Kaspersky

Релиз Kaspersky Security для Windows Server 11.0.1.897 + CF2


Userlevel 7
Badge +7

Техническая поддержка Лаборатории Касперского, [25.05.21 10:44]

🔔 У нас состоялся релиз Kaspersky Security 11.0.1 для Windows Server (версия 11.0.1.897).

🔧 В этой версии мы:
— Обновили функциональность программы: параметры самозащиты, правила доверенной зоны и Защиты трафика.
— Оптимизировали интерфейс программы.
— Исправили ошибки предыдущих версий.

❓ Вы можете найти подробную информацию в базе знаний и справке.

Скачать

Наблюдения от комьюнити:

  • Важно ознакомиться со статьей про поддержку SHA-2, если не ознакомились, то возможна ошибка “Generic trust failure” на ОС без обновлений безопасности. Альтернатива установки KB от MS, использовать решение из статьи по KESS, проверено @dvz.
  • В конце сентября появился Critical Fix Core 1 для KSWS 11.0.1./ @dvz  Запрашивать в поддержке.
  • В середине ноября вышел Critical Fix Core 2 для KSWS 11.0.1./ @Katbert Запрашивать в поддержке.

< Предыдущая версия || НАВИГАТОР || 


30 replies

Userlevel 4
Badge +2

День добрый.

При установке поверх 11.0.0.480 CF4 требуется перезагрузка.

Userlevel 7
Badge +7

@tyazhelnikov , точности ради, приведу ответ Вам от @Oleg Bykov на такой же пост к прошлому релизу (KSWS 11.0).

 Цитата:

День добрый.

При установке поверх 10.1.2.996 cf3 запросил перезагрузку. Учитывайте это при обновлении серверов.

 

Как и для других релизов KSWS, это сообщение в 99% случаев можно игнорировать.

 

Userlevel 4
Badge +2

Подскажите, есть ли возможность проверить работу компонента “Защита от сетевых атак”?

Какая-нибудь тестовая утилита по аналогии с тестовым вирусом?

Прошла сетевая атака Scan.Generic.PortScan.TCP сервера с KSWS 10.0.0.480 ее отбили и заблокировали источник, а вот оба сервера с 11.0.1.897 ее не заметили. Работа модуля задается единой политикой.

Userlevel 7
Badge +7

@tyazhelnikov , атаку типа “скан портов” можно устроить утилитой NMAP https://nmap.org/

Userlevel 4
Badge +2

Спасибо.

Проверил 

KSWS 10.0.0.480  - блокирует скан портов

KSWS 11.0.1.897  - не замечает атаки.

При установке на некоторых серверах выдается такое сообщение

“Нарушено Лицензионное соглашение. Причина: пользователь не принял Положение о KSN”

Хотя и в пакет уже прописал KSN=1 и в политике принято….

Userlevel 3
Badge +3

При совместной установке KSWS 11.0.1.897 и KSC11, возможны проблемы с запуском служб ksnproxy или kladminserver. Решение - отключить самозащиту (INC000012868719).

Userlevel 4
Badge +2

Подскажите ,будет ли какое то решение по отсутствию реакции на сетевые атаки в этой версии (писал об этом выше)?

Может уже какой-нибудь CF есть?

При установка на сервер ниже 2012 ошибка

 

 

 

при этом если запустить установку msi то ставиться

Userlevel 3
Badge +3

При установка на сервер ниже 2012 ошибка

 

 

 

при этом если запустить установку msi то ставиться

проблема возникает на старых ОС, где не обновляются корневые сертификаты. Инсталлятор ЛК подписан свежим сертификатом, к которому нет доверия на устаревших ОС.

Решение: Обновить списки корневых сертификатов в ручную. https://support.kaspersky.ru/13727 

Userlevel 2
Badge

Метод, предложенный в статье https://support.kaspersky.ru/13727 не совсем корректный. К сожалению, за давностью лет у меня не осталась всех подробностей и ссылок, но суть проблемы следующая. В стеке TCP есть некоторый буфер, в который помещается информация о всех корневых сертификатах из текущего хранилища системы. Размер буфера ограничен, причём в Win10 он сильно больше, чем в старых ОС. И поэтому если переносить все сертификаты из Win10 в старую ОС (а их может там быть несколько сотен), то может случится ситуация, что часть из них не поместится в буфер и не будет использовано в работе со всеми вытекающими из этого последствиями. При этом Windows при каждой загрузке будет генерить событие, что не удалось загрузить все сертификаты. В этой ситуации нужно вручную удалять сертификаты их хранилища, чтобы уменьшить их количество. Ну а правильное решение с обновлением корневых сертификатов такое: обновлять не все их сразу, а только конкретные необходимые, либо вручную, либо автоматизировать процесс обновления, как это описано например здесь. У меня так работает много лет и проблем нет. А до этого описанная проблема возникала довольно часто.

Userlevel 3
Badge +3

Метод, предложенный в статье https://support.kaspersky.ru/13727 не совсем корректный. К сожалению, за давностью лет у меня не осталась всех подробностей и ссылок, но суть проблемы следующая. В стеке TCP есть некоторый буфер, в который помещается информация о всех корневых сертификатах из текущего хранилища системы. Размер буфера ограничен, причём в Win10 он сильно больше, чем в старых ОС. И поэтому если переносить все сертификаты из Win10 в старую ОС (а их может там быть несколько сотен), то может случится ситуация, что часть из них не поместится в буфер и не будет использовано в работе со всеми вытекающими из этого последствиями. При этом Windows при каждой загрузке будет генерить событие, что не удалось загрузить все сертификаты. В этой ситуации нужно вручную удалять сертификаты их хранилища, чтобы уменьшить их количество. Ну а правильное решение с обновлением корневых сертификатов такое: обновлять не все их сразу, а только конкретные необходимые, либо вручную, либо автоматизировать процесс обновления, как это описано например здесь. У меня так работает много лет и проблем нет. А до этого описанная проблема возникала довольно часто.

Статья от ЛК - можете направить им корректировку ? У себя импортировал только один нужный сертификат который отсутствовал (USERTrust RSA Certification Authority). Прикладываю его на всякий случай.

Userlevel 5
Badge +2

Заметил странное. В веб консоли (версия 12.2.265 ) запустил мастер первоначальной настойки, чтобы установить плагин и создать пакет KSWS 11.0.1.

Однако мастер предложил установить плагин версии 11.0.0, а сам пакет - версии 11.0.1.

Это бага, или версия веб-плагина не меняется?

p.s. установил плагин для mmc-консоли из файла klcfginst.exe из папки server дистрибутива ksws_11.0.1.897_ru.zip - там версия соответствует пакету

Userlevel 5
Badge +2

Проверил 

KSWS 10.0.0.480  - блокирует скан портов

KSWS 11.0.1.897  - не замечает атаки.

Простое сканирование портов может сделать Angry IP Scanner 2.21 (portable, состоит из одного файла). Результат - похож на ваш. KSWS 11.0.1 молчит. KSWS 11.0.0 под рукой нет

Userlevel 5
Badge +2

Еще вижу, что ломаются имена пользователей на русском в событиях контроля запуска программ. В локальном журнале KSWS 11.0.1 имя пользователя выглядит правильно, как KLE-KSC12\Администратор. А в событии и MMC-консоли, и Web-консоли - оно превращается в "User":"KLE-KSC12\\\u0410\u0434\u043C\u0438\u043D\u0438\u0441\u0442\u0440\u0430\u0442\u043E\u0440"

Userlevel 5
Badge +2

В веб-консоли нет возможности редактировать имена пользователей в правилах контроля запуска программ. Даже есть в логине пользователя admin2 просто стереть “2” и вписать снова

 

Userlevel 7
Badge +7

Коллега @dvz поделился информацией, что в поддержке выдают Critical Fix 1 для KSWS 11.0.1.

Userlevel 5
Badge +2

Статья от ЛК - можете направить им корректировку ? У себя импортировал только один нужный сертификат который отсутствовал (USERTrust RSA Certification Authority). Прикладываю его на всякий случай.

Столкнулся с проблемой установки KSWS 11.0.1 на WinSrv 2008 R2 с финальными патчами по январь 2020 г. (включая обновления SHA256) - тоже при запуске установки возникает “Общая ошибка доверия”.

Нюанс - у этого сервера не было прямого доступа в Инет, и корневые сертификаты не обновлялись автоматически. Временно дал инет, и снова запустил server\setup.exe - теперь он запустился (значит, для Win2008 R2 еще выпускаются  списки доверенных сертификатов) В журнале Application видны события от CAPI2 про обновление корневых сертификатов и установку пяти новых сертификатов:

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=UTN-USERFirst-Object, OU=http://www.usertrust.com, O=The USERTRUST Network, L=Salt Lake City, S=UT, C=US> Отпечаток Sha1: <E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US> Отпечаток Sha1: <A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA - R2> Отпечаток Sha1: <75E0ABB6138512271C04F85FDDDE38E4B7242EFE>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=AddTrust External CA Root, OU=AddTrust External TTP Network, O=AddTrust AB, C=SE> Отпечаток Sha1: <02FAF3E291435468607857694DF5E45B68851868>.

Успешное автоматическое обновление стороннего корневого сертификата:: субъект: <CN=AAA Certificate Services, O=Comodo CA Limited, L=Salford, S=Greater Manchester, C=GB>; отпечаток SHA1: <D1EB23A46D17D68FD92564C2F1F1601764D8E349>.

 

Userlevel 5
Badge +2

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

Такая же беда. Как обходное решение, после загрузки делал восстановление WSEE и он отпускал агент.

Userlevel 4
Badge +2

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

День добрый.

Была такая проблема. Решил удалением агента, чисткой его следов и установкой агента 13.2. Теперь работает.

Userlevel 5
Badge +2

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Прислали патч Cumulative critical fix 1 (critical_fix_core_1_x64.msp), но с ним реакции на сканирование портов все так же нет. Использовал Angry IP Scanner 2.21 в режиме сканирования диапазона портов 100-1000.

Userlevel 4
Badge +2

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Прислали патч Cumulative critical fix 1 (critical_fix_core_1_x64.msp), но с ним реакции на сканирование портов все так же нет. Использовал Angry IP Scanner 2.21 в режиме сканирования диапазона портов 100-1000.

Подтверждаю, с CF1 не реагирует на скан портов. Использовал Nmap

Тестово установил CF1 на одном из серваков, пока проблем со стартом службы агента администрирования нет, несколько раз перезагружал, не разу не сбойнула.

Reply