Перейти к содержанию

RPC Сервер недоступен

paganini
 Share

Рекомендуемые сообщения

paganini Новичок

paganini

Опубликовано
Опубликовано

В государственном учреждении развернута сеть на основе DC. На рабочих станциях стоит kes 11.06.0.394. Вроде бы касперский на всех рабочих станциях под одинаковой политикой, но работает он по каким-то причинам по-разному.  Если попробовать войти через wbemtest в репозиторий на удаленной машине или использовать стандартные классы wmi vbs-скриптом, то на многих машинах RPC- сервер будет недоступен. Опытным путем установлено, что при отключенном сетевом экране касперского и брандмауэра винды все ОК. При том, но проблемных машинах, если сканировать порты PortQuery (точнее 135 порт), то служба сопоставитель конечных точек вполне себе доступна. 

 

Как дальше решать проблему ?

Ссылка на комментарий
Поделиться на другие сайты
paganini Новичок

paganini

Опубликовано
  • Автор
Опубликовано (изменено)
07.04.2023 в 22:09, oit сказал:

Смотрите какое правило сетевого экрана это блокирует.

Сетевого экрана какого? Касперского? 

Возможно ли такое, что одна и та же политика на разных рабочих станциях работает по-разному?

Может ли иметь место ситуация, когда по каким-то причинам касперик на перехватывает все функции встроенного сетевого экрана или по каким-то причинами это происходит неправильно?

Вообще сеть представляет из себя мешанину из разных операционок. С windows до 10ки 20h2.

Касперский админит другая организация, поэтому сложно вообще сказать как там настроена политика. 

Возможно, что-нибудь подскажет журнал операционки. НА что обратить внимание?

Изменено пользователем paganini
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
4 минуты назад, paganini сказал:

Сетевого экрана какого? Касперского?

Да. 

 

5 минут назад, paganini сказал:

Возможно ли такое, что одна и та же политика на разных рабочих станциях работает по-разному?

Возможно, если на KSC они в разных группах находятся и для каждой группы своя политика. 

 

6 минут назад, paganini сказал:

Может ли иметь место ситуация, когда по каким-то причинам касперик на перехватывает все функции встроенного сетевого экрана или по каким-то причинами это происходит неправильно?

При активном сетевом экране KES, встроенный сетевой экран Windows отключается. 

 

6 минут назад, paganini сказал:

Касперский админит другая организация, поэтому сложно вообще сказать как там настроена политика.

Тогда к ним нужно обращаться, чтобы на своей стороне проверили. 

Ссылка на комментарий
Поделиться на другие сайты
Goddeimos13 Продвинутый

Goddeimos13

Опубликовано
Опубликовано
4 минуты назад, paganini сказал:

Возможно ли такое, что одна и та же политика на разных рабочих станциях работает по-разному?

Конечно возможно. В политике куча правил, и каждое может применяться к тому или иному объекту (компьютер/юзер/сеть и тд.).

6 минут назад, paganini сказал:

Касперский админит другая организация, поэтому сложно вообще сказать как там настроена политика. 

Так задайте вопрос этой организации.

7 минут назад, paganini сказал:

Возможно, что-нибудь подскажет журнал операционки. НА что обратить внимание?

Можете почитать логи KES - %SystemRoot%\System32\Winevt\Logs\Kaspersky Endpoint Security.evtx

Ссылка на комментарий
Поделиться на другие сайты
paganini Новичок

paganini

Опубликовано
  • Автор
Опубликовано
10.04.2023 в 13:57, Goddeimos13 сказал:

Конечно возможно. В политике куча правил, и каждое может применяться к тому или иному объекту (компьютер/юзер/сеть и тд.).

Вот здесь, если можно подробнее. Вообще говоря, объектом в windows может быть что угодно задания, процессы, потоки, события , сетевые ресурсы и т.д.  Как именно эта разница проявляется ? 

Т.е., например, если существует объект  событие на одной машине, а на другой его нет, то соответственно на одной политика каспера для него применяется, а на другой нет?

 

10.04.2023 в 13:57, Goddeimos13 сказал:

Так задайте вопрос этой организации.

Согласен.

Только сомневаюсь, что из этого выйдет толк.. там все поверхностно ( 

Так что возможно, мне мучительно долго придется во всем самому разбираться

10.04.2023 в 13:57, Goddeimos13 сказал:

Можете почитать логи KES - %SystemRoot%\System32\Winevt\Logs\Kaspersky Endpoint Security.evtx

 На какие записи обратить внимание?

 

10.04.2023 в 13:56, mike 1 сказал:

Возможно, если на KSC они в разных группах находятся и для каждой группы своя политика. 

Так и есть. В организации много отделов. Но проблема в том, что косяки лезут на машинах расположенных в пределах одного отдела.

 

10.04.2023 в 13:56, mike 1 сказал:

При активном сетевом экране KES, встроенный сетевой экран Windows отключается

Это понятно. Я немного о другом спрашивал.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • website9527633
      Переобращение агента на сервер KSC
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • jserov96
      Зашифровали сервер файлами с расширением .vx2
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
×
×
  • Создать...