГ, на всякий проверил, что включены уведомления 😀

[durtuno]

9 часов назад, Itshaman сказал:

ибо вариант с разрешением всего и вся для start.exe, не всегда сработает, тк юзер может вставить токен после флешки и он получит иную букву

Зачем всё и вся?

Вот же точечное решение, где Вы исключаете только проверку трафика одного определённого адреса и определённого порта на тех клиентах, которым это действительно нужно.

Или же Вы считаете, что отключение рекомендуемого параметра защиты проще и именно это следует непременно выполнять, чем выполнять более тонкую настройку защитного программного обеспечения?

[Itshaman]

@durtunoя видел ваш вариант, он применим к cloud консоли? 

в полноценном KSC настроек на голову выше, в облачном, не мне одному кажется, что слегка меньше 

[durtuno]

44 минуты назад, Itshaman сказал:

он применим к cloud консоли? 

Признаюсь честно, даже и не знаю, но в веб-консоли, профиль политики, выглядит так, например:

Спойлер

 

Edited 3 hours ago by durtuno

[Itshaman]

@durtunoи опять мы вернулись к абсолютным путям и если мы с вами за безопасность, то оба понимаем, что start.exe в корне диска не всегда может соответствовать легитимному по 😑, не говоря уже, что буква диска может поменяться в любой момент и правило не отработает

все же, я бы хотел видеть ту самую галочку выше, в самой консоли, чтобы централизовано на все, или только на выбранном профиле, куда включить целевые машины, был разрешен TLS 1.0

Edited 2 hours ago by Itshaman

[durtuno]

11 минут назад, Itshaman сказал:

не говоря уже, что буква диска может поменяться в любой момент и правило не отработает

Попробуйте использовать маску ?, вместо указания буквы тома накопителя;

11 минут назад, Itshaman сказал:

то оба понимаем, что start.exe в корне диска не всегда может соответствовать легитимному по 😑,

И что, Вы же исключаете:

5 часов назад, durtuno сказал:

только проверку трафика одного определённого адреса и определённого порта на тех клиентах, которым это действительно нужно.

, что куда безопасней чем:

5 часов назад, durtuno сказал:

отключение рекомендуемого параметра защиты

11 минут назад, Itshaman сказал:

куда включить целевые машины, был разрешен TLS 1.0

+ можете воспользоваться ещё и контролем приложений, где ещё тоньше настроить безопасность, разрешить "Start.exe" по тем или иным атрибутам, остальные запретить, или наоборот.

Edited 2 hours ago by durtuno

[Itshaman]

@durtunoда, обходных вариантов несколько, все верно

пока работает через патч, подожду, как говорил @Demiad обновления и еще раз все проверю

спасибо большое коллеги, что не оставляйте в беде