Kaspersky

Релиз Kaspersky Security Center 13.1

  • 11 August 2021
  • 30 replies
  • 1721 views

Userlevel 7
Badge +7

🔔 У нас состоялся релиз Kaspersky Security Center 13.1 (версия 13.1.0.8324).

🔧 В этой версии мы:
– Улучшили интеграцию с SIEM-системами: теперь вы можете экспортировать события в SIEM-системы по зашифрованному каналу.
– Уменьшили время отклика Kaspersky Security Center 13.1 Web Console.
– Добавили возможность получать исправления для Сервера администрирования в виде дистрибутива.

❓ Вы можете найти подробную информацию в базе знаний и справке.

 

Наблюдения от комьюнити: 

  • Проблемы с кодировкой в сообщениях при установке агента. Решение обходное: см словарик./@Demiad Решение полное: заменить KUD файл в пакете./ @Roman Andreev 
  • Проблема с отправкой событий через Exchange. Ошибка #1893 Ошибка cURL: 'Requested SSL level failed'. Решение: опубликовано в сообщении @Demiad /@Roman Andreev 

 

< Предыдущая версия || Навигатор  || Следующая версия > 


30 replies

Userlevel 1

Да, у меня тоже исправилась адресация.

Userlevel 5
Badge +2

Проверил у себя - действительно, в 13.2 это полечили

Userlevel 5
Badge +2

В CA по проблеме некорректного определения адресов - посоветовали обновиться до KSC 13.2

Userlevel 5
Badge +2

Еще поигрался - проблема на стороне агента, не KSC.

В связке KSC 13.1 + агент 13a - все работает, в связке KSC 13a + агент 13.1 - наблюдается проблема некорректного выбора IP-адреса для связи с этой машиной.

Завел по проблеме INC000013251137

Userlevel 5
Badge +2

Вот иллюстрация баги:

 

Userlevel 5
Badge +2

Воспроизвел проблему у себя - KSC 13.1 + агент 13.1 на машинке с несколькими IP на интерфейсе. Не позволяет запускать задачи - т.е. тоже не может достучаться по прямой до порта 15000. И в свойствах компьютера на вкладке Общие в консоли KSC - кажет не тот IP-адрес

Userlevel 1

Возможно, дело в том, что компы с несколькими адресами регистрирую несколько записей на доменном DNS-сервере. Если находясь на сервере KSC, сказать ping computername - и будет попытка пинговать ненужный адрес - то скорее всего проблема решится исправлением в DNS


Нет, на доменном DNS всё норм. Это поведение повторяется даже на недоменной машине.

Userlevel 5
Badge +2

Возможно, дело в том, что компы с несколькими адресами регистрирую несколько записей на доменном DNS-сервере. Если находясь на сервере KSC, сказать ping computername - и будет попытка пинговать ненужный адрес - то скорее всего проблема решится исправлением в DNS

Userlevel 1

В прошлом сообщении фигню написал.

В общем, проблема с новым KSC 13.1 в следующем заключается.

Если на компьютере в корпоративной сети есть компы, которые имеют более одного IP-адреса в разных подсетях или на них стоит гипервизор, который создаёт свою виртуальную подсеть, то в базе KSC компьютер может зарегистрироваться не с реальным адресом из корпоративной сети, а с другим (недоступным).

Например, берём комп, который имеет адрес корпоративной сети 10.2.0.10, а сервер KSC имеет адрес 10.2.0.1. На нём стоит VirtualBox, который создал внутреннюю подсеть 192.168.56.0/24 и присвоил этому компу второй адрес 192.168.56.1. После установки агента KSC, тот направляет данные серверу, но сервер регистрирует этот комп в своей базе с адресом 192.168.56.1, а не 10.2.0.10. В результате, агент периодически опрашивает сервер по адресу 10.2.0.1 и в это время забирает политики и задачи. Но KSC, при обращении к компьютеру, пытается стучаться на адрес 192.168.56.1, который зарегистрирован в его базе и который конечно для него не доступен.

Та же самая ситуация, если виртуалок на компе нет, но есть вторая сетевая карта, которая смотрит в другой сегмент, недоступный для KSC. Агент может передать на сервер адрес компа из второй подсети, KSC зарегистрирует комп в своей базе под этим IP и тоже не сможет к нему обращаться.

Как это победить не знаю, решение пока не нашёл.

Userlevel 1

В общем, проблема не в агенте или KSC.

Это проявляется только на на машинах с KES 11.6, а на KES 11.6 всё в порядке и с распространением политик, и с управлением групповыми задачами.

Userlevel 1

Добавил правило, которое разрешает входящие соединения от любого компьютера на порт UPD 15000 и включил логирование.

Хотел увидеть попытки подключения от KSC, но результате увидел кучу широковещательных запросов от других компов на этот. Зачем агент или KES рассылает такие пакеты? В параметрах политики агента администрирования отключен опрос сети для точек распространения и точки распространения не используются (в параметрах KSC стоит назначение точек распространения в ручном режиме и никто не добавлен).

Программа: Kaspersky Endpoint Security
Имя программы: avp.exe
Направление протокола: Входящее
Протокол: UDP
Статус: Разрешено
Удаленный адрес: 172.16.6.125
Удаленный порт: 61261
Локальный адрес: 255.255.255.255
Локальный порт: 15000
Зона: Все сети

Userlevel 5
Badge +2

Если команды запуска/остановки задач не доступы - это верный  признак того, что что-то блокирует порт UDP 15000

У себя после обновления KSC с 12.2 до 13.1 и агентов на машинках - такой проблемы не наблюдаю, задачи дергать могу

Userlevel 1

В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты


Хммм…

Иконки запуска/остановки задач в свойствах компа в консоли администрирования вообще не активны.

Даже при отключенном МЭ.

Userlevel 5
Badge +2

В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

Проверить, проходит ли сигнал от сервера к клиенту: в консоли KSC в свойствах компа открыть вкладку Задачи. Если сигнал по порту UDP 15000 проходит - то будет возможность остановить и снова запустить любой компонент защиты

Userlevel 1

Перешёл на KSC 13.1 с 12.2. Переустановил агентов.

Такое ощущение, что сервер сам больше не может достучаться до агентов. Любые изменения политик или запуск групповых задач на сервере по долгу висят в статусе “Ожидает выполнения”. Судя по всему ждут, когда агент сам соединится с сервером и увидит, что ему надо что-то сделать. Раньше политики сразу начинали применяться и групповые задачи выполняться.

В МЭ на компах порт UDP 15000 для входящих подключений с адреса KSC открыт. Если такой функционал в версии 13 не отключали, то как проверить его работу?

Userlevel 7
Badge +7

В рамках запроса в companyaccount предложено рабочее решение проблемы с отсылкой уведомлений в Exchange. Замена klcssrv.dll на патченую, плюс правки в таблицах SQL.

Опубликую патч я, чтобы был доверенный источник.

 

INC000013183311
“1. Скачайте прикрепленный файл - “TLS-уведомление о почте issue.zip”*
2. Остановите службу Сервера администрирования.
3. Откройте установочную папку KSC.
4. Переименуйте исходный файл klcssrv.dll
5. Поместите klcssrv.dll из прикрепленного архива в установочную папку KSC.
6. Запустить прикрепленный скрипт на Сервере администрирования под учетной записью, которая использовалась для установки KSC.
7. Запустите службу Сервера администрирования и проверьте результат.”

*SHA256          E57C080B381354E82B86328BA023A96F3EEF8303245CDF03F46F355427C06C4A

Userlevel 2
Badge

Решение проблемы с нечитаемыми сообщениями при установке агента следующее:

  1. из ресурса с инсталляционными пакетами из папки NetAgent_13.1.0.8324\exec взять файл nagent.kud и положить его в папку NetAgent_13.1.0.8324, переписав существующий там файл.
  2.  Обновить кэш инсталляционного пакета агента

После этого все последующие установки агента будут с читаемыми сообщениями.

Userlevel 2
Badge

В рамках запроса в companyaccount предложено рабочее решение проблемы с отсылкой уведомлений в Exchange. Замена klcssrv.dll на патченую, плюс правки в таблицах SQL.

Подтверждаю проблему с отправкой событий через Exchange. В 13.0 всё отправлялось без проблем. В 13.1 ошибка #1893 Ошибка cURL: 'Requested SSL level failed'

В настройках KSC стоит для SMTP “Не использовать TLS”.

При нажатии на “Отправить тестовое сообщение” всё работает - тестовое письмо оправляется.  Но других писем больше нет.

Весь лог завален алертами “Ошибка времени выполнения: Cannot send notification by e-mail”.

Вот еще подтверждение проблемы 

Очень жду решения!!!

Попробовал заменить klcurl.dll на библиотеку из patch_11_0_0_1131_server_b.zip (Коммерческий релиз Kaspersky Security Center 11 (версия 11.0.0.1131) патч B). Не помогло.

Попутно смотрел на трафик с помощью WireShark, обмена по TLS нет ни со старой dll, ни с новой. Постоянно повторяется то, что на картинке.

 

 

Userlevel 2
Badge

Еще нашел вот такое дублирование в кнопке “Пуск” - Все программы - Kaspersky Security Center

 

День добрый!

1 Можно ли подправить линукс установщик, на возможность указания пути, для сокета MySQL\Percona5.7 ?

 

2 Заявлена поддержка SIEM, а как выбрать и направить события из касперского центра в logstash ?

3 PXE развернут на линуксе, и спокойно разливает образа и windows 10. Как то можно прицепить его к касперскому? 

 

4 если хочется кластер касперского центра 13 на линуксе, лучше сделать вариант нативный, или на кубах можно? Прилагаю пример картинок для понимания. 

 

 

 

Userlevel 2
Badge

Еще вот такая красота в свойствах политики Сервера администрирования:

 

И вот такие кракозябры при установке агента:

 

Userlevel 2
Badge

Подтверждаю проблему с отправкой событий через Exchange. В 13.0 всё отправлялось без проблем. В 13.1 ошибка #1893 Ошибка cURL: 'Requested SSL level failed'

В настройках KSC стоит для SMTP “Не использовать TLS”.

При нажатии на “Отправить тестовое сообщение” всё работает - тестовое письмо оправляется.  Но других писем больше нет.

Весь лог завален алертами “Ошибка времени выполнения: Cannot send notification by e-mail”.

Вот еще подтверждение проблемы 

Очень жду решения!!!

Есть ли какие-либо проблемы с установкой сабжа на английскую версию windows server, в частности, с автоматически применяемой кодировкой в субд sql express в зависимости от основного языка системы?

@iq180 , я проверил работу через Exchange, всё ок. Вероятно, есть условия при которых не работает. 

Конечно, есть. У меня запрещёны TLS < 1.2 и слабые cipher suite'ы. И на KSC, и на Exchange, и на Windows.  На предыдущей версии (13.0.0.11247) всё работало, А после апгрейда перестало.

Reply