KEDR: RDP- черный экран, загрузка CPU до 100%, не работает меню пуск и поиск, не открываются файлы из outlook, задвоение KES

[Дед]

Добрый день, коллеги.

Написал обращение в СТП Касперского, пока все зависло на анализе. По серверам ребята скинули патч но он не везде ставится.

 

Сервера:

на серверах стоит KEDR 3.14\3.15 - на каких-то работает нормально, на каких-то CPU грузит до 100%.

Коллеги из СТП Касперского дали фикс который включает т.н., серверный профиль. Увы он не везде работает. В процессе изменения настроек в реестре пишет что нет доступа.

При этом не совсем понятно, работает ли фикс с вкл. серверного профиля или нет, так как KEDR не всегда сразу грузит CPU на с100%, ему надо поработать пару недель.

 

На АРМ пользователей:

1) столкнулись с массовой проблемой что после обновления с 12.1. до 12.2 на некоторых АРМ установлено по 2 KES. В KSC показывает что установлен один KES 12.2. но если открыть ресстер программ, то показывает что стоит обе версии.

При этом реально работает только 12.1 если открыть KES на рабочем столе.

При этом ещё стоит KEDR и удалить KES 12.1 и 12.2 штатными средствами не представляется возможным. KEDR удалить можно. Сделал вывод что перед обновлением надо удалять старую версию KES. Поверх ставить нельзя. Но компьютеров с двумя KES которые удалить нельзя вышло довольно много и каждый переустанавливать это целая проблема, так как есть ещё филиалы.

2) После того как перешли на 12.2 версию, стали массово внедрять компоненту KEDR для интеграции с KATA. Так как продукты KES 12 серии и KEDR оказались несовместимы.

Массово на АРМ не работает пуск, поиск, не работает поиск и в Outlook, не открываются файлы из Outlook, не открываются файлы по сети, при попытке с такого узла зайти на терминалку по RDP, сверху висит синяя плашка куда подключился и просто показывает черный экран.

СТП касперского предложило установить патч "pf14017", не помогло, затем предложили отключить перехват консольного ввода, я честно говоря не нашёл такой опции ни в KEDR ни в KES.

 

В событиях и логах ничего криминального на нашёл. Со стороны кажется что всё работает.

 

Подскажите кто-нибудь сталкивался с таким набором проблем в работе KEDR и как это лечили?

 

Буду весьма признателен за помощь.

[Дед]

Дополню. В настройках KES 12.2, если установлена и настроена компонента EDR (KATA)

Выключить телеметрию, можно следующим образом.

Категория Endpoint Detection and Response (KATA) - выключить галочку, отправлять телеметрию в KATA.

Увы после этого телеметрия прекратит сбор. Компонента EDR нужна для сбора телеметрии.

Но как ещё одно временное решение, вместо отключения компоненты вполне годится.

[ElvinE5]

День добрый

 

Подскажите какую версию KEDR используете 4.0, 4.1 5.0, 5.1 ?

 

По серверам

Какая ОС используется у вас ? версия клиента KSWS ?

в моей конфигурации KSWS 11.0.1 и EA 3.15 я проблем не наблюдал с нагрузкой на CPU - в этом вопросе вам наверно лучше все же с СТП постараться выяснить причину.

 

АРМ

02.10.2023 в 15:31, Дед сказал:

массовой проблемой что после обновления с 12.1. до 12.2 на некоторых АРМ установлено по 2 KES

данная проблема встречалась, чаще всего простая перезагрузка завершала процесс установки и удаляла старые версии.

однако, бывало что и ломали систему примерно с вашим описанием проблем. Полное удаление клиента, перезагрузка и повторная установка обычно решали проблему.

я всегда обновляю версии поверх и больших проблем встречаю не часто, однако решил что вот эта функция ИНОГДА может вызывать заводнение продуктов, поэтому я ее отключаю и в задаче установки новой версии всегда прошу пользователя перезагрузить устройство срезу после установки.

Спойлер

 

 

02.10.2023 в 15:31, Дед сказал:

Массово на АРМ не работает пуск, поиск, не работает поиск и в Outlook, не открываются файлы из Outlook, не открываются файлы по сети, при попытке с такого узла зайти на терминалку

похоже на проблему в работе сетевого экрана, тоже редко, но поподалось ... простое удаление, перезагрузка, повторная установка решают проблему.

 

с Outlook есть один пункт в политике которые стоит отключить если у вас офис х64, так как он там не поддерживается и может вызывать проблемы в работе клиента, долго открывать письма копировать файлы и тд.

Спойлер

в свойствах Outlook тоже лучше отключить (если уже применялось)

Спойлер

  

 

02.10.2023 в 15:31, Дед сказал:

Так как продукты KES 12 серии и KEDR оказались несовместимы.

Начиная с версии 12.1 компонент интеграции встроен в самого клиента (опять) и в использование EA 3.15 (например) для работы с EDR больше нет необходимости.

К тому же EA при установки KES 12.1-2 стал "несовместимым ПО" и удаляется штатной процедурой

 

для интеграции с KATA/KEDR

1. установите на все устройства 12.2 с включенным, в инсталяционном пакете, компонентом KATA, если продукт уже стоит добавьте компонент задачей "изменения состава компонентов" - https://support.kaspersky.com/KESWin/12.2/ru-RU/181472.htm

Спойлер

 

2. В политике для 12.2 в разделе EDR настройте подключение к серверу KATA/KEDR, указать сертификат сервера, и адрес подключения

Спойлер

 

3. Так же проверьте что бы ваши клиенты с 12.2 подхватили ключ для EDR, сделайте его авто распределяемым в хранилище сервера. На клиенте будет примерно такая картина (если у вас разные ключи для KES и EDR)

Спойлер

 

 

 

все должно работать ....

Изменено 4 октября, 2023 пользователем ElvinE5

[Дед]

Добрый день, спасибо за столь развернутый ответ.

 

2 часа назад, ElvinE5 сказал:

простое удаление, перезагрузка, повторная установка решают проблему

 

Увы нет, после каждой перезагрузки компонента в KES ведёт себя совсем по разному. Вчера проверяли, в первый раз при обращение на проблемном хосте было: черный экран в RDP, не работал, пуск, календарь, заблокированы сетевые файлы, outlook не работал поиск и не открывались файлы. Если отключить компоненту, работало все сразу. Если включить компоненту не перезагружая компьютер, тоже все в порядке, но через час, другой снова что-то не работало. Если перезагрузится сразу после включения, компонента может заблокировать все выше сказанное, а может что-то одно, а через два часа добавится что-то ещё. Если включать\отключать телеметрию EDR в политике, то срабатывает только через перезагрузку.

 

2 часа назад, ElvinE5 сказал:

с Outlook есть один пункт в политике

 

Увы для нас это не применимо, я бы и рад отключить.

 

 

KEDR находится вне моей зоны ответственности. За версию не скажу, но спрошу, может быть скажут.

KEA  3.15, KSWS 11.0.1.

 

2 часа назад, ElvinE5 сказал:

перезагрузить устройство срезу после установки.

За совет спасибо. В следующий раз обязательно попробую.

 

В некоторых случаях не помогает, KEA и KES не удаляется, KES показывает что установлено целых две штуки. 12.1 версия и 12.2 при этом ни первую он в панели управления KSC не видит, только агент и KEA, Но в реестре они есть.

KAVremover не видит KES, в некоторых случаях видит KEA но удалить не может, выдаёт ошибку "Включена защита паролем" - в политике защита паролем выключена.

При попытке удалить KES пишет что данное действие возможно только для удаленных продуктов.

 

Компоненты и лицензии работают. На большинстве АРМ штатно. Что с проблемными не так - непонятно.

 

по загрузке KEA на серверах, сегодня выслали фикс, надо будет проверить его работу.