Перейти к содержанию

Рекомендуемые сообщения

В государственном учреждении развернута сеть на основе DC. На рабочих станциях стоит kes 11.06.0.394. Вроде бы касперский на всех рабочих станциях под одинаковой политикой, но работает он по каким-то причинам по-разному.  Если попробовать войти через wbemtest в репозиторий на удаленной машине или использовать стандартные классы wmi vbs-скриптом, то на многих машинах RPC- сервер будет недоступен. Опытным путем установлено, что при отключенном сетевом экране касперского и брандмауэра винды все ОК. При том, но проблемных машинах, если сканировать порты PortQuery (точнее 135 порт), то служба сопоставитель конечных точек вполне себе доступна. 

 

Как дальше решать проблему ?

Ссылка на комментарий
Поделиться на другие сайты

07.04.2023 в 22:09, oit сказал:

Смотрите какое правило сетевого экрана это блокирует.

Сетевого экрана какого? Касперского? 

Возможно ли такое, что одна и та же политика на разных рабочих станциях работает по-разному?

Может ли иметь место ситуация, когда по каким-то причинам касперик на перехватывает все функции встроенного сетевого экрана или по каким-то причинами это происходит неправильно?

Вообще сеть представляет из себя мешанину из разных операционок. С windows до 10ки 20h2.

Касперский админит другая организация, поэтому сложно вообще сказать как там настроена политика. 

Возможно, что-нибудь подскажет журнал операционки. НА что обратить внимание?

Изменено пользователем paganini
Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, paganini сказал:

Сетевого экрана какого? Касперского?

Да. 

 

5 минут назад, paganini сказал:

Возможно ли такое, что одна и та же политика на разных рабочих станциях работает по-разному?

Возможно, если на KSC они в разных группах находятся и для каждой группы своя политика. 

 

6 минут назад, paganini сказал:

Может ли иметь место ситуация, когда по каким-то причинам касперик на перехватывает все функции встроенного сетевого экрана или по каким-то причинами это происходит неправильно?

При активном сетевом экране KES, встроенный сетевой экран Windows отключается. 

 

6 минут назад, paganini сказал:

Касперский админит другая организация, поэтому сложно вообще сказать как там настроена политика.

Тогда к ним нужно обращаться, чтобы на своей стороне проверили. 

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, paganini сказал:

Возможно ли такое, что одна и та же политика на разных рабочих станциях работает по-разному?

Конечно возможно. В политике куча правил, и каждое может применяться к тому или иному объекту (компьютер/юзер/сеть и тд.).

6 минут назад, paganini сказал:

Касперский админит другая организация, поэтому сложно вообще сказать как там настроена политика. 

Так задайте вопрос этой организации.

7 минут назад, paganini сказал:

Возможно, что-нибудь подскажет журнал операционки. НА что обратить внимание?

Можете почитать логи KES - %SystemRoot%\System32\Winevt\Logs\Kaspersky Endpoint Security.evtx

Ссылка на комментарий
Поделиться на другие сайты

10.04.2023 в 13:57, Goddeimos13 сказал:

Конечно возможно. В политике куча правил, и каждое может применяться к тому или иному объекту (компьютер/юзер/сеть и тд.).

Вот здесь, если можно подробнее. Вообще говоря, объектом в windows может быть что угодно задания, процессы, потоки, события , сетевые ресурсы и т.д.  Как именно эта разница проявляется ? 

Т.е., например, если существует объект  событие на одной машине, а на другой его нет, то соответственно на одной политика каспера для него применяется, а на другой нет?

 

10.04.2023 в 13:57, Goddeimos13 сказал:

Так задайте вопрос этой организации.

Согласен.

Только сомневаюсь, что из этого выйдет толк.. там все поверхностно ( 

Так что возможно, мне мучительно долго придется во всем самому разбираться

10.04.2023 в 13:57, Goddeimos13 сказал:

Можете почитать логи KES - %SystemRoot%\System32\Winevt\Logs\Kaspersky Endpoint Security.evtx

 На какие записи обратить внимание?

 

10.04.2023 в 13:56, mike 1 сказал:

Возможно, если на KSC они в разных группах находятся и для каждой группы своя политика. 

Так и есть. В организации много отделов. Но проблема в том, что косяки лезут на машинах расположенных в пределах одного отдела.

 

10.04.2023 в 13:56, mike 1 сказал:

При активном сетевом экране KES, встроенный сетевой экран Windows отключается

Это понятно. Я немного о другом спрашивал.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • lex-xel
      От lex-xel
      Добрый день!
      Аналогичная ситуация  сервер подвергся взлому, база данных заархивирована с шифрованием.
      Антивирус снесли, хоть он был под паролем.
      Подскажите есть способ как то исправить ситуацию, расшифровать базу данных?
       
      Do you really want to restore your files?
      Write to email: a38261062@gmail.com
       
      Сообщение от модератора Mark D. Pearlstone перемещено из темы.
         
    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Dan4es
      От Dan4es
      Добрый день.
       
      Столкнулся с проблемой: пролез шифровальщик и зашифровал критичные данные для работы KSC (бд + бекап). Переустановил ОС, переустановил KSC, бд вынес на выделенный сервер. Адрес и dns имя сервера оставил прежним. Все устройства обнаружились, но все в статусе неизвестно. При выполнении задачи установка KES+Network Agent, задача останавливается на 50%. Как пере подключить все устройства обратно к этому серверу?

    • website9527633
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
×
×
  • Создать...