Kaspersky
Question

Вопрос по Network Threat Protection KES v11 на серверах Hyper-V

  • 30 April 2019
  • 6 replies
  • 251 views

  • Community Citizen
  • 6 replies
Доброго дня!

Имеется несколько серверов с W2k12 R2 с ролью Hyper-V и виртуалки на базе W2k8 R2, W2k12 R2.
На всех серверах стоит KES v11 со всеми рекомендуемыми MS исключениями (вы молодцы, практически всё уже есть при установке).

Вопрос в следующем, заметил, что на хост машинах компонента Network Threat Protection блокирует эксплойты уязвимостей, которые идут по портам, по которым хост-машины извне недоступны (они вообще извне недоступны). Скажем, виртуалки - веб-серверы и KES на хостах блокирует атаки по TCP 80 и 443. На самих веб-серверах KES ничего не ловит. Единственное логичное объяснение: KES драйвер внедрён так глубоко, что он проверяет весь трафик, прилетающий на хост машину, включая трафик виртуалок. Так ли это?

P.S. Ещё пара мелких вопросов:
1) Пару недель назад скачал последний доступный KES v11 (keswin_11.1.0.15919_en_aes256.exe) и при установке на W2k12 R2 он не спросил активировать ли рекомендуемые исключения!? Пришлось экспортировать-импортировать с другой машины. Это недочёт установщика, и он будет устранён, или теперь придётся исключения каждый раз импортировать\настраивать вручную? Надеюсь, просто недочёт, и вы и дальше будете предлагать активировать рекомендуемые вами и MS исключения. Ведь их сотни.
Кстати, тот же установщик не создал расписание для автозапуска Critical Area scan и Full Scan, также пришлось делать вручную. Что-то явно не так с установщиком.

2) В версии KES 10 был очень удобный сканер уязвимостей, не планируете ли вы его вернуть в клиентскую часть в будущем?

Спасибо.

6 replies

Userlevel 3
Badge +2
На мелкие отвечу, т.к. есть чем бумагу замарать:
По 1 вопросу надо ждать ответ от кого-то официального, но если KES управляется через KSC то проблемы нет.
2) Сканер уязвимостей никуда не делся, просто его немного переделали чтобы он ресурсы не жрал как не в себя.
1) Нет, KSC нет.
2) А где же он находится? Как его запустить?
Всё ещё ожидаю ответа от представителей Kaspersky.
Userlevel 2
Badge +2
Здравствуйте!

По вашим вопросам необходимо завести инцидент в CompanyAccount с подробным описанием проблемы.

Спасибо!
Userlevel 3
Badge +2
В неуправляемом клиенте действительно доступа теперь нет к отчетам проверки на уязвимости. Только остался принудительный запуск через агента администрирования инициированного со стороны KSC.
Я изначально неправильно понял ваш вопрос упустив часть что вам интересен именно режим неуправляемого клиента.
Вообще как таковой функционал работает, просто теперь нельзя просмотреть список уязвимых приложений, т.к. правила применяются "на лету" функционалом "защита от эксплойтов" в двух доступных режимах:
1) на основе локальных баз если KSN недоступен или отключен
2) на основе данных из KSN если он доступен и включен.

В "отчеты - защита от эксплойтов" можно просмотреть попытки эксплуатации уязвимостей, но не наличие известных уязвимостей на заданном хосте в данный момент времени.
Спасибо за инфо. Но всё же спрашивал я не планируют ли вернуть сканер уязвимостей в клиентскую часть, как это было в версии 10. Не везде стоит KCS, а отчеты бывают нужны безопасникам или определенным клиентам (я смотрю за несколькими площадками).

А поддержка тут отвечает вообще?

Reply