Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)
Идём на летний корпоратив «Лаборатории Касперского»! Кто с нами? :)

Некорректный статус управляемых устройств

upolovnikov

Автор upolovnikov
в Помощь по корпоративным продуктам

 Поделиться

Рекомендуемые сообщения

upolovnikov

upolovnikov

Опубликовано
Опубликовано

Предлагаю обсудить проблему, с которой столкнулся с самого начала знакомства с продуктом, и она преследует меня до сих пор.

Проблема плавно переходит из версии в версию. Продукты, на которых наблюдается проблема: KES для Windows 11.7-12.3, Агент администрирования 12.2-14.2, KSC 12.2-14.2.

Неоднократные обращения в службу технической поддержки на протяжении последних трёх лет, не увенчались успехом.

 

Невозможность адекватно контролировать состояние защиты управляемых устройств.

 

Проблема 1.

Статус присваивается слишком рано.

 

При включении компьютера, после загрузки операционной системы, на сервере KSC появляется событие вида:

Статус устройства 'ИМЯ_УСТРОЙСТВА' изменился на 'Критический': Защита выключена.

В свойствах группы, в разделе Статус устройства, для условия Защита выключена стоит значение 20 минут.

 

Но по неизвестным мне и службе технической поддержки Лаборатории Касперского причинам, Критический статус устройству присваивается до истечения заданного значения. В среднем, на 8 минуту после системного события о времени загрузки системы.

 

Полностью игнорировать данное событие нельзя, как и присваивать больший таймаут. В идеале – не более 12 минут. Но события всё равно генерируются и их необходимо обрабатывать. 

События являются ложными, так как при проверке статус у устройства ОК, Защита включена.

 

Вопрос: 

Сталкивались ли вы с данной проблемой, если да, то как боролись?

upolovnikov

upolovnikov

Опубликовано
  • Автор
Опубликовано (изменено)

Проблема 2
Статус присваивается слишком рано.

 

При включении компьютера, после загрузки операционной системы, устройство отправляет на сервер KSC событие со статусом Критический вида: Серверы KSN недоступны.
По моим наблюдениям, происходит это на 8-10 секунду с момента появления системного события об успешном запуске операционной системы.
Ровно через минуту устройство отправляет на сервер KSC событие вида: Серверы KSN доступны.

 

Критический статус присваивается даже в том случае, если в политике под которой находится управляемое устройство, в разделе Kaspersky Security Network, для параметра Статус компьютера при недоступности серверов KSN
установлено значение ОК.


Сталкивались ли вы с данным поведением программы, если да, то как боролись с ложным срабатыванием, которое в полной мере не позволяет настроить оперативное и корректное реагирование события информационной безопасности в продукте KES для Windows Лаборатории Касперского.

Изменено пользователем upolovnikov
  • 3 недели спустя...
B2B Support

B2B Support

Опубликовано
Опубликовано
29.11.2023 в 11:37, upolovnikov сказал:

Предлагаю обсудить проблему, с которой столкнулся с самого начала знакомства с продуктом, и она преследует меня до сих пор.

Проблема плавно переходит из версии в версию. Продукты, на которых наблюдается проблема: KES для Windows 11.7-12.3, Агент администрирования 12.2-14.2, KSC 12.2-14.2.

Неоднократные обращения в службу технической поддержки на протяжении последних трёх лет, не увенчались успехом.

 

Невозможность адекватно контролировать состояние защиты управляемых устройств.

 

Проблема 1.

Статус присваивается слишком рано.

 

При включении компьютера, после загрузки операционной системы, на сервере KSC появляется событие вида:

Статус устройства 'ИМЯ_УСТРОЙСТВА' изменился на 'Критический': Защита выключена.

В свойствах группы, в разделе Статус устройства, для условия Защита выключена стоит значение 20 минут.

 

Но по неизвестным мне и службе технической поддержки Лаборатории Касперского причинам, Критический статус устройству присваивается до истечения заданного значения. В среднем, на 8 минуту после системного события о времени загрузки системы.

 

Полностью игнорировать данное событие нельзя, как и присваивать больший таймаут. В идеале – не более 12 минут. Но события всё равно генерируются и их необходимо обрабатывать. 

События являются ложными, так как при проверке статус у устройства ОК, Защита включена.

 

Вопрос: 

Сталкивались ли вы с данной проблемой, если да, то как боролись?

Добрый день, Максим. Судя по контексту, Вы спрашиваете о запросах INC000014939632 и INC000015937039. В первом случае, запрос был закрыт так как, мы не получили ответа с Вашей стороны. Во втором случае, запрос был создан в конце ноября 2023 года, инженер технической поддержки рекомендовал установить Агент администрирования на проблемном устройстве. Мы не получили запрошенные в обращении данные (в приложенных данных видно, что агент администрирования не установлен на проблемном устройстве). Просим выполнить последнюю рекомендацию инженера, чтобы продолжить работу в обращении INC000015937039.

Вы упомянули о «многократных обращениях на протяжении последних трёх лет» - пожалуйста, напишите, о каких конкретно обращениях идёт речь, мы обязательно разберёмся.

 

С технической стороны вопроса, дело, скорее всего, в следующем: 

 

У Вас был хост с установленным агентом. Затем была произведена переустановка операционной системы без штатного удаления Агента. Соответственно на KSC не была отправлена команда "меня удалили". Поэтому на KSC объект хоста отображается как существующий, хотя по факту его нет.  По этой же причине не получается удалённая установка – по данным KSC агент уже есть и установка не требуется.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • SergeyOW
      Настройка аутентификации Postgres на KSCL 16.2
      Автор SergeyOW
      День добрый.
      Обращаюсь к тем у кого KSCL 16 и выше.
      Помогите настроить аутентификацию с postgres. Пытаюсь выполнить как описано на  https://support.kaspersky.ru/ksc-linux/16.2/257050.
      В процессе развертывания  на Postgres были созданы 2 базы: kscdb и ksciam. Владельцем kscdb назначил kavdb, а ksciam - kaviam.
      Что я не делал, но при выводе логов postgres появляется ошибка: 
      FATAL:  no pg_hba.conf entry for host "127.0.0.1", user "kaviam", database "ksciam", no encryption
      Может кто сталкивался?
    • Вячеслав313
      Wake on LAN
      Автор Вячеслав313
      Добрый день!
      В организации находится более 900 рабочих станций. Некоторые из них не успевают осуществлять поиск вредоносного ПО по неизвестной мне причине. Подразумеваю что причина в огромном количестве машин, подключенных к одному серверу администрирования. Рассматриваю возможность использования функции Wake on LAN чтобы необходимая мне задача работала до начала или после окончания рабочего дня.
      В диспетчере устройств включил соответствующую настройку сетевой карты. В BIOS также указал параметр Wake on LAN активным.
       
      Через другой компьютер отправил на тестовую рабочую станцию задачу по поиску вредоносного ПО, однако задача не запускается. В результатах выполнения задачи рабочая станция имеет статус "Изменено". 
       
      Подскажите пожалуйста решение данного вопроса
    • safety
      Ложное срабатывание KES на модули Universal Virus Sniffer
      Автор safety
      Добрый день.
       
      После очередного обновления антивирусных баз KES стал детектировать модули Univesal Virus Sniffer как трояны и агенты.
      Реагирование устойчивое, происходит на модули актуальной версии 5.05
       

    • Артём Муняев
      Можно ли удалённо (с помощью KSC 16.0) поставить KESL 12.2.0.1224 на АРМ с Astra Linux 1.8 SE под учётной записью администратора так, чтобы пользователь на этом АРМ даже с правами root не смог удалить KESL у него на АРМ?
      Автор Артём Муняев
      Можно ли удалённо (с помощью KSC 16.0) поставить KESL 12.2.0.1224 на АРМ с Astra Linux 1.8 SE под учётной записью администратора так, чтобы пользователь на этом АРМ даже с правами root не смог удалить KESL у него на АРМ?
    • Tungus
      Как настроить Wake-on-LAN на ПК компании для работы с KSC?
      Автор Tungus
      Приветствую!
      В компании остро стоит проблема с обновлениями систем, баз данных Касперского и пр.
      Из-за веры в то, что "кампутер СГОРИТ если его оставлять включенным постоянно", большинство работников каждый день выключают ПК. Из-за этого, зачастую бОльшая часть ПК не обновляется, т.к. обновлять во время рабочего дня неудобно - некоторые обновления Windows, к примеру, требуют обязательной перезагрузки.

      Поэтому я решил настроить Wake-on-LAN функцию. Соответственно возникает вопрос, ежели KSC у меня стоит на виртуалке, что находится на сервере (они вдвоем находятся в домене и видят остальные ПК), нужно ли мне что-то делать в настройках Сети/KSC чтобы у них заработал Wake-on-LAN?

      Также немножко оффтопик вопрос к тем, кто уже успешно настроил у себя Wake-on-LAN. Были ли у вас проблемы, что после включения этой функции в BIOS и настройки в Диспетчере устройств сетевой карты, при выключении ПК, он у вас через 3-5 секунд запускается сам? Причем, в моем случае, это происходит даже когда запрос на Wake-on-LAN не был отправлен с KSC или каким-либо другим образом.

      Буду благодарен помощи от гуру мастеров Касперского 😄
×
×
  • Создать...