Перейти к содержанию

Распространение сертификатов средствами KSC


Рекомендуемые сообщения

Здравствуйте, подскажите, можно ли средствами KSC 13.2, распространить промежуточный сертификат на парк машин? Или может быть, есть какой-то другой способ, знаю, что можно через групповые политики — это сделать, но там только корневой, промежуточный нельзя. 

 

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

  

image.png

Ссылка на сообщение
Поделиться на другие сайты

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, sahana сказал:

Пробовал создать инсталляционный пакет bat файла, и задачу удаленной установки программы, результат выполнения говорит, что успешно. Но сертификат не устанавливается. Где-то вычитал, что это связанно с тем, что запуск происходит от учетной записи local system, а нужно от админской учетки. Хотя указывал в свойствах задачи что выполнять задачу следует от учетной записи администратора. 

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

Ссылка на сообщение
Поделиться на другие сайты
22 часа назад, oit сказал:

А какой сертификат хотите распространить?

 

Не понимаю какое, это имеет значение?

 

22 часа назад, mike 1 сказал:

Хм, я думал сертификат сервера хотят на KSC поставить не самоподписанный, а тут какой-то велосипед получается. 

 

Все верно, это сторонний сертификат, который выдается нашей головной организацией. И почему велосипед? Знаете, у нас все люди важные, занятые, чтобы даже на 5 минут попросить время поработать на компьютере, нужно чуть ли не за неделю согласовывать все. Я конечно немного преувеличиваю, но примерно, так оно и есть. И совсем не хочется более чем на 100 компьютерах это делать вручную. 

 

13 часов назад, Aragon сказал:

Вы бы для начала показали содержимое bat-файла.  Там есть свои особенности..

Запуск этого файла всегда происходит под local system, что бы вы там не указывали.

 

Обчный батничек, у себя на компьютере запускаю от имени администратора и все отрабатывает. 
Вот он: certutil -addstore CA \\путь\название.crt

Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, sahana сказал:

Вот он: certutil -addstore CA \\путь\название.crt

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

Ссылка на сообщение
Поделиться на другие сайты
20 часов назад, Aragon сказал:

Вот в этом проблема. 

Нужно:

1. Сертификат класть не на сетевой ресурс, в внутрь инсталляционного пакета. Из bat-файла доступа к сети нет.

2. Нужно написать путь к certutil

тогда содержимое bat будет как-то так

C:\Windows\System32\certutil.exe  CA название.crt

 

Ваш вариант не заработал, но через пробы и ошибки все таки удалось

Но пришлось скопировать сам сертификат на каждый компьютер, и только после этого все получилось. И в самой задачи указал учетку администратора. И задача распространялась с помощью Агента администрирования. 

Вот пример bat файла:

 

MD c:\temp
copy название.crt c:\temp\
C:\Windows\System32\certutil -addstore CA c:\temp\название.crt

 

Тему можно закрывать, всем спасибо за участие!!! 

 

 

Изменено пользователем sahana
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Deniska_36
      От Deniska_36
      Всем привет, помогите пожалуйста
      Стоял сначала Kaspersky Security Center 10, не подключался к серверу администрирования, перезапускал и с службы и сервер, не помагло, решили сначала обновить до 13, тоже не помогло
      Удалил 10й полностью, начал ставить 13й и на установку выдает вот такую ошибку:


      Куда копать? Подскажите пожалуйста
    • C-S
      От C-S
      Здравствуйте.
      Сервер под управлением Kaspersky Security Center 13.0.0.11247
      Версия Kaspersky Endpoint Security для Windows 11.6.0.394
      Агент администрирования 13.0.0.11247
      Обнаружил в критических событиях сервера большое количество событий вида:
      Обнаружена сетевая атака
      Пользователь: %PCNAME%\Администратор (Активный пользователь) (либо NT AUTHORITY\СИСТЕМА (Системный пользователь))
      Компонент: Защита от сетевых угроз
      Описание результата: Запрещено
      Название: Mac Spoofing Attack: unexpected ARP response
      Объект: ARP от неожиданного источника
      Тип объекта: Сетевой пакет
      Название объекта: ARP от неожиданного источника
      Дополнительно:  
      Подозрительный: 19.10.2021 18:08:05: %MAC-адрес% -> %один из локальных IP-адресов%
      Дата выпуска баз: 19.10.2021 12:14:00
      События отображаются на разных узлах сети - и рабочих станциях и серверах. Запросы могут блокироваться как с таких же рабочих станций под управлением антивируса, либо с других устройств - сетевых принтеров, роутеров, МФУ, мобильных устройств. Несоответствия MAC-адресов между теми, что в логах и реальными на устройствах не выявил. Повторяющихся MAC-адресов в списке по команде arp -a не нашел.
      Бывают так же события с отклоненными запросами от внешних IP-адресов www.arin.net с "битыми" MAC-адресами. Например:
      Подозрительный: 19.10.2021 18:07:41: 2-50-73-3f-95-6a -> 26.25.162.243 (в первом поле один символ отсутствует). Есть так же адреса 26.194.245.41, 26.206.118.185
       
      Событие появилось примерно 20 сентября, где-то в это же время массово появились события "Серверы KSN недоступны".
      На всякий случай посмотрел в события в других офисах - там похожая ситуация, много сообщений "Серверы KSN недоступны", есть сообщения про ARP spoofing. Точно так же поддельных MAC`ов не выявил и так же есть ссылки на адреса от www.arin.net. Офисы между собой никак не связаны.
      Выполнил обновление в на площадке, где изначально обнаружил проблему до KSC 13.2, начал на хостах обновлять агент до 13.2.0.1511,
       
      Далее мне удалось выяснить, что сообщения о MAC Spoofing атаках появляются от беспроводных клиентов- мобильных устройств и ноутбуков, подключенных по WiFi, на которых так же установлен антивирус. Несоответствия в MAC-адресах не нашел. Т.е. те запросы, которые блокирует антивирус происходят от реальных MAC-адресов. Иногда появляются записи с “неполным” MAC, как уже писал выше, когда один из символов в одном из полей отсутствует, но при этом значения в остальных полях сходятся.
      Есть так же второй тип сообщений о MAC Spoofing при обращении к внешним IP-адресам, которые оказались адресами сервиса Radmin-VPN, который соответственно стоит на компьютерах, где появляются эти сообщения.
      Очевидно, события об атаках появляются, когда пакеты доходят не полностью, что возможно при подключении по беспроводной сети, а так же подключении по RadminVPN.
       
      Как дальше быть? Отключать совсем обнаружение MAC-спуфинг не хочется, а если включить только уведомления, то есть риск что не будет заблокирована реальная атака.
      И почему это началось 19-20 сентября, а до этой даты этих сообщений не было?
      Так же очень настораживает наличие запросов от мобильных устройств к рабочим станциям и серверу управления, но это скорее к вопросу организации гостевого WiFi, который давно уже стоит на повестке.
×
×
  • Создать...