Перейти к содержанию

Предотвращение вторжений и сетевой экран


Рекомендуемые сообщения

Белкин Сергей

Доброго дня всем. Попробовал своими силами, не удалось. До запроса в ТП решил тут спросить, у более опытных и знающих продукт. Система KSC 14.2.0.26967 установлена на Windows Server 2012R2 (ВМ), на клиентах KES 12.4.0.467. Управление системой ведётся из MMC консоли с админской машины. Kaspersky для нас система новая, вынужденно пересели с Eset Endpoint.

В фокусе настройка связанных модулей "Предотвращение вторжений" и "Сетевой экран". Первоначальная сортировка приложений отработала, и нужные сотрудникам программы попали в группу "Слабые ограничения", в связи с чем остановились службы и вообще работа у людей встала. Для нас это не было сюрпризом и люди были предупреждены, что мы сначала соберём данные, а потом централизованно настроим список доверенных приложений в указанных модулях. KSN отключена, не используем и не собираемся. Согласно документации от 13 февраля 2024 г. (https://support.kaspersky.com/KESWin/12.4/ru-RU/123280.htm), я иду настраивать политику нужной мне группы. Политика не дефолтная, наследование отключено. Выбираю модуль "Предотвращение вторжений" в блоке Продвинутая защита, жму настройка, добавить. Ввожу маску * и жму обновить. Приложения не появляются. Меняю маску на ? - тоже самое. В поле производитель пробую вводить и маски, и вендоров - ничего не меняется. Тоже самое в модуле сетевой экран. Т.е. централизованно сортировать нечего.

Снимаю в политике замки и иду в настройки модулей в интерфейсе самого KES, а там всё видно. Можно перетаскивать приложения из одной группы в другую и настраивать сетевую активность. Хотел посмотреть как дела в web-консоли, но даже до настройки не добрался, т.к. вебка сообщает об отсутствии поддержки для указанной версии. Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен. Может я что-то ещё упустил в этом адском комбайне? Например, один момент остался непонятым где это и как. На приложенном скриншоте момент обозначил синим цветом. Пока временно оба модуля пришлось отключить, сотрудники работу возобновили. Но это же не решение проблемы.

2024-04-04_11-18-01.png

Ссылка на сообщение
Поделиться на другие сайты

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Так же эти сведения можно собрать задачей "Инвентаризация", но это отдельный случай и не стоит это делать на всем парке устройств, "Контроль приложений" рано или поздно соберет все сведения обо всех приложениях которые запускаются в вашей сети.

 

 

4 часа назад, Белкин Сергей сказал:

Галка в отчётах "отправлять на сервер данные о запускаемых приложениях" стоит, реестр программ заполнен.

Все верно, сведения из реестра соберет Агент администрирования, соответственно из реестра программ на ПК ... однако он не соберет сведения об исполняемых файлах (для этих программ) ... которые вам нужны

 

4 часа назад, Белкин Сергей сказал:

KSN отключена, не используем и не собираемся

Предотвращение вторжений очень плотно работает с KSN, в частности получения сведений о репутации приложений

так же KSN сильно облегчает жизнь и другим компонентам (Веб-контроль, Веб-защита, защита почты итд) за счет сведений о "грязных" и "чистых" файлах или сайтах ... например

по этому я бы рекомендовал еще раз изучить этот вопрос и взвесить все за и против.

Изменено пользователем ElvinE5
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Белкин Сергей
41 минуту назад, ElvinE5 сказал:

За сбор сведенный о "запускаемых приложениях" на клиентском ПК отвечает компонент "Контроль приложений" (предотвращение вторжения тоже, но в меньшей степени) ... в политике этот компонент по умолчанию отключен (замочек не закрыт и галочка не стоит)

проверьте у себя ... включите данный компонент и подождите некоторое время (даже если пока не планируете создавать правила контроля), он соберет нужные сведения со всех устройств в сети, после чего их будет видно в этом списке и в списках исполняемых файлов.

 

Спасибо большое за ответ. Включил контроль в тестовой политике, закрыл замок, буду ждать выхлоп. И потом здесь отпишусь.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Timur644
      От Timur644
      Доброго дня всем.
      Антивирус KES последний раз активировал 3 года назад, сейчас забыл как происходит активация.
      Нынешней работе стоит KES 12.6, Kaspersky Security for Linux Mail Server 8.0.3.30. для нескольких доменов. (про него прочитал что тоже через Сервер активируется)
      Лицензия истекает 13.10.2024, ключ уже есть.
      Подскажите пожалуйста как быть с активацией, ближе к дате надо запустить задачу или в тот день?
    • user123
      От user123
      Добрый день! Прошу знающих людей подсказать по следующей проблеме. На данный момент установлен KSC14, SVM установлен на 6-ти нодах Hyper-V, часть серверов работают в легким агентом 5.2.  В рамках перехода на Linux, пытаюсь добавить в имеющуюся инфраструктуру SVM на кластере Proxmox VE состоящем из 3-х нод. В оснастке управления SVM отображаются существующие ноды на Hyper-V, при попытке добавить ноду на проксмоксе, выдает ошибку "Configuration with '3' nodes is not supported". Ни в какой документации я не нашел ограничения на количество нод. Собственно, вопрос. Конфигурации с каким количеством нод поддерживаются, или возможно, вопрос не в количестве нод, а я что-то делаю неправильно. Заранее благодарю за помощь
    • zimok
      От zimok
      Добрый день!
      Прошу подсказать, возможно у кого были подобные проблемы, но суть такая, имеется Kaspersky Security Center версии 14.2.0.26967, работающий под ОС Windows Server 2019, имеются управляемые устройства под ОС Linux (Ubuntu), на которые установлены и агенты администрирования и сами компоненты защиты Kaspersky endpoint security 12 for linux, версии 12.0.0.6672, агенты администрирования версии 15.0.0.12912. Агенты администрирования доступны и синхронизируются с KSC, подключение происходит, но вот сама суть проблемы в том, что на устройствах при выключенных компонентах защиты, допустим через тот же KSC, не получается запустить их обратно, то есть в разделе устройства "Программы" при попытке запустить компонент защиты, KSC очень долго думает, останавливая процесс в одном положении (скрин ниже) и после продолжительного времени, он сообщает о ошибке запуска, хотя повторюсь, остановить защиту удалось на этом же хосте ,но вот запустить нет, и агент администрирования также работает и синхронизируется. 
      Проблема в целом не на одном хосте, она массовая, в целом устройства не удается таким образом удаленно запустить компоненты защиты, может кто сталкивался и понимает хотя бы в каком направлении изучать проблему ? 
      Возможно KSC сам какие-либо патчи нужны или еще что, с точки зрения сети устройства в одной подсети, и в tcpdump трафика вижу общение по 13000 порту успешно.

      Прикладываю скриншот проблемы, когда нажимаю запуск и в каком положение останавливается. К слову пробовал через задачи и запускал "Запуск и остановка программы" результат по сути тот же, только там она просто висит в процессе и всё.


    • PoZv
      От PoZv
      Добрый день, выпускаем ЭП на сайте казначейства (https://fzs.roskazna.ru), но при создании контейнера и обращению Казначейства к Vipnet Web Unit происходит ошибка. Vipnet PKI Client 1.6, Win 7, KES 12.4. Если выключить KES, то все работает штатно, добавлял в доверенные сайты адрес казначейство, но не помогло, что можно сделать?

    • Timur644
      От Timur644
      Добрый день.
      Последнее время антивирус Касперского - Kaspersky Endpoint Secutiry 12.1.0.506 (Windows 10 64bit Enterprice 22H2)
      стал блокировать программу, именно самой программе при звонках не слышно абсолютно ничего. Антивирус блокирует микрофон и динамики наушников (USB, Mini-jack 3.55mm)
       Тот раз открыл топик,  по всем шагам прошел не помог ничего.
      Прошу вас, помочь проблема серьезная, сейчас у часть пользователей антивирус выключенным стоит уже 7 дней около. 
      Support очень долго и неясно общим ответом отвечает.
      Скриншот из моего компьютера:
       
       

×
×
  • Создать...