Перейти к содержанию

Рекомендуемые сообщения

В государственном учреждении развернута сеть на основе DC. На рабочих станциях стоит kes 11.06.0.394. Вроде бы касперский на всех рабочих станциях под одинаковой политикой, но работает он по каким-то причинам по-разному.  Если попробовать войти через wbemtest в репозиторий на удаленной машине или использовать стандартные классы wmi vbs-скриптом, то на многих машинах RPC- сервер будет недоступен. Опытным путем установлено, что при отключенном сетевом экране касперского и брандмауэра винды все ОК. При том, но проблемных машинах, если сканировать порты PortQuery (точнее 135 порт), то служба сопоставитель конечных точек вполне себе доступна. 

 

Как дальше решать проблему ?

Ссылка на комментарий
Поделиться на другие сайты

07.04.2023 в 22:09, oit сказал:

Смотрите какое правило сетевого экрана это блокирует.

Сетевого экрана какого? Касперского? 

Возможно ли такое, что одна и та же политика на разных рабочих станциях работает по-разному?

Может ли иметь место ситуация, когда по каким-то причинам касперик на перехватывает все функции встроенного сетевого экрана или по каким-то причинами это происходит неправильно?

Вообще сеть представляет из себя мешанину из разных операционок. С windows до 10ки 20h2.

Касперский админит другая организация, поэтому сложно вообще сказать как там настроена политика. 

Возможно, что-нибудь подскажет журнал операционки. НА что обратить внимание?

Изменено пользователем paganini
Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, paganini сказал:

Сетевого экрана какого? Касперского?

Да. 

 

5 минут назад, paganini сказал:

Возможно ли такое, что одна и та же политика на разных рабочих станциях работает по-разному?

Возможно, если на KSC они в разных группах находятся и для каждой группы своя политика. 

 

6 минут назад, paganini сказал:

Может ли иметь место ситуация, когда по каким-то причинам касперик на перехватывает все функции встроенного сетевого экрана или по каким-то причинами это происходит неправильно?

При активном сетевом экране KES, встроенный сетевой экран Windows отключается. 

 

6 минут назад, paganini сказал:

Касперский админит другая организация, поэтому сложно вообще сказать как там настроена политика.

Тогда к ним нужно обращаться, чтобы на своей стороне проверили. 

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, paganini сказал:

Возможно ли такое, что одна и та же политика на разных рабочих станциях работает по-разному?

Конечно возможно. В политике куча правил, и каждое может применяться к тому или иному объекту (компьютер/юзер/сеть и тд.).

6 минут назад, paganini сказал:

Касперский админит другая организация, поэтому сложно вообще сказать как там настроена политика. 

Так задайте вопрос этой организации.

7 минут назад, paganini сказал:

Возможно, что-нибудь подскажет журнал операционки. НА что обратить внимание?

Можете почитать логи KES - %SystemRoot%\System32\Winevt\Logs\Kaspersky Endpoint Security.evtx

Ссылка на комментарий
Поделиться на другие сайты

10.04.2023 в 13:57, Goddeimos13 сказал:

Конечно возможно. В политике куча правил, и каждое может применяться к тому или иному объекту (компьютер/юзер/сеть и тд.).

Вот здесь, если можно подробнее. Вообще говоря, объектом в windows может быть что угодно задания, процессы, потоки, события , сетевые ресурсы и т.д.  Как именно эта разница проявляется ? 

Т.е., например, если существует объект  событие на одной машине, а на другой его нет, то соответственно на одной политика каспера для него применяется, а на другой нет?

 

10.04.2023 в 13:57, Goddeimos13 сказал:

Так задайте вопрос этой организации.

Согласен.

Только сомневаюсь, что из этого выйдет толк.. там все поверхностно ( 

Так что возможно, мне мучительно долго придется во всем самому разбираться

10.04.2023 в 13:57, Goddeimos13 сказал:

Можете почитать логи KES - %SystemRoot%\System32\Winevt\Logs\Kaspersky Endpoint Security.evtx

 На какие записи обратить внимание?

 

10.04.2023 в 13:56, mike 1 сказал:

Возможно, если на KSC они в разных группах находятся и для каждой группы своя политика. 

Так и есть. В организации много отделов. Но проблема в том, что косяки лезут на машинах расположенных в пределах одного отдела.

 

10.04.2023 в 13:56, mike 1 сказал:

При активном сетевом экране KES, встроенный сетевой экран Windows отключается

Это понятно. Я немного о другом спрашивал.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • saha96
      Автор saha96
      Доброго времени суток, как сделать доступным следующий ползунок?

    • evg-gaz
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • Albina
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • paradox197755
      Автор paradox197755
      Зашифрованы диски на сервере.

    • KasatkinMihail
      Автор KasatkinMihail
      Доброго всем дня, в нерабочий день путем взлома RDP зашифровали сервер, поиск подобных случаев не дал результат, на письма по адресам в письме не отвечаю на вопрос сколько денег просят.
       
      ШИФР.rar Logs.rar
×
×
  • Создать...