В Kaspersky Anti Targeted Attack Platform версии 3.7 известны следующие ограничения:
При обновлении программы с версии 3.6 до версии 3.7 отключаются пользовательские правила TAA (IOA). По завершении обновления программы вам нужно включить правила вручную.
Для Kaspersky Endpoint Agent 3.8 известны следующие ограничения:
Вы можете установить программу Kaspersky Endpoint Agent через Kaspersky Security Center (KSC) или локально на компьютеры сети вашей организации. Если вы устанавливаете Kaspersky Endpoint Agent локально, учтите, что мастер установки не поддерживает имена пользователей (User Name), содержащие иероглифы. Установка Kaspersky Endpoint Agent на компьютеры пользователей, имена которых содержат иероглифы, возможна только через KSC.
Если программа Kaspersky Endpoint Agent используется на одном устройстве с программой Kaspersky Endpoint Security, и в программе Kaspersky Endpoint Security установлен компонент, обеспечивающий файловое шифрование (FLE), то программа Kaspersky Endpoint Agent не регистрирует события телеметрии о загрузке модулей (LoadImage) и не отправляет их компоненту KATA Central Node.
При проверке индикаторов компрометации, поиск которых предполагает разбор текстовых строк, по условию "is" учитывается наличие пробелов, а также необходимость экранировать описание индикатора в IOC-файле символами CDATA. Например, чтобы обнаружить объект с авторским правом "Copyright (C) 1998-2017 Mark Russinovich" по условию "is", необходимо указать описание индикатора в следующем формате: <Content type="string"><![CDATA[Copyright (C) 1998-2017 Mark Russinovich ]]></Content>.
Для упрощения описания индикаторов можно также использовать условие "contains".
Kaspersky Endpoint Agent может дважды отображать данные о сработавшем объекте при выводе результатов задачи поиска IOC.
Установщик не может остановить службу soyuz до тех пор, пока не завершится инициализация службы. Например, установщик возвращает ошибку "Неверный пароль" при попытке удалить или изменить конфигурацию программы сразу после завершения установки, так как служба soyuz не завершила инициализацию и не может быть остановлена.
При проверке объектов по IOC-документу FileItem, Kaspersky Endpoint Agent пропускает объекты, доступ к которым ограничен, например, файлы, с которыми на момент проверки работают другие программы. Для таких объектов Kaspersky Endpoint Agent возвращает ложноотрицательный результат проверки.
При несовпадении локализации Kaspersky Endpoint Agent и плагина управления Kaspersky Endpoint Agent в Kaspersky Security Center, некоторые параметры могут некорректно отображаться в выводах команд с параметром "show" в командную консоль.
При поиске индикаторов, включающих перебор модулей, загруженных в адресное пространство, Kaspersky Endpoint Agent пропускает случаи, в которых система загружает 64-разрядные модули в 32-разрядные процессы. Например, загрузка wowcpu64.dll в system32 или загрузка ntdll в system32 не будут обнаружены. Ограничение воспроизводится в операционных системах Windows Server 2008 R2 и Windows 7 x64.
При попытке запуска Установщика Kaspersky Endpoint Agent с правами учетной записи пользователя, в имени которого содержатся китайские иероглифы, работа Установщика завершается с ошибкой. Рекомендуется выполнять установку программы с правами учетной записи Local System, например, запускать установку средствами Kaspersky Security Center.
Невозможно восстановить или удалить Kaspersky Endpoint Agent 3.8 с устройства, если нарушена целостность модуля agent.exe (утилита командной строки Kaspersky Endpoint Agent 3.8).
В Kaspersky Endpoint Agent реализована функция запуска и исполнения службы Kaspersky Endpoint Agent (soyuz.exe) с признаком PPL. Эта функция обеспечивается драйвером klelaml.sys. Нарушение целостности драйвера klelaml.sys приводит к сбою при загрузке операционной системы. В этом случае рекомендуется использовать системные утилиты восстановления Windows. Отсутствие драйвера klelaml.sys при включенном признаке PPL для процесса soyuz.exe не приводит к сбою операционной системы, но вызывает аварийное завершение Kaspersky Endpoint Agent. В этом случае рекомендуется запустить Установщик программы для выполнения восстановления в тихом режиме с ключом REINSTALL=Drivers.klelam.
Невозможно запустить Установщик Kaspersky Endpoint Agent на устройстве с операционной системой, к которой применяется активная политика CodeIntegrity.
В свойствах программы Kaspersky Endpoint Agent в Консоли администрирования (в разделе "Общие") данные о статусе установки программы отображаются некорректно.
Для объектов, помещенных на карантин программой Kaspersky Endpoint Agent, не поддерживается отправка на анализ в "Лабораторию Касперского" из карантина Kaspersky Security Center.
При деактивации активных разделов политики создается событие "Политика Kaspersky Security Center активирована" (5) вместо события "Политика Kaspersky Security Center деактивирована" (7).
В блоке параметров для управления доступом на основе ролей (RBAC) в Консоли администрирования, в разделе с правами управления плагином Kaspersky Endpoint Agent отображаются флажки, соответствующие правам "Чтение" и "Выполнение операций с выборками устройств", которые не применяются к блокам параметров в Kaspersky Security Center. Если вы установите эти флажки, права "Чтение" и "Выполнение операций с выборками устройств" не будут ограничены для указанных пользователей.
К некоторым событиям Kaspersky Endpoint Agent, которые публикуются в Консоли администрирования Kaspersky Security Center, не применяются фильтры при построении выборок событий.
Не исправлены косметические ошибки в интерфейсе программы, например урезание текста в интерфейсе элементов управления.
В результатах выполнения команды agent.exe --help не поддерживается вывод справки для одной указанной команды. В консоль выводится полный перечень всех поддерживаемых утилитой команд.
В свойствах объекта, помещенного на карантин в репозиторий Сервера администрирования, в поле "User" записывается имя рабочей группы, а не имя пользователя.
Утилита командной строки agent.exe не поддерживает работу с кириллическими символами. Например, если в списке узлов Kaspersky Sandbox в параметрах Kaspersky Endpoint Agent указан узел, адрес которого содержит кириллические символы, вывод команды --sandbox=show может содержать ошибки.
Установщик Kaspersky Endpoint Agent и плагина управления Kaspersky Endpoint Agent автоматически выбирает локализацию программы на основе региональных параметров операционной системы на устройстве, где выполняется установка программы или плагина управления:
если в операционной системе используется локаль RU-RU, устанавливается русская версия Kaspersky Endpoint Agent или плагина управления Kaspersky Endpoint Agent;
если в операционной системе используется любая локаль, отличная от RU-RU, устанавливается английская версия Kaspersky Endpoint Agent или плагина управления Kaspersky Endpoint Agent.
Локализация программы влияет на язык текстов, используемых при описании модулей программы в системе и при публикации событий работы программы в журнал событий Windows и в отчеты Kaspersky Security Center. Локализация плагина управления Kaspersky Endpoint Agent влияет на язык текстов, используемых в интерфейсе программы в Консоли администрирования (интерфейс политик, групповых задач и свойств программы). Локализацию программы нельзя настроить вручную.
Обратите внимание, что при несовпадении региональных параметров на управляемых устройствах и на устройстве с установленным плагином управления Kaspersky Endpoint Agent, локализация интерфейса Kaspersky Endpoint Agent в Консоли администрирования и локализация событий, публикуемых программой в отчеты Kaspersky Security Center, могут не совпадать. Также локализация интерфейса программы в Консоли администрирования и локализация событий, публикуемых программой в отчеты Kaspersky Security Center, могут отличаться от локализации интерфейса Консоли администрирования и интерфейса совместимых EPP в Консоли администрирования.
Kaspersky Endpoint Agent сохраняет объекты в очередь перед их отправкой на проверку в Kaspersky Sandbox. Путь к папке очереди можно настроить в политике программы. По умолчанию в Kaspersky Endpoint Agent используется папка %APPDATA%\Sandbox\Queue.
В целях предотвращения ошибок интеграции с Kaspersky Sandbox учитывайте следующие рекомендации:
При изменении параметров по умолчанию убедитесь, что указанная папка существует.
При изменении параметров по умолчанию убедитесь, что пользователь Local System имеет как минимум права на запись в указанную папку.
Не удаляйте папку, которая используется для очереди. Не изменяйте атрибуты этой папки.
Для выполнения автоматического поиска IOC в политике или свойствах программы требуется указать учетные данные для входа на Сервер администрирования с правами на запись и исполнение. Если эти данные не указаны, Kaspersky Endpoint Agent не сможет автоматически создать групповые задачи поиска IOC.