KSC 13.1 Проблема с доверенными корневыми сертфикатами

[wwlom]

Добрый день.

Возникла проблема при обновлении корневых сертифкатов на шлюзе.

На хостах оновил сертификат, давив его в доверенные корневые, на сервере KSC 13.1 через оснастку Windows тоже добавил в доверенные корневые, однако  при работе задачи "Защита от почтовых угроз" перестала работать почта.

При отключении этой задачи для конкретного хоста на сервере KSC 13.1 , почта начинает работать.

В инете нашел инструкцию следующего содержания:

Цитата

Откройте Консоль администрирования Kaspersky Security Center.
В папке Управляемые устройства дерева Консоли администрирования откройте папку с названием группы администрирования, в состав которой входят нужные клиентские компьютеры.
В рабочей области выберите закладку Политики.
Выберите нужную политику и откройте свойства политики двойным щелчком мыши.
В окне политики выберите Общие настройки → Настройки сети.
В блоке Доверенные корневые сертификаты нажмите на кнопку Добавить.
В открывшемся окне выберите доверенный корневой сертификат.
Kaspersky Endpoint Security поддерживает сертификаты с расширением PEM, DER и CRT.

Сохраните внесенные изменения.

Однако в интерфейсе KSC 13.1 в разделе "Настройки сети" нет блока "Доверенные корневые сертификаты".

Как добавить этот сертификат в KSC 13.1???

[ElvinE5]

наверно нужно обновить версию клиентов, это функция появляется в поздних релизах. у меня на скрине KES 11.11

Спойлер

 

[wwlom]

28 минут назад, ElvinE5 сказал:

наверно нужно обновить версию клиентов, это функция появляется в поздних релизах. у меня на скрине KES 11.11

  Скрыть контент

 

При чем тут версия клиентов, если вопрос про интерфейс и работу серверной части? 

[ElvinE5]

потому что на скрине вы демонстрируете политику для KES 11.6 в которой нет пункта добавления корневых сертификатов, и куда по инструкции приведенной вами вы хотите добавить корневой доверенный сертификат.

установите на KSC плагин для KES 11.11 - и этот пункт появится, однако если на конечных устройствах будет стоять версия KES не поддерживающая данный функционал ... само собой ни чего работать не будет.

поэтому я рекомендовал бы обновить плагин в KSC для KES до последней версии (11.11) установить на тестовое устройство KES 11.11, создать и настроить тестовую политику для данного устройства с исключением корневого сертификата ... протестировать

Edited December 15, 2022 by ElvinE5

[wwwlom]

Добрый день.

Пишу с нового аккаунта из-за очередного бага у Корпорации Касперский.

Несколько вопросов:

1) вы отвечаете как официальный представитель Касперского?

2) по какой-то необъяснимой причине у меня перестал работать профиль начальной регистрации (wwlom). При попытке восстановить пароль на почтовую учётную запись с которой проходила регистрация, система пишет, что почта не найдена, хотя у меня на почте  лежит 2 письма о подтверждении регистрации.

3) вышеописанная проблема оказалась плавающей и повторяется не на всех  машинах домена (на некоторых почта блокируется, на некоторых нет, при совпадении версии клиента).

Обновление клиентской части до версии 11 помогло, однако теперь KSC ругается и выдаёт критический статус машин, на которых стоит 11 версия KES.

Описание критического статуса: Положение о KS Network не поддерживается политикой.

KSNetwork не используем в домене.

В установочном пакете не было возможности отключить этот пункт.

Как вывести устройства из критического статуса? 

 

[mike 1]

30 минут назад, wwwlom сказал:

1) вы отвечаете как официальный представитель Касперского?

Если хотите получить официальный ответ, то такие запросы нужно делать через Kaspersky Company. На форуме вам может ответить любой участник форума. У сотрудников группа Kaspersky Employee

34 минуты назад, wwwlom сказал:

KSNetwork не используем в домене.

И очень зря. Нужно открыть политику устройства и принять/не принять соглашение KSN. После этого уведомление пропадет. 

 

35 минут назад, wwwlom сказал:

В установочном пакете не было возможности отключить этот пункт.

Плохо искали. Отключить можно через конфигурационный файл. В параметре kud файла нужно так сделать /pKSN=0 

 

 

[wwwlom]

Плохо искали. Отключить можно через конфигурационный файл. В параметре kud файла нужно так сделать /pKSN=0 

 

Где найти этот конфигурационный файл? Я так понимаю эта функция не реализована в интерфесе?

[mike 1]

Смотрите файл kes_win.kud

[ElvinE5]

День добрый

1. нет, @mike 1, прокомментировал выше ответ. Также если нужен официальный ответ можете обратится в тех.поддержку напрямую через личный кабинет на https://companyaccount.kaspersky.com/account/login, при регенерации потребуется ваш действующий ключ на продукт Kaspersky

2. ну тут тоже вам смогут админы форума только помочь

3. если не используете KSN отключите его в действующей политики для KES 11.11 как рекомендовал @mike 1, снимите эту "галочку" замок закройте.

Спойлер

 

по поводу редактирования kud файла ... его можно найти в "сыром", скачено м и распакованном, пакете перед сборкой на сервере ... тут ... сам ни когда не редактировал этот параметр.

Спойлер

но он там и так имеет статус 0, так что наверное в политике его отключить будет проще.

 

так же небольшой лайф хак, при использовании Outlook в работе с почтой рекомендуют отключать вот этот параметр если у вас x64 Office, эта функция, при работе с х64, не поддерживается и может вызывать зависание, долгое открытие ящика, почтового клиента.

Спойлер

 

 

ну и так же не могу не спросить - чем обусловлено НЕ использование KSN в сети ?

Edited December 27, 2022 by ElvinE5

[wwwlom]

Добрый день.

Так ничего и не помогло.

Проблема из постоянной стала плавающей (после обновления версий клиента на некоторых ПК почта заработала, на некоторых нет).

Пока продолжаю экспериментировать с этой  поделкой.

На лицо несогласованность версий сервер/клиент/политика.

Как появится дополнительная информация - обязательно отпишусь сюда.

[wwwlom]

Всем энтузиастам спасибо за ответы.