Перейти к содержанию

Установка требуемых обновлений и закрытие уязвимостей


Рекомендуемые сообщения

Здравствуйте.

Для обновления Windows в политике Агента администрирования настроено - "Запретить устанавливать обновления Центра обновления Windows"

Здесь описано "Пользователи не могут устанавливать обновления Центра обновления Windows на своих устройства вручную. Все применимые обновления устанавливаются в соответствии с настройкой, заданной администратором."

 

Задача "Установка требуемых обновлений и закрытие уязвимостей" в ключена с настройками в приложенном файле.

 

Задача для всех устройств "висит" в статусе "Ожидает выполнения".

 

Почему? Помогите разобраться, настроить.

Задача.JPG

Изменено пользователем OlegGS
Ссылка на комментарий
Поделиться на другие сайты

"Вопросы, вопросы требуют ответов" (с) - Гендэльф Серый

 

если не против давайте все перепроверим ... я правильно понимаю что вы используете KSC в качестве WSUS

1. Настройки агента

Спойлер

718901318_.thumb.png.2866210eb6a47f71209ce25c74865bba.png

2. Наличие (и выполнение) задачи получения метаданных с серверов MS ... с настройкам для каких продуктов вы их собираете ... осторожно метаданные хранятся в ваше БД ...и ее размер сильно вырастит если включать все подряд ... при использовании SQL Express вообще не рекомендуется использовать такой вариант. - https://support.kaspersky.com/KSC/14.2/ru-RU/92403_1.htm

Спойлер

1308383332_.thumb.png.d397399b62a7de07b84a5b0537a926fe.png1430421227_.thumb.png.469bea733bd6d201d46f749d0642b934.png1246688029_.thumb.png.cfea9dc89d8548a5dce78222a361ccd1.png

3. Наличие (и выполнение) задачи "Поиска уязвимостей и требуемых обновлений"

Спойлер

987282554_.thumb.png.7ac2fc59c113490cabffe71a973515ef.png

4. Настройка правил в задаче "закрытия уязвимостей"

Спойлер

172327527_.thumb.png.937279b455401eb009b26b45b00a5615.png327950802_.thumb.png.9ab2b775accdf3d11cfb36f9ebd86acc.png887861562_.thumb.png.2b8097216b86c7b4b3495cd93ed9c50f.png

 

 

проверить что все задачи запускаются по расписанию ...

Ссылка на комментарий
Поделиться на другие сайты

KSC в качестве WSUS

Настройки агента

Здесь описано "Пользователи не могут устанавливать обновления Центра обновления Windows на своих устройства вручную. Все применимые обновления устанавливаются в соответствии с настройкой, заданной администратором."

Необходимо исключить ручное вмешательство пользователей в процесс установки обновлений.

Для это го и есть задача "Установка требуемых обновлений и закрытие уязвимостей"

 

Все остальные настройки аналогичные...

 

Но при запуске задачи "Установка требуемых обновлений и закрытие уязвимостей" - все устройства "Ожидает выполнения".

 

Спойлер

1659419242_.thumb.JPG.c32083f99a02bc7635916a014e515617.JPG

 

Ссылка на комментарий
Поделиться на другие сайты

  • 1 год спустя...
10.08.2023 в 11:14, OlegGS сказал:

KSC в качестве WSUS

Настройки агента

Здесь описано "Пользователи не могут устанавливать обновления Центра обновления Windows на своих устройства вручную. Все применимые обновления устанавливаются в соответствии с настройкой, заданной администратором."

Необходимо исключить ручное вмешательство пользователей в процесс установки обновлений.

Для это го и есть задача "Установка требуемых обновлений и закрытие уязвимостей"

 

Все остальные настройки аналогичные...

 

Но при запуске задачи "Установка требуемых обновлений и закрытие уязвимостей" - все устройства "Ожидает выполнения".

 

  Показать контент

1659419242_.thumb.JPG.c32083f99a02bc7635916a014e515617.JPG

 

Доброго времени суток! KSC настроен точно так же, возникла такая же проблема. Подскажите, пожалуйста, как удалось решить?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • vit451
      Автор vit451
      Добрый день.
      KSC 15.1
       
      Как то не могу понять логику как быстро обновлять ПО , ранее установленное средствами KSC.
       
      Например, ставлю клиента Битрикс.
      Для установки делаю задачу, в параметрах задачи выбираю устройства из списка управляемых. Стартую, все ок, программа установилась. 
       
      Позже выходит новая версия, надо обновится. 
      По идее у меня уже есть задача с списком машин для установки, надо просто внутри задачи заменить пакет для установки. Но в настройках задачи это сделать невозможно. 
       
      Есть группы, на которые можно повесить установку ПО. Но устройство может состоять только в одной группе, нельзя по аналогии с GPO добавить устройство в множество групп, на которые в свою очередь повесить установку ПО. 
       
      Сейчас я для обновления ПО экспортирую список устройств в файл, далее делаю новую задачу, выбираю инсталляционный пакет для установки,а устройства импортирую из файла. 
      Но должен быть явно более простой путь. 
       
    • linnur
      Автор linnur
      Здравствуйте имеется KES 11 версии, необходимо обновить на версии 12 на ос виндовс. Проблема заключается в том, что большое чисто компьютеров локальные (без сети) и обновление получают через флешку (через утилиту KUU). Подскажите, возможно ли обновление версии без ручного обхода всех ПК, а автоматически с правами пользователя?
    • KL FC Bot
      Автор KL FC Bot
      Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:
      CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи; CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта; CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный. Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.
      На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.
       
      View the full article
    • Виталий Чебыкин
      Автор Виталий Чебыкин
      Добрый день!
      Может вопрос уже решался ранее но ответа на него я не нашел. В домене есть множество клиентов KES при обновлении который с версии 12.3 - 12.8. На множестве клиентах вышла ошибка при обновлении следующая: Kaspersky Endpoint Security для Windows (12.8.0) (12.8.0.505): Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка. (Установка Kaspersky Endpoint Security для Windows не может быть выполнена, так как на компьютере установлено стороннее приложение: Eset Endpoint Antivirus 5.0.2214.7. Чтобы выполнить установку Kaspersky Endpoint Security для Windows, необходимо удалить стороннее приложение стандартными средствами Microsoft Windows или иными способами.)
      Подскажите почему сам инсталятор не удаляет Eset Endpoint Antivirus сам если при создании задачи в KSC я выбрал удалить все не совместимые продукты? Данные УЗ при инсталляции есть домена и локального админа. При этом если устанавливаешь вручную он дает поставить. Да и до этого стояла версия другая 12.3. Можно как то выяснить что конкретно KES проверяет при установке?
    • KL FC Bot
      Автор KL FC Bot
      В мартовском вторничном патче компания Microsoft закрыла целых шесть уязвимостей, которые активно эксплуатируются злоумышленниками. Четыре из этих уязвимостей связаны с файловыми системами, причем три из них имеют одинаковый триггер, что может указывать на их использование в одной атаке. Детали их эксплуатации пока (к счастью) неизвестны, однако свежее обновление крайне рекомендуется к немедленной установке.
      Уязвимости в файловых системах
      Две из уязвимостей в системе NTFS позволяют злоумышленникам получить доступ к частям кучи (heap), то есть к динамически распределяемой памяти приложений. Что интересно, первая из них, CVE-2025-24984 (4,6 по шкале CVSS) подразумевает физический доступ злоумышленника к атакуемому компьютеру (он должен вставить в USB-порт подготовленный вредоносный накопитель). Для эксплуатации второй уязвимости типа Information Disclosure Vulnerability, CVE-2025-24991 (CVSS 5,5), злоумышленникам необходимо каким-то образом заставить локального пользователя подключить вредоносный виртуальный жесткий диск (VHD).
      Точно также активизируются и две другие уязвимости, связанные с файловыми системами CVE-2025-24985, в драйвере файловой системы Fast FAT и CVE-2025-24993 в NTFS. Вот только их эксплуатация приводит к удаленному запуску произвольного кода на атакуемой машине (RCE). У обеих уязвимостей CVSS рейтинг составляет 7,8.
       
      View the full article
×
×
  • Создать...