Kaspersky Security Center 13 - не получается ограничить обнаружение устройств

[Alexandr 12312123]

Kaspersky Security Center 13 Версия: 13.0.0.11247

Большая корпоративная сеть. Не получается ограничить диапазон сканирования для обнаружения устройств.

Опрос сети Windows - отключен

Опрос AD - отключен

Опрос ip - включен. Задан небольшой диапазон.

Но почему-то опрашивается вся сеть.

 

//ModNote: тема перемещена.

[Demiad]

Добрый день.

Попробуйте в политике Агента администрирования снять опции в разделе “Опрос сети” (проверьте замки, д.б. закрыты).

 

 

[Alexandr 12312123]

Спасибо, но увы… Опять прошел опрос сети. Я с утра даже отключил опрос по ip-диапазону.

Еще подсказали изменить в настройке сервера: Точки рапргостранения → вручную. И оставить список пустым.

Так что опять жду сутки...

[Alexandr 12312123]

Изменения не помогли. Есть еще идеи как можно отключить опрос сети?

[DmitriyKMK]

У Вас видимо включен опрос сети в “Обнаружении устройств”

Проверьте “Настроить параметры опроса” в каждом разделе.

 

 

[Alexandr 12312123]

В том то и дело, что выключено. Еще из логов сервера нашел, что происходит опрос Active Directory.  Но галочка снята. Сервер перезагружал.

Еще в логах нашел, что рабочие ПК генерируют много событий “Обнаружено новое устройство”. Но в точках распространения тоже пусто. Даже изменил на вручную и оставил список пустым.

[tyazhelnikov]

Проверьте галочку на вложенных элементах в узле AD KSC.

Там еще есть галочка для каждого элемента.

 

[Demiad]

@Alexandr 12312123 , на обнаруженных новых устройствах же не значится установленным Агент администрирования? А то устройства с Агентом сколько не удаляй, они снова подключатся и появятся.

[altera]

Посмотрите еще раз первый ответ в теме от Demiad про закрытые замки, а то у вас на скрине “Редактирование разрешено” . Перепроверьте еще раз политику агента, настройки сервера или его политику

[Alexandr 12312123]

В организации очень много разделов в АД. Верхний уровень опрос отключен. Также пробовал отключить опрос и для вложенных разделов, но ПК из этих разделов также появляются с очередным опросом.

Нет… на вновь обнаруженных нет агента администрирования, по крайней мере от этого сервера.

 

[altera]

Еще раз: Обнаружение устройств  - Active Directory - Свойства - снятая галочка опроса + закрытый замок “Редактирование запрещено”

Либо эти же параметры могут быть в свойствах политики сервера KSC - Опрос сети - снятые галки и закрытые замки

[Alexandr 12312123]

Все верно. Так и стоит.

 

 

 

[Demiad]

@Alexandr 12312123 , я бы попробовал выключить опцию опроса IP-диапазонов, зачистил лишние ранее обнаруженных хосты, подождал тот интервал, что Вы ждёте обычно (сутки, кажется) и смотрел результат. Если снова лишние появились, то продолжаем искать, если нет, то перепроверяйте и/или удаляйте опции опроса IP-диапазонов и снова вносите, вдруг показывает одно. а реально другое задано.

[tyazhelnikov]

В организации очень много разделов в АД. Верхний уровень опрос отключен. Также пробовал отключить опрос и для вложенных разделов, но ПК из этих разделов также появляются с очередным опросом.

Нет… на вновь обнаруженных нет агента администрирования, по крайней мере от этого сервера.

 

День добрый.

Просто я наблюдал  у себя подобное поведение когда на верхнем уровне AD опрос был отключен, а на нижних включен и опрашивались именно эти узлы. 

 

[tyazhelnikov]

А опрос доменов у Вас не включен? 

[Alexandr 12312123]

Попробовал выключить опцию опроса IP-диапазонов. Очистил на вкладках “нераспределенные устройства” и в хранилище “Оборудование”. Опять появляется.

 

В организации очень много разделов и подразделов в АД. Верхний уровень опрос отключен. Также пробовал отключить опрос и для вложенных разделов, но ПК из этих разделов также появляются с очередным опросом.

 

По логам событий windows – такое чувство, что опрос Active Directory идет не от сервера, а от рабочих станций – каждый раз от разных…

Там следующее:

28.10.2021 16:25:07

Сервер занят: событие отклонено для устройства '%имя рабочей станции - каждый раз новой из тех на которых установлен агент и антивирус%'; наиболее распространенными событиями в базе данных являются 'Обнаружено новое устройство.' (программа 'Сервер администрирования Kaspersky Security Center 13.0.0.11247'), 'Неактивное устройство было автоматически удалено.' (программа 'Сервер администрирования Kaspersky Security Center 13.0.0.11247') и 'Изменено' (программа 'Kaspersky Endpoint Security для Windows 11.6.0.394').

28.10.2021 16:30:03

Сканирование Active Directory, выполняемое устройством '%имя сервера KSC%', завершено.

[tyazhelnikov]

Еще раз спрошу опрос доменов в KSC отключен?

 

[Alexandr 12312123]

Да, вначале был просто отключен. Потом стал отключен посредством политики и запрещено изменение.

 

[tyazhelnikov]

Очень странно к меня аналогичные настройки и опрашивается только указанный IP диапазон. Правда у меня KSC 13.2

В статистике KSС указывается когда последний раз опрашивался AD. У Вас там какая дата опроса? 

 

[Alexandr 12312123]

Что-то очень-очень странное….

 

[Alexandr 12312123]

Сделал запрос в техподдержку. Помогло:

net stop klnagent

На хосте, который сканирует Active Directory, удалите следующие каталоги:

%ALLUSERSPROFILE%\KasperskyLab\adminkit\1103\NlstCollectorStorage\NAGNETSCAN_NLST_AD
%ALLUSERSPROFILE%\KasperskyLab\adminkit\1103\NlstLastChawngeStorage\NAGNETSCAN_NLST_AD
%ALLUSERSPROFILE%\KasperskyLab\adminkit\1103\NlstSyncCacheStorage\NAGNETSCAN_NLST_AD

net start klnagent