KES11.11.0 + kickidler (следилка УРВ)

[MagIstr]

Обращение в ТП пока без ответа. 

Развёрнут KSC14.0.0.10902.
На клиентах под управлением Windows10/7 x86/x64 и серверах Windows Server 2019/2008 R2 были установлены Агент администрирования Kaspersky Security Center 14 (14.0.0.10902) и Kaspersky Endpoint Security для Windows (11.11.0).
При нажатии правой кнопкой мыши "Выключить политику" или "Приостановить защиту..." окно авторизации (скриншот) появляется и сразу пропадает (KLAdmin или др. добавленных в политике) при запущенной службе приложения kickidler (следилка УРВ). Невозможно получается ввести учётные данные для выполнения вызываемых действий. После остановки службы kickidler-а окно авторизации не пропадает и позволяет ввести креды.

Службы kickidler-а добавлены в исключения в политике на KSC.

Обращение в ТП kickidler так же создано.

Может кто сталкивался?

[Nikita Kickidler]

Добрый день! 

На момент внесения изменений настроек в Антивирусе Касперском на компьютере, на котором установлен граббер, необходимо отключить службу граббера. 

Как только все изменения будут внесены - граббер можно обратно включить. 

[MagIstr]

  On 2/17/2023 at 1:01 PM, Nikita Kickidler said:

Добрый день! 

На момент внесения изменений настроек в Антивирусе Касперском на компьютере, на котором установлен граббер, необходимо отключить службу граббера. 

Как только все изменения будут внесены - граббер можно обратно включить. 

Expand  

Доброго времени суток. 

Так я в первом же посте написал, что мы так делаем и работает. НО - нас так не устраивает. Слишком много операций необходимо совершить: войти в сервисы под админом - стопануть службу - произвести манипуляции с KES и прочие - не забыть запустить службу kickidler-а.

[Nikita Kickidler]

Мы создадим задачу на доработку функционала, благодарим за вашу обратную связь. 

[tyazhelnikov]

День добрый.

Проверьте включена ли эта галочка при настройке исключений.

Затем попробуйте вычислить компонент защиты, который влияет на данное поведение, отключая их поочередно.

[MagIstr]

  On 2/20/2023 at 3:12 AM, tyazhelnikov said:

День добрый.

Проверьте включена ли эта галочка при настройке исключений.

Затем попробуйте вычислить компонент защиты, который влияет на данное поведение, отключая их поочередно.

Expand  

Галочка включена.

По вычислению компонента защиты - та ещё задачка. Распространение политики и её применение только раз в 15 минут. Долго можно играться, учитывая то, что уже 2 недели играемся. Что только не пробовали отключать/включать. Хоть обнаружили, что именно при запущенной службе kickidler-а нельзя войти в окно авторизации. 

[tyazhelnikov]

Можно вывести одного подопытного из-под политики, и играться. Если определится компонент - виновник возможно получится настроить. 

Кстати а Вы пробовали отключать самозащиту KES?

[MagIstr]

  On 2/20/2023 at 9:10 AM, tyazhelnikov said:

Кстати а Вы пробовали отключать самозащиту KES?

Expand  

Конечно )

Самое первое, на что грешили.

  On 2/20/2023 at 8:56 AM, tyazhelnikov said:

Можно вывести одного подопытного из-под политики, и играться. Если определится компонент - виновник возможно получится настроить. 

Expand  

Кстати, как можно вывести из-под политики определённый хост? И можно ли чтобы никакая политика на него не действовала?

Пока что создал отдельную группу, куда перенёс один хост. Создал отдельную для него политику. И этой политикой буду играться.

[tyazhelnikov]

Так теперь на этом хосте выключите политику, а затем экспериментируйте с компонентами. 

[MagIstr]

  On 2/20/2023 at 9:35 AM, tyazhelnikov said:

Так теперь на этом хосте выключите политику, а затем экспериментируйте с компонентами. 

Expand  

Чтобы выключить политику требуется ввести те же креды как и при "Приостановить защиту...", а окно авторизации пропадает ? Это я ещё в первом посте написал. Ну стопорнув граббер поиграюсь.

[tyazhelnikov]

Я читал первое сообщение)))  После вывода из-под политики, включите службы и играйтесь с "Приостановить защиту...". Полагаю, что поведения окна логина/пароля будет одинаковым.

[MagIstr]

Наигрался, пока ничего не помогает. Полностью останавливал защиту. Любой компонент защиты пробовал отключать по отдельности - всё равно при запущенном граббере не позволяет ввести пароль. Так и пропадает окно авторизации.

[tyazhelnikov]

Ну тогда остается только ТП, ну или попробуйте еще  12 версию.

 

[MagIstr]

Кстати, по обращению в ТП. Может подскажете, это нормально?

Пропадание окна авторизации KES11.11.0.452 на клиентских Window

Запрос в Техническую поддержку

Номер:

Статус:

Создан:

Автор:

INC000015043224

Ожидает вашего ответа

15.02.23, 16:39

 

 

Какого ответа от нас ждёт ТП на наше же обращение? Или это нормальное поведение? Просто 5 дней никакого ответа, только робот прислал сначала письмо: попробовать стандартные варианты решения проблем.

[tyazhelnikov]

Как быстро ответили)))) Прикладывайте трассировки в момент проблемы с окном. Прикладывайте GSI к запросу. 

Выгрузите политику (в ней будут видны ваши исключения). Опишите, что отключение всех компонентов не помогло.

Так по крайней мере снимите ряд стандартный ответов ТП.

[MagIstr]

  On 2/20/2023 at 11:26 AM, tyazhelnikov said:

Как быстро ответили)))) Прикладывайте трассировки в момент проблемы с окном. Прикладывайте GSI к запросу. 

Выгрузите политику (в ней будут видны ваши исключения). Опишите, что отключение всех компонентов не помогло.

Так по крайней мере снимите ряд стандартный ответов ТП.

Expand  

Ясно.

Всё, что было в требованиях при создании запроса приложил (политику и GSi). Описал с каким приложением конфликт и как проявляется.

Думал, что поживее отвечают. Ясно, спасибо!

 

По поводу 12-й версии KES.

Скачал дистрибутив. Как правильно и без глюков удалённо установить его на тестовый хост? Поверх, не удаляя 11.11.0 прокатит? Галочку на скрине убрать следует?

[tyazhelnikov]

День добрый. Поставится поверх нормально. Галочку убирать не надо, у Вас же разные задачи для 11.11 и 12.

[MagIstr]

  On 2/21/2023 at 2:51 AM, tyazhelnikov said:

День добрый. Поставится поверх нормально. Галочку убирать не надо, у Вас же разные задачи для 11.11 и 12.

Expand  

Добрый! Отчитываюсь.

KES12 в нашей ситуации ведет себя ещё хуже. При попытке приостановить защиту или выключить политику при запущенной службе граббера Kickidler-а окно авторизации так же за доли секунды пропадает. И! Вылетает сам KES! Из трея пропадает значок KES. Но служба AVP.KES.21.9 продолжает работать, но всякое управление приложением пропадает.

Буду даунгрейдить до 11.11.0. Можно таким же образом даунгрейдить? Поверх? Или сначала удалить KES12? Через задачи в KSC есть возможность удалять приложение? Не нашёл, но пока мало искал...

[tyazhelnikov]

День добрый.

Лучше удалить..

Возможность удалить через KSC есть, она здесь.

 

[Friend]

  On 2/21/2023 at 7:09 AM, MagIstr said:

KES12 в нашей ситуации ведет себя ещё хуже. При попытке приостановить защиту или выключить политику при запущенной службе граббера Kickidler-а окно авторизации так же за доли секунды пропадает. И! Вылетает сам KES! Из трея пропадает значок KES. Но служба AVP.KES.21.9 продолжает работать, но всякое управление приложением пропадает.

Expand  

Лучше сразу проверять на самой актуальной версии и диагностировать проблему на ней же, так шансы что поправят выше.

Если есть возможность, то посоветовал бы проверить на бета-версии и если проблема вдруг останется, тогда создать баг в этом разделе соответствующими логами.

[MagIstr]

  On 2/21/2023 at 8:29 AM, Friend said:

Лучше сразу проверять на самой актуальной версии и диагностировать проблему на ней же, так шансы что поправят выше.

Если есть возможность, то посоветовал бы проверить на бета-версии и если проблема вдруг останется, тогда создать баг в этом разделе соответствующими логами.

Expand  

Проверил на бете keswin_12.1.0.265_ru_aes56. Ведёт себя так же как KES12.

[MagIstr]

Ответ от ТП:

Попробуйте обновить KES на одном хосте до версии 12, затем с временно остановленной самозащитой KES Self-Defense в ключе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\KasperskyLab\protected\KES.21.9\environment]
создать SecuredDesktopCompatibilityMode=1 (REG_SZ) и после перезагрузки компьютера повторно проверить воспроизведение (на текущей версии KES 11.11 такой параметр не работает).

Выполнил данные рекомендации, заработало.

Теперь понять, как распространить данный reg файл по 300+ хостам (в домене малая часть).

[Friend]

@MagIstr сообщите об этом поддержке и попросите приватный фикс для вашего случая по возможности.
 

[MagIstr]

Конечно я им отписался. На счёт фикса только ничего не написал, но спросил, что дальше делать. 

Кстати, чтобы не плодить тем, подскажите кто-нибудь сколько места выделить серверу Win19 с KSC? Первоначально дал 60Гб - съел бекапами. Урезал количество бекапов, дал +20Гб. Снова съел всё. Сегодня расширил диск до 100Гб. Подскажите из опыта, когда можно остановиться? Хостов 320.

[MagIstr]

  On 3/9/2023 at 7:53 AM, MagIstr said:

Кстати, чтобы не плодить тем, подскажите кто-нибудь сколько места выделить серверу Win19 с KSC? Первоначально дал 60Гб - съел бекапами. Урезал количество бекапов, дал +20Гб. Снова съел всё. Сегодня расширил диск до 100Гб. Подскажите из опыта, когда можно остановиться? Хостов 320.

Expand  

По этому поводу обнаружил что растут 2 текстовичка с логами. Как остановить это безобразие?