Ограничения текущей версии программы
В Kaspersky Anti Targeted Attack Platform версии 5.0 известны следующие ограничения:
- При обновлении программы до версии 5.0 устанавливается неотказоустойчивая версия программы. Данные программы в процессе обновления сохраняются.
- Для обновления компонента Central Node на сервере с этим компонентом требуется предварительно запустить скрипт. Скрипт входит в комплект поставки программы.
- Если компонент Central Node установлен на виртуальном сервере, перед обновлением программы вам нужно убедиться, что для виртуальной машины выбран режим загрузки BIOS. Если для виртуальной машины выбран режим загрузки EFI, при установке обновления произойдет ошибка.
Ограничения, действующие при развертывании компонента Central Node:
Пароль для учетной записи локального администратора предустановлен. Вы можете изменить пароль в веб-интерфейсе программы.
Ограничения, действующие при развертывании компонента Central Node в виде кластера:
- Кластер Central Node должен включать минимум 4 сервера: 2 сервера хранения и 2 обрабатывающих сервера. Вы можете масштабировать кластер для увеличения количества обрабатываемого трафика или количества подключенных хостов в соответствии с Руководством по масштабированию.
- Рекомендуется добавлять в кластер серверы с одинаковой аппаратной конфигурацией. В противном случае пропорциональное увеличение производительности не гарантируется.
- Добавление в кластер дополнительного сервера не ускоряет обработку объектов, которые уже находятся в очереди на проверку.
- Веб-интерфейс программы может быть недоступен некоторое время при отказе сервера, на котором он расположен.
- При отказе обрабатывающего сервера возможна потеря полученных по протоколам ICAP, POP3 и SMTP данных трафика и копий сообщений электронной почты, которые ждут обработки, и обнаружений, связанных с ними.
- Если для обрабатывающего сервера настроено получение зеркалированного трафика со SPAN-портов, то при выходе из строя этого сервера SPAN-трафик не обрабатывается.
- Возможна временная рассинхронизация данных в базе событий при отказе одного из серверов кластера или временной потере связи между сервером и программой Kaspersky Endpoint Agent.
- При изменении конфигурации серверов кластера возможно временное замедление обработки трафика и событий с хостов с Kaspersky Endpoint Agent.
Ограничения, действующие для компонента Sandbox:
Если набор операционных систем, установленных на сервере Sandbox, не совпадает с набором, выбранным на сервере Central Node, Kaspersky Anti Targeted Attack Platform не отправляет объекты на проверку серверу Sandbox. При подключении к серверу Central Node нескольких серверов Sandbox программа отправляет объекты на проверку тем серверам Sandbox, на которых установлены операционные системы, соответствующие выбранному на Central Node набору.
Ограничения программы, действующие при интеграции с Kaspersky Endpoint Agent для Windows:
- Задачи получения дампа оперативной памяти и образа диска могут быть назначены только на хосты с программой Kaspersky Endpoint Agent для Windows версии 3.14.
- Задачи получения дампа памяти процесса, метафайлов NTFS и ключа реестра могут быть назначены только на хосты с программой Kaspersky Endpoint Agent для Windows версии 3.13 и выше.
- Задача проверки хостов с помощью правил YARA может быть назначена только на хосты с программой Kaspersky Endpoint Agent для Windows версии 3.12 и выше. При одновременном назначении задачи на хосты с Kaspersky Endpoint Agent 3.12 и выше, а также на хосты с более ранними версиями программы задача выполняется только на хостах с Kaspersky Endpoint Agent 3.12 и выше.
Если в качестве области проверки выбраны точки автозапуска, задача выполняется только на хостах с Kaspersky Endpoint Agent 3.13 и выше.
Ограничения программы, действующие при интеграции с Kaspersky Endpoint Agent 3.12 для Linux:
- Для хостов с установленной программой Kaspersky Endpoint Agent для Linux недоступны следующие функции:
- Сетевая изоляция хоста.
- Создание правил запрета.
Программа не создает уведомления о неуспешном применении правила запрета на хостах с программой Kaspersky Endpoint Agent для Linux.
- Поиск индикаторов компрометации на хостах с помощью IOC-файлов.
Программа не создает уведомления о неуспешном поиске индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent для Linux.
- В результате поиска угроз по базе событий по критерию OSVersion отображаются только хосты с программой Kaspersky Endpoint Agent для Linux. Хосты с программой Kaspersky Endpoint Agent для Windows в результате поиска не отображаются.
- Поле Версия ОС в информации о событии заполняется только для событий, записанных в базу событий Kaspersky Endpoint Agent для Linux. В информации о событиях, записанных в базу событий Kaspersky Endpoint Agent для Windows, поле не заполняется.
- Список событий, которые Kaspersky Endpoint Agent для Linux записывает в базу событий, ограничен следующими типами:
- Список задач, которые вы можете создать на хостах с программой Kaspersky Endpoint Agent для Linux, ограничен следующими типами:
- В информации о событиях, записанных в базу событий программой Kaspersky Endpoint Agent для Linux, в поле Время создания отображается время изменения файла.
В Kaspersky Endpoint Agent 3.14 для Windows известны следующие ограничения:
- Для корректной работы Kaspersky Endpoint Agent необходима поддержка SHA-2 в Windows.
- При создании инсталляционного пакета в Kaspersky Security Center версии 12 и выше для установки Kaspersky Endpoint Agent на устройства под управлением Windows XP необходимо использовать файл запуска установки (setup.exe) из инсталляционного пакета, созданного в Kaspersky Security Center версии 10.5.
- В Kaspersky Security Center версии 13.2 и выше для установки Kaspersky Endpoint Agent на устройства под управлением Windows XP необходимо использовать стандартный дистрибутив Kaspersky Endpoint Agent версии 3.14, а не инсталляционный пакет, созданный в Kaspersky Security Center.
- Установщик не может остановить службу soyuz до тех пор, пока не завершится инициализация службы. Например, установщик возвращает ошибку Неверный пароль при попытке удалить или изменить конфигурацию программы сразу после завершения установки, так как служба soyuz не завершила инициализацию и не может быть остановлена.
- Невозможно восстановить или удалить Kaspersky Endpoint Agent с устройства, если нарушена целостность модуля agent.exe (утилита командной строки Kaspersky Endpoint Agent).
- В Kaspersky Endpoint Agent реализована функция запуска и исполнения службы Kaspersky Endpoint Agent (soyuz.exe) с признаком PPL. Эта функция обеспечивается драйвером klelaml.sys. Нарушение целостности драйвера klelaml.sys приводит к сбою при загрузке операционной системы. В этом случае рекомендуется использовать системные утилиты восстановления Windows. Отсутствие драйвера klelaml.sys при включенном признаке PPL для процесса soyuz.exe не приводит к сбою операционной системы, но вызывает аварийное завершение Kaspersky Endpoint Agent. В этом случае рекомендуется запустить Установщик программы для выполнения восстановления в тихом режиме с ключом REINSTALL=Drivers.klelam.
- После установки, восстановления, изменения набора компонентов или удаления Kaspersky Endpoint Agent, рекомендуется выполнить перезагрузку операционной системы в ближайшее доступное время, поскольку настройка некоторых параметров программы может быть завершена только в момент запуска операционной системы.
- Невозможно запустить Установщик Kaspersky Endpoint Agent на устройстве с операционной системой, к которой применяется активная политика CodeIntegrity.
- Компонент запрета открытия документов имеет следующее ограничение: правила блокирования открытия документов не применяются к объектам, которые открываются с использованием OLE-автоматизации.
- Перед отправкой событий телеметрии на сервер KATA Central Node программа Kaspersky Endpoint Agent сохраняет данные в очередь событий. Если очередь событий превышает 10000 необработанных событий, Kaspersky Endpoint Agent не размещает события в очереди, пока в очереди не появятся места.
- При работе программы Kaspersky Endpoint Agent на устройствах с операционной системой Windows 7 программа исключает из телеметрии данные о сетевых соединениях, относящихся к процессам с идентификаторами PID=4 и PID=0.
- Если программа Kaspersky Endpoint Agent используется на одном устройстве с программой Kaspersky Endpoint Security, и в программе Kaspersky Endpoint Security установлен компонент, обеспечивающий файловое шифрование (FLE), программа Kaspersky Endpoint Agent не регистрирует события телеметрии о загрузке модулей (LoadImage) и не отправляет их компоненту KATA Central Node.
- Если при настройке параметров исключения из сетевой изоляции для критерия Приложение указано больше одной программы, Kaspersky Endpoint Agent разрешит подключение только для первой программы из списка. Сетевые подключения для остальных указанных программ будут проигнорированы. Ограничение воспроизводится при изоляции устройств, работающих под управлением операционных систем Windows 7 и Windows Server 2008 R2.
- При проверке индикаторов компрометации, поиск которых предполагает разбор текстовых строк, по условию is учитывается наличие пробелов, а также необходимость экранировать описание индикатора в IOC-файле символами CDATA. Например, чтобы обнаружить объект с копирайтом Copyright (C) 1998-2017 John Smith по условию
is
, необходимо указать описание индикатора в следующем формате: <Content type="string"><![CDATA[Copyright (C) 1998-2017 John Smith]]></Content>. Для упрощения описания индикаторов можно также использовать условие contains
. - Для объектов, помещенных на карантин программой Kaspersky Endpoint Agent, не поддерживается отправка на анализ в "Лабораторию Касперского" из карантина Kaspersky Security Center.
- В секциях параметров для управления доступом на основе ролей (RBAC) в Консоли администрирования, в разделе с правами управления плагином Kaspersky Endpoint Agent отображаются флажки, соответствующие правам "Чтение" и "Выполнение операций с выборками устройств", которые не применяются к блокам параметров в Kaspersky Security Center. Если вы установите эти флажки, права "Чтение" и "Выполнение операций с выборками устройств" не будут ограничены для указанных пользователей.
- К некоторым событиям Kaspersky Endpoint Agent, которые публикуются в Консоли администрирования Kaspersky Security Center, не применяются фильтры при построении выборок событий.
- Установщик Kaspersky Endpoint Agent и плагина управления Kaspersky Endpoint Agent автоматически выбирает локализацию программы на основе региональных параметров операционной системы на устройстве, где выполняется установка программы или плагина управления:
- Если в операционной системе используется локаль RU-RU, устанавливается русская версия Kaspersky Endpoint Agent или плагина управления Kaspersky Endpoint Agent.
- Если в операционной системе используется любая локаль, отличная от RU-RU, устанавливается английская версия Kaspersky Endpoint Agent или плагина управления Kaspersky Endpoint Agent.
Локализация программы влияет на язык текстов, используемых при описании модулей программы в системе и при публикации событий работы программы в журнал событий Windows, и на отчеты Kaspersky Security Center. Локализация плагина управления Kaspersky Endpoint Agent влияет на язык текстов, используемых в интерфейсе программы в Консоли администрирования (интерфейс политик, групповых задач и свойств программы). Настройка локализации программы вручную не поддерживается.
Обратите внимание, что при несовпадении региональных параметров на управляемых устройствах и на устройстве с установленным плагином управления Kaspersky Endpoint Agent, локализация интерфейса Kaspersky Endpoint Agent в Консоли администрирования и локализация событий, публикуемых программой в отчеты Kaspersky Security Center, могут отличаться. Также локализация интерфейса программы в Консоли администрирования и локализация событий, публикуемых программой в отчеты Kaspersky Security Center, могут отличаться от локализации интерфейса Консоли администрирования и интерфейса совместимых EPP в Консоли администрирования.
- После установки, восстановления, изменения набора компонентов или удаления Kaspersky Endpoint Agent, рекомендуется выполнить перезагрузку операционной системы в ближайшее доступное время, поскольку настройка некоторых параметров программы может быть завершена только в момент запуска операционной системы.
- Если при запуске групповых задач выставлено расписание запуска При запуске программы, в истории выполнения задачи статус выполнения задачи обновляется с отсрочкой. По этой причине в некоторых случаях в истории выполнения задачи не будут отображаться статусы выполнения задачи.
- Если операционная система активирована по корпоративной лицензии (Volume License), то после установки Kaspersky Endpoint Agent из-за установки сетевых драйверов программы может потребоваться повторная активация операционной системы.
- В операционных системах Windows XP и Windows Vista в событиях телеметрии, отправляемых на сервер сбора телеметрии, может отсутствовать некоторая информация о файлах. Это связано с тем, что возможность получения некоторой информации о файлах появилась в более поздних версиях операционных систем MS Windows.
В Kaspersky Endpoint Agent 3.12 для Linux известны следующие ограничения:
- Kaspersky Endpoint Agent для Linux не поддерживает работу с системами принудительного контроля доступа AppArmor и SELinux в блокирующем режиме работы этих систем. Для корректной работы программы данные системы должны быть переведены в разрешающий режим работы.
- Для работы Kaspersky Endpoint Agent для Linux на устройствах должен быть установлен компонент Linux Audit Daemon версии 2.8 или выше.
- Для связи Kaspersky Endpoint Agent для Linux с программой Kaspersky Endpoint Security для Linux используется сервис rsyslog с загруженным модулем imuxsock. Чтобы проверить, загружен ли модуль imuxsock в конфигурации сервиса rsyslog, запустите следующую команду: grep -r imuxsock /etc/rsyslog*. Если строка загрузки модуля закомментирована, удалите знак комментирования # в начале строки и перезапустите сервис rsyslog для сохранения изменений.
В начало