Контакты
Подписка
МЕНЮ
Контакты
Подписка

Secret Net проблемы - Форум по вопросам информационной безопасности

Secret Net проблемы - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 >

Автор: Stawr | 109410 02.08.2021 08:25
to oko

stawr@rtural.ru

Буду признателен, если своей версией поделитесь, ибо по прошествии месяца общения с ТП решения пока не нашли.
Прошла пара месяцев

Автор: Михаил | 109552 21.09.2021 22:54
Имеются два контроллера доменов под управлением Windows Server 2008R2. Сервер безопасности Secret Net Studio 8.5 развернут на отдельном третьем сервере с Windows Server 2008R2. Оснастка групповых политик работает исправно. Установка клиента Secret Net Studio 8.5 на "главный" контроллер происходит без проблем. При установке используются специально созданные группы для управления доменом безопасности и лесом доменов безопасности. Однако при попытке открытия оснастки GPO появляется сообщение "Данные в буфере точки повторной обработки являются недопустимыми", а при попытке изменить или создать новые групповые политики появляется следующее сообщение:
"Ошибка групповой политики
Не удалось открыть объект групповой политики. Возможно, вы не имеете достаточных прав.
Данные в буфере точки повторной обработки являются недопустимыми."
Такая проблема и в автономном режиме работы клиента, и в сетевом, что при локальной установке, что и при централизованной.
Начал копать в сторону реплицирования групповых политик. Оказалось, что на контроллере домена с установленным клиентом пропал доступ к содержимому сетевой папки \\server-ds\SYSVOL\... к той папке, где все политики лежат.
Если клиента удалить, то доступ к сетевым папкам восстанавливается, работа оснастки GPO нормализуется.
Подскажите, в чем может быть проблема, может настройки SNS какие-нибудь изменить нужно?

Автор: Михали | 109553 21.09.2021 23:09
... Смотрел права на доступ к содержимому сетевой папки \\server-ds\SYSVOL\..., что до установки клиента, что после - одинаковые. Однако во втором случае доступа по сети к папкам нет.

Автор: oko | 109557 22.09.2021 21:47
to Михаил
Проверяйте условия установки и настройки SNS. В первую очередь, права уч.записи, под которой входите (админ.домена + зарегистрирован в "Управлении пользователями" самой SNS). Во вторую - наличие, работу и правила подсистемы межсетевого экранирования из состава SNS...
Ради интереса проверил на стенде - два сервера 2008R2 + SNS8.5-C (без МЭ, АВЗ и СОВ). Все в порядке и с SYSVOL, и с вызовом консоли управления GPO...

Автор: Михали | 109558 23.09.2021 18:44
to oko

Спасибо за ответ!

Проблема решена. Оказалось, что в моём дистрибутиве отсутствовали все пакеты исправления. Данную проблему решает пакет исправления номер 2. Полный дистрибутив можно скачать с оф.сайта.

Автор: Станислав | 109561 27.09.2021 16:00
Всем добрый день. Кто-нибудь может подсказать почему при установленной версии SNS 8.5С не удаляется старая версия (11.3) и не устанавливается новая версия Kaspersky Endpoint Security (11.6.0.394)? Штатными средствами винды не удаляет, kavremover`ом пытается удалить, долго висит и безрезультатно. Если попытаться поставить "поверх" старой версии антивирусной защиты - зависает на несколько часов на этапе установки и безрезультатно. Благодарю за любую помощь.

Автор: oko | 109562 27.09.2021 18:20
to Станислав
SNS8.5-C официально несовместим с KES 11.6.0.394. Так что вариантов может быть вагон и маленькая тележка. Как при установке, так и в процессе эксплуатации (что печальнее)...
От себя лично по опыту: лучше не используйте их совместно. Если надо использовать - отключайте полностью подсистему затирания в составе SNS и подсистемы защиты от эксплойтов и анализа поведения в составе KES...
И еще одно: никогда не ставьте АВЗ, СКЗИ и проч. после установки СЗИ НСД. Т.е. вначале установка KES, а потом уже SNS с актуальными патчами (см. Базу знаний Кода Безопасности - впрочем, она не сильно помогает, ага)...

Автор: Станислав | 109563 27.09.2021 18:49
to oko.
Огромная благодарность за помощь и рекомендации. Ну а как тогда быть, если уже прошла аттестация и установлены и СЗИ от НСД и АВЗ? Вот выявили уязвимость в версии 11.3.0.773 Лаборатория Касперского. Они конечно молодцы, похвально. Ставьте типа 11.6.0.394, она единственная сертифицированная у Каспера сейчас, но как выясняется, она конфликтует с конкретным СЗИ... Вот что делать и оставить старую версию АВЗ нельзя и новую поставить не представляется возможным. И ещё, а что значит официально несовместима? На сайтах производителей я такого не нашёл.

Автор: oko | 109564 27.09.2021 21:43
to Станислав
Primo, этой проблеме уже много времени. Жаль, что она официально не публикуется ни одним из производителей. И никто из них ничего не делает в этом направлении...
Secundo, не столько сайт читайте, сколько ReleaseNotes...
Tertio, есть, собственно, 4 варианта:
- задолбать ФСТЭК письмами, чтобы регулятор сам решить, как быть в такой ситуации;
- задолбать Кота-в-Безопасности, чтобы они выпустили патч на 8.5-С или ускорили сертификацию 8.6-С (в 8.6 проблем с KES11 нет, но под ГТ его нельзя);
- оставить оба СЗИ, костылями решив проблему совместимости (отключить мешающие механизмы, прибить гвоздями иные конфликтующие элементы), но взять на себя ответственность, "обосновав" необходимость такого метода и невозможность обновления/перехода на иное СЗИ;
- оставить оба СЗИ, костылями решив проблему совместимости, и молчать до проверки регулятора.

Автор: Stawr | 109565 28.09.2021 13:49
to oko
>- задолбать Кота-в-Безопасности, чтобы они выпустили патч на 8.5-С...

Возникнет вопрос, будет ли легитимен этот патч для применения на аттестованном объекте? Т.е. будут ли заменённые файлы SNS-C'а в пропатченной версии сертифицированы ФСТЭКом, я не думаю, что КБ проводит повторную сертификацию 8.5-C после каждого выпущенного патча. Опираясь на раздел 8 формуляра на SNS 8.5-C, можно лишь устанавливать патчи, которые закрывают крит. уязвимость СЗИ,
не дожидаясь прохождения серт. испытаний, связанных с изменением СЗИ.

>...или ускорили сертификацию 8.6-С (в 8.6 проблем с KES11 нет, но под ГТ его нельзя);

В документе "Сведения о совместимости с другим ПО" для 8.6.8330 последней версией KES, заявленной как совместимая, является 11.3. К моменту выхода 8.6-С KES уже может выпустить и переоформить свой сертификат для какой-нибудь условной v. 11.9.x.x, и большой вопрос будет ли она совместима с 8.6-C...какой-то замкнутый круг, блин...

Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 >

Просмотров темы: 124424

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*