Jump to content

KES11.11.0 + kickidler (следилка УРВ)


MagIstr
Go to solution Solved by MagIstr,

Recommended Posts

Обращение в ТП пока без ответа. 

Развёрнут KSC14.0.0.10902.
На клиентах под управлением Windows10/7 x86/x64 и серверах Windows Server 2019/2008 R2 были установлены Агент администрирования Kaspersky Security Center 14 (14.0.0.10902) и Kaspersky Endpoint Security для Windows (11.11.0).
При нажатии правой кнопкой мыши "Выключить политику" или "Приостановить защиту..." окно авторизации (скриншот) появляется и сразу пропадает (KLAdmin или др. добавленных в политике) при запущенной службе приложения kickidler (следилка УРВ). Невозможно получается ввести учётные данные для выполнения вызываемых действий. После остановки службы kickidler-а окно авторизации не пропадает и позволяет ввести креды.

Службы kickidler-а добавлены в исключения в политике на KSC.

Обращение в ТП kickidler так же создано.

Может кто сталкивался?

Окно_авторизации.jpg

Link to comment
Share on other sites

Nikita Kickidler

Добрый день! 

На момент внесения изменений настроек в Антивирусе Касперском на компьютере, на котором установлен граббер, необходимо отключить службу граббера. 

Как только все изменения будут внесены - граббер можно обратно включить. 

Link to comment
Share on other sites

41 минуту назад, Nikita Kickidler сказал:

Добрый день! 

На момент внесения изменений настроек в Антивирусе Касперском на компьютере, на котором установлен граббер, необходимо отключить службу граббера. 

Как только все изменения будут внесены - граббер можно обратно включить. 

Доброго времени суток. 

Так я в первом же посте написал, что мы так делаем и работает. НО - нас так не устраивает. Слишком много операций необходимо совершить: войти в сервисы под админом - стопануть службу - произвести манипуляции с KES и прочие - не забыть запустить службу kickidler-а.

Link to comment
Share on other sites

Nikita Kickidler

Мы создадим задачу на доработку функционала, благодарим за вашу обратную связь. 

Link to comment
Share on other sites

День добрый.

Проверьте включена ли эта галочка при настройке исключений.

image.png.3617f9a2b5654906bef24afdff1d2a94.png

Затем попробуйте вычислить компонент защиты, который влияет на данное поведение, отключая их поочередно.

Link to comment
Share on other sites

4 часа назад, tyazhelnikov сказал:

День добрый.

Проверьте включена ли эта галочка при настройке исключений.

image.png.3617f9a2b5654906bef24afdff1d2a94.png

Затем попробуйте вычислить компонент защиты, который влияет на данное поведение, отключая их поочередно.

Галочка включена.

По вычислению компонента защиты - та ещё задачка. Распространение политики и её применение только раз в 15 минут. Долго можно играться, учитывая то, что уже 2 недели играемся. Что только не пробовали отключать/включать. Хоть обнаружили, что именно при запущенной службе kickidler-а нельзя войти в окно авторизации. 

Link to comment
Share on other sites

Можно вывести одного подопытного из-под политики, и играться. Если определится компонент - виновник возможно получится настроить. 

Кстати а Вы пробовали отключать самозащиту KES?

Link to comment
Share on other sites

2 часа назад, tyazhelnikov сказал:

Кстати а Вы пробовали отключать самозащиту KES?

Конечно )

Самое первое, на что грешили.

2 часа назад, tyazhelnikov сказал:

Можно вывести одного подопытного из-под политики, и играться. Если определится компонент - виновник возможно получится настроить. 

Кстати, как можно вывести из-под политики определённый хост? И можно ли чтобы никакая политика на него не действовала?

Пока что создал отдельную группу, куда перенёс один хост. Создал отдельную для него политику. И этой политикой буду играться.

Link to comment
Share on other sites

Так теперь на этом хосте выключите политику, а затем экспериментируйте с компонентами. 

Link to comment
Share on other sites

24 минуты назад, tyazhelnikov сказал:

Так теперь на этом хосте выключите политику, а затем экспериментируйте с компонентами. 

Чтобы выключить политику требуется ввести те же креды как и при "Приостановить защиту...", а окно авторизации пропадает ? Это я ещё в первом посте написал. Ну стопорнув граббер поиграюсь.

Link to comment
Share on other sites

Я читал первое сообщение)))  После вывода из-под политики, включите службы и играйтесь с "Приостановить защиту...". Полагаю, что поведения окна логина/пароля будет одинаковым.

Link to comment
Share on other sites

Наигрался, пока ничего не помогает. Полностью останавливал защиту. Любой компонент защиты пробовал отключать по отдельности - всё равно при запущенном граббере не позволяет ввести пароль. Так и пропадает окно авторизации.

Link to comment
Share on other sites

Кстати, по обращению в ТП. Может подскажете, это нормально?

Номер:
Статус:
Создан:
Автор:
INC000015043224
Ожидает вашего ответа
15.02.23, 16:39
 
 
Какого ответа от нас ждёт ТП на наше же обращение? Или это нормальное поведение? Просто 5 дней никакого ответа, только робот прислал сначала письмо: попробовать стандартные варианты решения проблем.
Link to comment
Share on other sites

Как быстро ответили)))) Прикладывайте трассировки в момент проблемы с окном. Прикладывайте GSI к запросу. 

Выгрузите политику (в ней будут видны ваши исключения). Опишите, что отключение всех компонентов не помогло.

Так по крайней мере снимите ряд стандартный ответов ТП.

Link to comment
Share on other sites

20 часов назад, tyazhelnikov сказал:

Как быстро ответили)))) Прикладывайте трассировки в момент проблемы с окном. Прикладывайте GSI к запросу. 

Выгрузите политику (в ней будут видны ваши исключения). Опишите, что отключение всех компонентов не помогло.

Так по крайней мере снимите ряд стандартный ответов ТП.

Ясно.

Всё, что было в требованиях при создании запроса приложил (политику и GSi). Описал с каким приложением конфликт и как проявляется.

Думал, что поживее отвечают. Ясно, спасибо!

 

По поводу 12-й версии KES.

Скачал дистрибутив. Как правильно и без глюков удалённо установить его на тестовый хост? Поверх, не удаляя 11.11.0 прокатит? Галочку на скрине убрать следует?

47c27-clip-23kb.png?nocache=1

Link to comment
Share on other sites

День добрый. Поставится поверх нормально. Галочку убирать не надо, у Вас же разные задачи для 11.11 и 12.

Link to comment
Share on other sites

4 часа назад, tyazhelnikov сказал:

День добрый. Поставится поверх нормально. Галочку убирать не надо, у Вас же разные задачи для 11.11 и 12.

Добрый! Отчитываюсь.

KES12 в нашей ситуации ведет себя ещё хуже. При попытке приостановить защиту или выключить политику при запущенной службе граббера Kickidler-а окно авторизации так же за доли секунды пропадает. И! Вылетает сам KES! Из трея пропадает значок KES. Но служба AVP.KES.21.9 продолжает работать, но всякое управление приложением пропадает.

Буду даунгрейдить до 11.11.0. Можно таким же образом даунгрейдить? Поверх? Или сначала удалить KES12? Через задачи в KSC есть возможность удалять приложение? Не нашёл, но пока мало искал...

Link to comment
Share on other sites

День добрый.

Лучше удалить..

Возможность удалить через KSC есть, она здесь.

image.png.38650f3f39674cba877e4bc0e3488749.png

 

Link to comment
Share on other sites

1 час назад, MagIstr сказал:

KES12 в нашей ситуации ведет себя ещё хуже. При попытке приостановить защиту или выключить политику при запущенной службе граббера Kickidler-а окно авторизации так же за доли секунды пропадает. И! Вылетает сам KES! Из трея пропадает значок KES. Но служба AVP.KES.21.9 продолжает работать, но всякое управление приложением пропадает.

Лучше сразу проверять на самой актуальной версии и диагностировать проблему на ней же, так шансы что поправят выше.

Если есть возможность, то посоветовал бы проверить на бета-версии и если проблема вдруг останется, тогда создать баг в этом разделе соответствующими логами.

Link to comment
Share on other sites

2 часа назад, Friend сказал:

Лучше сразу проверять на самой актуальной версии и диагностировать проблему на ней же, так шансы что поправят выше.

Если есть возможность, то посоветовал бы проверить на бета-версии и если проблема вдруг останется, тогда создать баг в этом разделе соответствующими логами.

Проверил на бете keswin_12.1.0.265_ru_aes56. Ведёт себя так же как KES12.

Link to comment
Share on other sites

  • 3 weeks later...

Ответ от ТП:

Попробуйте обновить KES на одном хосте до версии 12, затем с временно остановленной самозащитой KES Self-Defense в ключе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\KasperskyLab\protected\KES.21.9\environment]
создать SecuredDesktopCompatibilityMode=1 (REG_SZ) и после перезагрузки компьютера повторно проверить воспроизведение (на текущей версии KES 11.11 такой параметр не работает).

Выполнил данные рекомендации, заработало.

Теперь понять, как распространить данный reg файл по 300+ хостам (в домене малая часть).

  • Like 1
Link to comment
Share on other sites

@MagIstr сообщите об этом поддержке и попросите приватный фикс для вашего случая по возможности.
 

Link to comment
Share on other sites

Конечно я им отписался. На счёт фикса только ничего не написал, но спросил, что дальше делать. 

Кстати, чтобы не плодить тем, подскажите кто-нибудь сколько места выделить серверу Win19 с KSC? Первоначально дал 60Гб - съел бекапами. Урезал количество бекапов, дал +20Гб. Снова съел всё. Сегодня расширил диск до 100Гб. Подскажите из опыта, когда можно остановиться? Хостов 320.

Link to comment
Share on other sites

В 09.03.2023 в 10:53, MagIstr сказал:

Кстати, чтобы не плодить тем, подскажите кто-нибудь сколько места выделить серверу Win19 с KSC? Первоначально дал 60Гб - съел бекапами. Урезал количество бекапов, дал +20Гб. Снова съел всё. Сегодня расширил диск до 100Гб. Подскажите из опыта, когда можно остановиться? Хостов 320.

По этому поводу обнаружил что растут 2 текстовичка с логами. Как остановить это безобразие?

Logs.jpg

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...