Kaspersky

Релиз Kaspersky Security для Windows Server 11.0.1.897 + CF2


Userlevel 7
Badge +7

Техническая поддержка Лаборатории Касперского, [25.05.21 10:44]

🔔 У нас состоялся релиз Kaspersky Security 11.0.1 для Windows Server (версия 11.0.1.897).

🔧 В этой версии мы:
— Обновили функциональность программы: параметры самозащиты, правила доверенной зоны и Защиты трафика.
— Оптимизировали интерфейс программы.
— Исправили ошибки предыдущих версий.

❓ Вы можете найти подробную информацию в базе знаний и справке.

Скачать

Наблюдения от комьюнити:

  • Важно ознакомиться со статьей про поддержку SHA-2, если не ознакомились, то возможна ошибка “Generic trust failure” на ОС без обновлений безопасности. Альтернатива установки KB от MS, использовать решение из статьи по KESS, проверено @dvz.
  • В конце сентября появился Critical Fix Core 1 для KSWS 11.0.1./ @dvz  Запрашивать в поддержке.
  • В середине ноября вышел Critical Fix Core 2 для KSWS 11.0.1./ @Katbert Запрашивать в поддержке.

< Предыдущая версия || НАВИГАТОР || 


30 replies

Badge

Получил CF2 для KSWS 11.0.1 - подскажите, что там исправлено?

Userlevel 5
Badge +2

В рамках INC000013280412 получил-таки ответ почему KSWS 11.0.1 перестал обнаруживать сканирование портов:

Эвристика PortScan, у некоторых пользователей, давала ложные срабатывания. В связи с этим, было решено отключить для продукта KSWS.

Возможно, в следующей версии, добавят отдельную кнопку "Детектировать PortScan", чтобы была возможность самостоятельно решать, включать это или нет. Но на данный момент, это работает так, как есть.

 

Userlevel 7
Badge +7

Теперь коллега @Katbert  поделился информацией, что в поддержке выдают Critical Fix Core 2 для KSWS 11.0.1.

Тестово установил CF1 на одном из серваков, пока проблем со стартом службы агента администрирования нет, несколько раз перезагружал, не разу не сбойнула.

после установки патча в событиях нет такого сообщения “Нарушено Лицензионное соглашение”?

Имется, но там ругается на отсутствие ключа, так как мне пришлось заново ставить АВ и он еще не прилетел на тот момент. На данный моммент на этом серваке никаких нареканий нет.

Тестово установил CF1 на одном из серваков, пока проблем со стартом службы агента администрирования нет, несколько раз перезагружал, не разу не сбойнула.

после установки патча в событиях нет такого сообщения “Нарушено Лицензионное соглашение”?

Тестово установил CF1 на одном из серваков, пока проблем со стартом службы агента администрирования нет, несколько раз перезагружал, не разу не сбойнула.

Userlevel 4
Badge +2

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Прислали патч Cumulative critical fix 1 (critical_fix_core_1_x64.msp), но с ним реакции на сканирование портов все так же нет. Использовал Angry IP Scanner 2.21 в режиме сканирования диапазона портов 100-1000.

Подтверждаю, с CF1 не реагирует на скан портов. Использовал Nmap

Userlevel 5
Badge +2

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Прислали патч Cumulative critical fix 1 (critical_fix_core_1_x64.msp), но с ним реакции на сканирование портов все так же нет. Использовал Angry IP Scanner 2.21 в режиме сканирования диапазона портов 100-1000.

Userlevel 4
Badge +2

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

День добрый.

Была такая проблема. Решил удалением агента, чисткой его следов и установкой агента 13.2. Теперь работает.

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

Такая же беда. Как обходное решение, после загрузки делал восстановление WSEE и он отпускал агент.

Обновился до 11.0.1.897 на четырех серверах, на двух (Windows 2008 R2) заметил баг.

После перезагрузки, перестает работать агент администрирования, причем думал что проблема с версией 12.2, обновил KSC и соответственно агента до 13.2, но проблема осталась. Пробовал все снести и установить заново, но все равно данная версия категорически не дает работать агенту администрирования после перезагрузки сервака, служба агента администрирования не стартует. Пришлось вернуться к предыдущей 11.0.0.480, с ней проблем нет. По итогу создал запрос INC000013284841.

Userlevel 5
Badge +2

По проблеме не-реагирования KSWS 11.0.1 на сканирование портов - завел INC000013280412

Userlevel 5
Badge +2

Статья от ЛК - можете направить им корректировку ? У себя импортировал только один нужный сертификат который отсутствовал (USERTrust RSA Certification Authority). Прикладываю его на всякий случай.

Столкнулся с проблемой установки KSWS 11.0.1 на WinSrv 2008 R2 с финальными патчами по январь 2020 г. (включая обновления SHA256) - тоже при запуске установки возникает “Общая ошибка доверия”.

Нюанс - у этого сервера не было прямого доступа в Инет, и корневые сертификаты не обновлялись автоматически. Временно дал инет, и снова запустил server\setup.exe - теперь он запустился (значит, для Win2008 R2 еще выпускаются  списки доверенных сертификатов) В журнале Application видны события от CAPI2 про обновление корневых сертификатов и установку пяти новых сертификатов:

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=UTN-USERFirst-Object, OU=http://www.usertrust.com, O=The USERTRUST Network, L=Salt Lake City, S=UT, C=US> Отпечаток Sha1: <E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US> Отпечаток Sha1: <A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA - R2> Отпечаток Sha1: <75E0ABB6138512271C04F85FDDDE38E4B7242EFE>.

Успешное автоматическое обновление свойства стороннего корневого сертификата:: Субъект: <CN=AddTrust External CA Root, OU=AddTrust External TTP Network, O=AddTrust AB, C=SE> Отпечаток Sha1: <02FAF3E291435468607857694DF5E45B68851868>.

Успешное автоматическое обновление стороннего корневого сертификата:: субъект: <CN=AAA Certificate Services, O=Comodo CA Limited, L=Salford, S=Greater Manchester, C=GB>; отпечаток SHA1: <D1EB23A46D17D68FD92564C2F1F1601764D8E349>.

 

Userlevel 7
Badge +7

Коллега @dvz поделился информацией, что в поддержке выдают Critical Fix 1 для KSWS 11.0.1.

Userlevel 5
Badge +2

В веб-консоли нет возможности редактировать имена пользователей в правилах контроля запуска программ. Даже есть в логине пользователя admin2 просто стереть “2” и вписать снова

 

Userlevel 5
Badge +2

Еще вижу, что ломаются имена пользователей на русском в событиях контроля запуска программ. В локальном журнале KSWS 11.0.1 имя пользователя выглядит правильно, как KLE-KSC12\Администратор. А в событии и MMC-консоли, и Web-консоли - оно превращается в "User":"KLE-KSC12\\\u0410\u0434\u043C\u0438\u043D\u0438\u0441\u0442\u0440\u0430\u0442\u043E\u0440"

Userlevel 5
Badge +2

Проверил 

KSWS 10.0.0.480  - блокирует скан портов

KSWS 11.0.1.897  - не замечает атаки.

Простое сканирование портов может сделать Angry IP Scanner 2.21 (portable, состоит из одного файла). Результат - похож на ваш. KSWS 11.0.1 молчит. KSWS 11.0.0 под рукой нет

Userlevel 5
Badge +2

Заметил странное. В веб консоли (версия 12.2.265 ) запустил мастер первоначальной настойки, чтобы установить плагин и создать пакет KSWS 11.0.1.

Однако мастер предложил установить плагин версии 11.0.0, а сам пакет - версии 11.0.1.

Это бага, или версия веб-плагина не меняется?

p.s. установил плагин для mmc-консоли из файла klcfginst.exe из папки server дистрибутива ksws_11.0.1.897_ru.zip - там версия соответствует пакету

Userlevel 3
Badge +3

Метод, предложенный в статье https://support.kaspersky.ru/13727 не совсем корректный. К сожалению, за давностью лет у меня не осталась всех подробностей и ссылок, но суть проблемы следующая. В стеке TCP есть некоторый буфер, в который помещается информация о всех корневых сертификатах из текущего хранилища системы. Размер буфера ограничен, причём в Win10 он сильно больше, чем в старых ОС. И поэтому если переносить все сертификаты из Win10 в старую ОС (а их может там быть несколько сотен), то может случится ситуация, что часть из них не поместится в буфер и не будет использовано в работе со всеми вытекающими из этого последствиями. При этом Windows при каждой загрузке будет генерить событие, что не удалось загрузить все сертификаты. В этой ситуации нужно вручную удалять сертификаты их хранилища, чтобы уменьшить их количество. Ну а правильное решение с обновлением корневых сертификатов такое: обновлять не все их сразу, а только конкретные необходимые, либо вручную, либо автоматизировать процесс обновления, как это описано например здесь. У меня так работает много лет и проблем нет. А до этого описанная проблема возникала довольно часто.

Статья от ЛК - можете направить им корректировку ? У себя импортировал только один нужный сертификат который отсутствовал (USERTrust RSA Certification Authority). Прикладываю его на всякий случай.

Userlevel 2
Badge

Метод, предложенный в статье https://support.kaspersky.ru/13727 не совсем корректный. К сожалению, за давностью лет у меня не осталась всех подробностей и ссылок, но суть проблемы следующая. В стеке TCP есть некоторый буфер, в который помещается информация о всех корневых сертификатах из текущего хранилища системы. Размер буфера ограничен, причём в Win10 он сильно больше, чем в старых ОС. И поэтому если переносить все сертификаты из Win10 в старую ОС (а их может там быть несколько сотен), то может случится ситуация, что часть из них не поместится в буфер и не будет использовано в работе со всеми вытекающими из этого последствиями. При этом Windows при каждой загрузке будет генерить событие, что не удалось загрузить все сертификаты. В этой ситуации нужно вручную удалять сертификаты их хранилища, чтобы уменьшить их количество. Ну а правильное решение с обновлением корневых сертификатов такое: обновлять не все их сразу, а только конкретные необходимые, либо вручную, либо автоматизировать процесс обновления, как это описано например здесь. У меня так работает много лет и проблем нет. А до этого описанная проблема возникала довольно часто.

Userlevel 3
Badge +3

При установка на сервер ниже 2012 ошибка

 

 

 

при этом если запустить установку msi то ставиться

проблема возникает на старых ОС, где не обновляются корневые сертификаты. Инсталлятор ЛК подписан свежим сертификатом, к которому нет доверия на устаревших ОС.

Решение: Обновить списки корневых сертификатов в ручную. https://support.kaspersky.ru/13727 

При установка на сервер ниже 2012 ошибка

 

 

 

при этом если запустить установку msi то ставиться

Userlevel 4
Badge +2

Подскажите ,будет ли какое то решение по отсутствию реакции на сетевые атаки в этой версии (писал об этом выше)?

Может уже какой-нибудь CF есть?

Userlevel 3
Badge +3

При совместной установке KSWS 11.0.1.897 и KSC11, возможны проблемы с запуском служб ksnproxy или kladminserver. Решение - отключить самозащиту (INC000012868719).

При установке на некоторых серверах выдается такое сообщение

“Нарушено Лицензионное соглашение. Причина: пользователь не принял Положение о KSN”

Хотя и в пакет уже прописал KSN=1 и в политике принято….

Reply