MS Exchange + KES

[Apofizz]

Почтовый сервер:
Microsoft Windows server 2019 Standart
Microsoft Exchange 2019 CU11
Kaspersky Security 9.0 для Microsoft Exchange Servers

Стоял антивирус ESET File Security, который сразу распознал что это почтовый сервер, добавил некоторые исключения для сканирования. И самое главное у него была сетевая защита, которая блокировала атаки, список там был приличный ежедневно.

Так как лицензия кончились на ESET, поставили на сервере Kaspersky Endpoint security 12.1.0.506 - Расширенный, такое чувство что сетевая защита не работает, защита от сетевых угроз 0,  что странно.

Постоянно уведомления выходят:

Событие: Обнаружена подозрительная сетевая активность
Имя приложения: Kaspersky Endpoint Security
Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.1.0
Имя пользователя: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Компонент: Защита
Дата события: Сегодня, 04.07.2023 10:51:29
Целевой сервер: EX01-CLOUD.p**t.ru
Имя учетной записи: P**T\EX01-CLOUD$
Количество попыток: 30
Промежуток (минуты): 2
Предыдущая попытка: Сегодня, 04.07.2023 10:36:29
Текущая попытка: Сегодня, 04.07.2023 10:51:29

Событие: Самозащита ограничила доступ к защищаемому ресурсу
Имя приложения: Microsoft.Exchange.Diagnostics.Service.exe
Путь к приложению: E:\Microsoft\Exchange Server\Bin
PID приложения: 10140
Функция приложения: Открытие процесса
Объект: C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagent.exe
Имя пользователя: NT AUTHORITY\СИСТЕМА
Тип пользователя: Не определено
Компонент: Защита

Событие: Самозащита ограничила доступ к защищаемому ресурсу
Имя приложения: svchost.exe
Путь к приложению: C:\Windows\System32
PID приложения: 3256
Функция приложения: Открытие процесса
Объект: C:\Program Files (x86)\Kaspersky Lab\KES.12.1.0\avpsus.exe
Имя пользователя: NT AUTHORITY\СИСТЕМА
Тип пользователя: Не определено
Компонент: Защита

Kaspersky Endpoint security 12.1.0.506 - несовместим с Exchange? или лучше установить Kaspersky for Windows Server? 

Edited July 4, 2023 by Apofizz
опечатки

[Demiad]

Добрый день.

Про настройку исключений Exchange смотрите статью справки:
https://support.kaspersky.com/KESWin/12.1/ru-RU/224461.htm

События самозащиты сами по себе не значат чего-то плохого, но могут быть полезны при расследовании инцидентов. При желании события можно отключить в параметрах политик KES (раздел События). События говорят о том, что какой-то процесс обращался к защищаемым KES ресурсам и данные действия были заблокированы.

KSWS скоро прекратит поддержку, не стоит производить его новые установки, а наоборот избавляться в инфраструктуре.

Судя по сообщению о подозрительной сетевой активности KES как раз блокирует сетевые атаки.

Проверьте локально в интерфейсе KES в разделе "Заблокированные компьютеры"

https://support.kaspersky.com/KESWin/12.1/ru-RU/49629.htm

[Apofizz]

 

39 минут назад, Demiad сказал:

Про настройку исключений Exchange смотрите статью справки:
https://support.kaspersky.com/KESWin/12.1/ru-RU/224461.htm

 

мне скинули данную статью:

https://learn.microsoft.com/ru-ru/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2019  буду попробовать так же по ней настроить. Это лучше сделать в KSC? в политиках?

39 минут назад, Demiad сказал:

KSWS скоро прекратит поддержку, не стоит производить его новые установки, а наоборот избавляться в инфраструктуре.

Понял, спасибо, уже успел установить на парочке серверов... буду переустанавливать. 

 

39 минут назад, Demiad сказал:

Судя по сообщению о подозрительной сетевой активности KES как раз блокирует сетевые атаки.

Проверьте локально в интерфейсе KES в разделе "Заблокированные компьютеры"

https://support.kaspersky.com/KESWin/12.1/ru-RU/49629.htm

Заблокированные компьютеры 0

 

Edited July 4, 2023 by Apofizz
добавлен скрин

[Apofizz]

Я правильно понимаю что нужно отключить модуль защиты почтовых угроз? так как установлен Kaspersky Security 9.0 для Microsoft Exchange Servers

[Demiad]

Модуль почтовых угроз работает на уровне почтового клиента, поэтому если вы установите, например, KES на терминальный сервер где работают пользователи в MS Outlook, то там он пригодится.

За заблокированными компьютерами посматривайте. Лучше всего проверить их наличии сразу после появления предупреждающего сообщения, через 30 минут устройство будет удалено из списка заблокированных.

[Apofizz]

1 час назад, Demiad сказал:

За заблокированными компьютерами посматривайте. Лучше всего проверить их наличии сразу после появления предупреждающего сообщения, через 30 минут устройство будет удалено из списка заблокированных.

я уже пару дней смотрю ? он пустой. в отчетах тоже пусто. ESET тогда блочил каждые 10 минут всякие левые подключения. Вот и удивительно.

Спасибо, буду разбираться дальше...

[Demiad]

@Apofizz, похоже, я перепутал компонент, в событие же указан источник "Компонент: Защита", поэтому искать заблокированные компонентом "Защита от сетевых угроз" устройства в данном случае будет неправильно.

Уточнить причину думаю получится из трассировок работы продукта, Но это уже в запросе в ТП https://support.kaspersky.ru/b2b/RU#contacts

Однако чтоб проверить будет ли компонент защиты от сетевых угроз блокировать, можно попробовать сделать brute-force протокола RDP сервера и убедиться в результате. Даже без лишних утилит получится из клиента RDP пообращаться много раз с неверным паролем/пользователем и будет блокировка устройства.