KES 11.2 блокирует программу

[SBI]

Добрый день.

 

В нашей организации используется сервер администрирования версии 11.0.0.131. После недавнего обновления на клиентских компьютерах KES до версии 11.2, стала некорректно работать одна из программ, которая запускается всеми пользователями с общего сетевого диска.

При попытке выполнить какое-либо действие, программа выдает ошибку о том, что не может создать временный файл в папке, хотя у всех пользователей есть полный доступ к этой папке и ранее с установленной версией KES 11.1.126 такой проблемы не было.

При отключении KES 11.2 на клиентском компьютере, программа работает корректно.

Подскажите пожалуйста, как решить данную проблему.

 

Спасибо.

[mvsvit]

Выявить какой из компонентов защиты блокирует создание временных файлов - поочередной приостановкой .

Добавить в исключения путь или в доверенные программу.

https://support.kaspersky.ru/14085#block5

[SBI]

Добавил в исключения и в доверенные эту программу согласно инструкции, но это не помогло.

 

Программа корректно заработала только при отключении следующих компонентов:

 

Можно ли создать отдельную политику только для этой программы, где будут выключены эти компоненты? 

[Nikolay Arinchev]

Здравствуйте,

Пробовали ли вы добавить исполняемы й файл программы в доверенную зону?

 

[SBI]

Здравствуйте.

 

Исполняемый файл программы, а также все ее папки добавлены в Доверенную зону. Добавлены строки такого вида:

 

\\server\Programma\*.*

\\server\Programma\file.exe

\\server\Programma\TEMP\*.*

 

P:\*.*

P:\file.exe

P:\TEMP\*.*

(где P:\ это сетевой диск, с которого запускается исполняемый файл программы)

 

Так же эти пути добавлены в разделе исключения из проверки.

Но программа корректно работает только с отключенными компонентами защиты, которые указаны на скриншоте.

[Alexey]

Добавил в исключения и в доверенные эту программу согласно инструкции, но это не помогло.

 

Программа корректно заработала только при отключении следующих компонентов:

 

Можно ли создать отдельную политику только для этой программы, где будут выключены эти компоненты? 

Привет, можно создать отдельный профиль политики для конкретных\конкретного ПК (по одному из признаков, либо тегов для этих машин) на которые будет применяться отдельный профиль политик с настройками, указанными у тебя на скрине.

По профилям тут, если ни разу не делал почитай или видео есть на ютубе по профилям

https://help.kaspersky.com/ksc/sp3/ru-ru/89259.htm

[Minskenergo]

С аналогичной проблемой столкнулись и мы - клиент-банк не запускается с сетевого ресурса. Пришлось нужные ПК вынести в отдельную группу с урезанным контролем в политиках.

Но это все временное решение.

[SibD]

Аналогичная проблема на ряде программ, работающих и сохраняющих файлы в сетевые папки. Программы используются почти всеми сотрудниками и так понижать уровень безопасности не очень хочется. Есть решение проблемы, кроме отката на предыдущую версию? 
В сетевых путях эти программы могут создавать, читать, удалять файлы, но KES блокирует доступ на открытие для изменения уже имеющихся файлов (при наличии полных прав к файлам). С локальными файлами всё нормально.
П.С. Ещё проблемы с новым агентом (11.0.0.1131), который на многих машинах перестаёт запускаться, падая с ошибкой. Пока устанавливаю предыдущую версию.

[SBI]

Профили политики это конечно хорошо, но с этой программой работают все пользователи.

Поэтому можно в основной политике отключить все эти компоненты, но это не выход.

 

Уважаемые разработчики!

Можно ли сделать как оно все было?

Версия KES 11.1.1.126 прекрасно работала и ничего не блокировала.

На данный момент выход один - откатываться на предыдущую версию?

[Alexey]

Профили политики это конечно хорошо, но с этой программой работают все пользователи.

Поэтому можно в основной политике отключить все эти компоненты, но это не выход.

 

Уважаемые разработчики!

Можно ли сделать как оно все было?

Версия KES 11.1.1.126 прекрасно работала и ничего не блокировала.

На данный момент выход один - откатываться на предыдущую версию?

 

Можешь написать в CA как запрос или как предложение, или и то и то. Ну и ждать что к нему прислушаются и сделают)

[Alf76]

https://community.kaspersky.com/kaspersky-corporate-products-27/11-2-behavior-detection-breaks-applications-writing-to-shared-drives-5811

“Hi,

INC000011020891 is under investigation now.

Please await for an answer within the incident.

Thank you for cooperation!”

[SibD]

https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/izvestnye-resheniya-problem-po-kes-11-1-1-11-2-i-ksc-11-0-0-1131-3411#post27723
Тут написали, что достаточно отключить “Защита папок общего доступа от внешнего шифрования“. Не подтверждаю, этого недостаточно. Нужно отключать модули, как указано выше в этой теме.
Также заметил что глюк проявляется в основном с программами, работающими с различными базами данных. Файлы на редактирование в удалённой сетевой папке (даже на доверенных файловых серверах) блокирует антивирус локальной машины.

[Demiad]

@SibD , согласен, не помогает, не успел вчера проверить решение. 
У вас есть какой-нибудь простой сценарий воспроизведения? У меня попытки вывода из cmd на сетевой диск, сохранение страниц из браузера в Excel на сетевой диск, ничего не блокируется. Проблема точно у меня тоже присутствует, но до конца пока не поймал её. Одна машина где воспроизводится для меня труднодоступна, поэтому спрашиваю сценарий.

  Решение было внесено на основании:

Just a warning we now have two applications in house that cant overwrite files on network shares/mapped drives with this option enabled.  Disabling “Protection of shared folders against external encryption” removes the problem as I worked with support on this case  INC000011020891.  Working on traces/log collection but I am very hesitant to disable this important feature. Anyone else?

 

[SibD]

@SibD , согласен, не помогает, не успел вчера проверить решение. 
У вас есть какой-нибудь простой сценарий воспроизведения? У меня попытки вывода из cmd на сетевой диск, сохранение страниц из браузера в Excel на сетевой диск, ничего не блокируется. Проблема точно у меня тоже присутствует, но до конца пока не поймал её. Одна машина где воспроизводится для меня труднодоступна, поэтому спрашиваю сценарий.

Есть ряд программ (самописных и сторонних) которые при определённых действиях должны править файлы в сетевых папках. На этих действиях они выдают ошибки. 
Простое сохранение не блокируется. Как я писал выше, создание, открытие и удаление выполняются отлично. Блокируются операции открытия для изменения. Ряд своих программ наши разработчики временно переписали (заменили операции “изменение файлов” на “удаление и создание нового”).

[Demiad]

Если кто напишет сценарий конкретный, то попробую разобраться сам, либо тоже в CA заведу.

[Demiad]

Добавил в исключения и в доверенные эту программу согласно инструкции, но это не помогло.

<...>

Из рекомендации @mvsvit на kb https://support.kaspersky.ru/14085#block5 что конкретно Вы настроили? Предоставить скриншоты параметров можно?

Я воспроизвёл у себя проблему, плюс проверил на реальном проблемном ПО. Решается именно рекомендацией добавления в доверенные программы, конкретно с опцией “Не контролировать активность программы”.

Вношу в закреплённый топик Известных проблем решение.

[SBI]

Решается именно рекомендацией добавления в доверенные программы, конкретно с опцией “Не контролировать активность программы”.

 

Здравствуйте.

Прилагаю скриншот с настройками.

Стоят все галочки. Проблема остается. Помогает только отключение указанных компонентов защиты.

 

 

[Demiad]

@SBI , предлагаю скопировать путь с учётом регистра (чтобы не нарваться на другие фичи). При запущенном “Client.exe” в PowerShell выполнить команду:

$(get-process Client ).path | clip

и далее использовать этот путь в “Доверенные программы”.

Ещё обращаю внимание, что приложение, которое блокируется АВ следует перезапустить. У меня до перезапуска ПО, но с исключением не работало. Перезагрузите ОС, проще говоря.

[SBI]

Добавил в “Доверенные программы” дополнительно следующие строчки:

 

 

Включил все компоненты защиты, ошибка в программе не появляется. Значит помогло.

Спасибо за информацию.