Исправления и улучшения

Защита от файловых угроз

• Оптимизирован перехват файловых операций для сетевых путей.
• Оптимизирован механизм расчета атрибутов файла при его обнаружении антивирусными компонентами программы.

Защита трафика

Исправлены ошибки в обработке обращений к HTTPS-сайтам, приводящие к ложным срабатываниям и блокированию доверенных соединений.

Защита от шифрования

Для балансировки нагрузки на процессор и задержек при обработке файловых операций, реализована возможность настраивать синхронную обработку файловых операций. Синхронная обработка предполагает обработку файловых операций по очереди. При работе задачи Защита от шифрования в синхронном режиме не возрастает нагрузка на процессор, но замедляется скорость обработки файлов.

По умолчанию программа выполняет обработку файловых операций асинхронно. При работе задачи Защита от шифрования в асинхронном режиме выполняется распределение обработки файловых операций на несколько параллельных потоков, что ускоряет обработку файлов, но повышает нагрузку на процессор. Это рекомендуемый режим.

Чтобы включить синхронный режим обработки файловых операций, у параметра AntiCryptorSyncMode укажите значение REG_DWORD = 1 для ключа реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment]

Мы не рекомендуем включать синхронный режим.

Защита от шифрования

Исправлены ошибки, приводившие к ложным срабатываниям при работе с файлами формата XLSX.

Блокирование хостов

Исправлена ошибка преобразования значения LUID в IP-адрес. Без критического исправления компонент Блокирование хостов не всегда успевает выполнить преобразование LUID в IP-адрес.

Исправление увеличивает таймаут преобразования LUID в IP-адрес.

При получении IP-адреса программа помещает эти данные в хранилище заблокированных хостов. Если в хранилище уже был помещен LUID для этого хоста, программа обновляет данные.

Фактическое блокирование доступа к сетевым ресурсам сервера выполнятся сразу при обнаружении шифрования и помещении данных о хосте в хранилище заблокированных компьютеров. Регистрация события о блокировании доступа в журналах программы выполняется только после получения IP-адреса для заблокированного хоста.

При преобразовании значения LUID в IP-адрес программа использует данные из соответствующих системных событий, публикуемых в Windows Event Log. Если критическое исправление CORE13 не помогло, и программа продолжает регистрировать только значение LUID для заблокированных хостов, убедитесь, что в Windows Event Log включена публикация событий ID4624 для операционных систем Microsoft Windows Vista и новее или ID528 для Microsoft Windows XP.

Установка

Для установки критического исправления поверх версии с активной защитой паролем требуется ввод пароля. При установке укажите следующий ключ командной строки: UNLOCK_PASSWORD=<password>

При установке критического исправления обновляются модули программы:

Ограничение ответственности 

Ввиду технических ограничений частное исправление не может быть подвергнуто полному циклу тестирования для соблюдения качества программного обеспечения. АО "Лаборатория Касперского" явно отказывается от каких-либо гарантий по качеству работы и функциональности частного исправления. Если явно не указано иное, частные исправления покрываются Лицензионным соглашением (EULA), в рамках которого распространяется продукт, в частности применимо следующее ограничение ответственности В МАКСИМАЛЬНОЙ СТЕПЕНИ, ДОПУСКАЕМОЙ ПРИМЕНИМЫМ ЗАКОНОДАТЕЛЬСТВОМ, ПРАВООБЛАДАТЕЛЬ И/ИЛИ ЕГО ПАРТНЕРЫ НЕ НЕСУТ ОТВЕТСТВЕННОСТИ ЗА КАКИЕ-ЛИБО УБЫТКИ И/ИЛИ УЩЕРБ (В ТОМ ЧИСЛЕ УБЫТКИ В СВЯЗИ С НЕДОПОЛУЧЕННОЙ КОММЕРЧЕСКОЙ ПРИБЫЛЬЮ, ПРЕРЫВАНИЕМ ДЕЯТЕЛЬНОСТИ, УТРАТОЙ ИНФОРМАЦИИ ИЛИ ИНОЙ ИМУЩЕСТВЕННЫЙ УЩЕРБ), ВОЗНИКАЮЩИЕ В СВЯЗИ С ИСПОЛЬЗОВАНИЕМ ИЛИ НЕВОЗМОЖНОСТЬЮ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ДАЖЕ ЕСЛИ ПРАВООБЛАДАТЕЛЬ И ЕГО ПАРТНЕРЫ БЫЛИ УВЕДОМЛЕНЫ О ВОЗМОЖНОМ ВОЗНИКНОВЕНИИ ТАКИХ УБЫТКОВ И/ИЛИ УЩЕРБА. ЗАГРУЗИВ И УСТАНОВИВ ДАННОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, ПОЛЬЗОВАТЕЛЬ ПОДТВЕРЖДАЕТ, ЧТО ОЗНАКОМИЛСЯ С ДАННЫМИ ПРИМЕЧАНИЯМИ, СООТВЕТСТВУЮЩИМ ЛИЦЕНЗИОННЫМ СОГЛАШЕНИЕМ И УВЕДОМЛЕН О ВОЗМОЖНЫХ РИСКАХ.

Архив содержит последнюю версию исправлений, описанную в этой статье. Исправление кумулятивное и включает в себя изменения из предыдущих версий.

Если частное исправление не помогло, обратитесь в техническую поддержку.

KB14306 от 13 сентября 2018 года (CORE11) включает в себя все изменения из предыдущих критических исправлений, а также исправления для следующих компонентов:

• Защита от файловых угроз:
  • Проверка по требованию.
  • Доверенная зона.
• Использование KSN.
• Защита трафика.
• Защита от шифрования.
• Анализ журналов.
• Защита RPC-подключаемых сетевых хранилищ.
• Защита от шифрования для NetApp.
• Защита от эксплоитов.
• Интеграция с Kaspersky Managed Protection.
• Базовая функциональность.
• Интеграция с Kaspersky Security Center:
  • Защита паролем.

Исправления и улучшения

Защита от файловых угроз

Улучшены механизмы обнаружения и изолирования активных вирусов:

• Программа обнаруживает бестелесные угрозы (вирусы, запущенные в памяти и не имеющие тела на диске) при сканировании области Системная память задач проверки по требованию.
• Исправлены механизмы обработки активных вирусов при их обнаружении: программа корректно завершает зараженные процессы.
• Добавлена возможность настраивать список процессов, которые нужно считать критическими для операционной системы. Программа не будет завершать такие процессы при обнаружении активного заражения.

До применения критического исправления программа самостоятельно определяла, является ли процесс критическим для операционной системы. Присвоение статуса «критический» для процесса означает, что программа только сообщает об обнаружении угроз в таких процессах, но не завершает его автоматически.

После применения критического исправления вы можете самостоятельно указать список процессов, которые необходимо считать критическими, с помощью реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment]
"SystemCriticalProcesses"=hex(7):63,00,73,00,72,00,73,00,73,00,2e,00,65,00,78,\
00,65,00,00,00,77,00,69,00,6e,00,6c,00,6f,00,67,00,6f,00,6e,00,2e,00,65,00,\
78,00,65,00,00,00,6c,00,73,00,61,00,73,00,73,00,2e,00,65,00,78,00,65,00,00,\
00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,73,00,2e,00,65,00,78,00,65,00,\
00,00,00,00

По умолчанию в реестре прописывается список процессов в формате MULTI_SZ, который включает в себя следующие процессы:

• csrss.exe
• winlogon.exe
• lsass.exe
• services.exe
• svchost.exe

Если вы хотите, чтобы какой-то из этих процессов не считался критическим, измените MULTI_SZ-значение в указанной ветке реестра, удалив идентификатор этого процесса. Программа будет автоматически завершать процесс при обнаружении активного заражения.

Если вы хотите добавить другой процесс в этот список, измените MULTI_SZ-значение, добавив туда идентификатор процесса.

Проверка по требованию

Реализована возможность настраивать параметры использования атрибута AccessTime для файлов, проверенных задачами проверки по требованию.

По умолчанию программа восстанавливает время последнего обращения (атрибут AccessTime) к файлу после выполнения его проверки. Вы можете отключить восстановление атрибута AccessTime через реестр, если этот механизм вызывает ложные срабатывания систем резервного копирования.

Чтобы отключить восстановление времени последнего обращения к файлу после выполнения проверки по требованию, укажите в реестре следующее значение:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment]
"DontRestoreFileTimes"=dword:00000001

Доверенная зона

Оптимизированы алгоритмы преобразования масок путей доверенной зоны. Неоптимальная обработка масок путей приводила к значительному снижению производительности на серверах, где использовалась версия программы Kaspersky Security 10.1 для Windows Server. Применение критического исправления снизит расход CPU и повысит скорость обработки файловых операций.

Использование KSN

• Улучшено взаимодействие с KSN Proxy:
  • исправлена ошибка преобразования IP-адреса KSN Proxy, приводившая к ошибке запуска задачи Использование KSN на перезагрузке компьютера;
  • увеличено время ожидания ответа от прокси-сервера до 30 секунд.
• Исправлены ошибки запуска и выполнения задачи Использование KSN в режиме Локального облака, возникавшие из-за отсутствия конфигурационных файлов KPSN. Теперь программа принудительно пересоздает конфигурационные файлы на диске на основе параметров политики использования KSN, если при включенном Локальном KSN не удается найти конфигурационные файлы на диске.

Защита трафика

Исправлено потенциально критическое завершение рабочего процесса программы при записи файлов трассировок в момент сетевого перехвата.

Защита от шифрования

• Улучшены механизмы работы с файлами разных форматов:
  • Добавлена поддержка формата MDB.
  • Снижена вероятность ложных срабатываний при обработке файловых операций с файлами офисных форматов Microsoft Office.
• Оптимизирована обработка удаления файлов:
  • Уточнены алгоритмы эвристического анализатора для снижения числа ложных срабатываний: компонент Защита от шифрования точнее обрабатывает одновременное удаление нескольких файлов.
  • Реализована возможность настраивать обнаружение файловой операции гарантированного удаления. По умолчанию компонент Защита от шифрования распознает перезапись данных нулями как попытку шифрования. Если вы используете легальное программное обеспечение, которое выполняет гарантированное удаление, и не хотите, чтобы программа обнаруживала действия таких программ, укажите следующие параметры в реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\10.1\Environment]
"AllowSecureDelete" : REG_DWORD = 1

Анализ журналов

Исправлен формат публикации событий компонента Анализ журналов в консоли Сервера администрирования. Добавлены поля для регистрации данных об имени сработавшего правила задачи Анализ журналов, об идентификаторе записи в Журнале Windows (Event ID в Windows Event Log), слепок записи из Журнала Windows.

Защита RPC-подключаемых сетевых хранилищ

Исправлены ошибки потери соединения с сетевым хранилищем данных при обработке файлов офисных форматов.

Исправлены ошибки, приводившие к неполному заполнению полей в событиях задачи: в событиях об обнаружении вредоносных объектов не публиковалась информация о пользователе и адресе хоста, которые выполняли доступ к обнаруженному объекту.

Защита от шифрования для NetApp

Оптимизирован способ формирования пакетов для отправки в систему хранения данных: повышена скорость обработки объектов, полученных по протоколу FPolicy.

Защита от эксплоитов

Исправлены ошибки применения параметров защиты процессов к приложениям Modern App.

Интеграция с Kaspersky Managed Protection

Исправлены ошибки заполнения полей в статистиках, необходимых для обеспечения сервиса защиты от целевых атак.

Базовая функциональность

• Исправлены ошибки в драйвере программы, приводившие к сообщению о критической системной ошибке в операционной системе (BSoD).
• Убрана зависимость службы Kaspersky Security (kavfs.exe) от сервиса cryptsvc. Зависимость приводила к полной остановке службы Kaspersky Security в некоторых сценариях установки обновлений операционной системы. Служба не перезапускалась автоматически до следующей перезагрузки операционной системы.
• Исправлены ошибки, приводившие к увеличению размера папки Bases\Temp после каждого обновления баз.
• Исправлена ошибка, приводившая к увеличению размера файла журналов выполнения задач (файл tasks.rpt): размер файла увеличивался при большом количестве запущенных задач. Большой размер файла tasks.rpt приводил к задержке при запуске службы Kaspersky Security (KAVFS).

После применения критического исправления, большое количество запущенных задач не будет приводить к увеличению размера файла tasks.rpt. Исправление ускоряет запуск службы Kaspersky Security, если время запуска увеличивалось из-за большого файла tasks.rpt.

Применение критического исправления не уменьшает размер файла tasks.rpt, который был сформирован на диске. Мы рекомендуем вручную удалить файл tasks.rpt или воспользоваться командной KAVSHELL VACUUM.

Интеграция с Kaspersky Security Center

Исправлены ошибки:

• Отображения статуса компьютера в консоли Сервера администрирования.
• Установки связи с серверами активации.
• Формирования событий, приводившие к SQL-ошибкам на стороне Kaspersky Security Center.

Защита паролем

Вы можете выполнять операции запуска и остановки службы Kaspersky Security через параметры компьютера в консоли Сервера администрирования, даже если для этого компьютера применена политика защиты паролем. Отключение защиты пароля или его ввод не требуются.

Установка

Для установки критического исправления поверх версии с активной защитой паролем требуется ввод пароля. При установке укажите следующий ключ командной строки: UNLOCK_PASSWORD=<password>

При установке критического исправления меняются версии модулей программы:

KB14306 от 11 мая 2018 года включает в себя исправления для следующих компонентов:

• Защита трафика.
• Защита от шифрования.
• Перехват процессов Windows Subsystem Linux.
• Интеграция с Сервером администрирования.
• Диагностический интерфейс.
• Контроль запуска программ.
• Базовая функциональность.
• Использование KSN.

Базовые функции

Исправлены ошибки интеграции с Windows Security Center. При попытке передачи данных о статусе защиты сервера в Windows Security Center аварийно завершался процесс kavfs.exe (служба Kaspersky Security).

После применения критического исправления программа работает корректно.

Использование KSN

Исправлены ошибки разрешения имен в IP-адреса, указанных в параметрах KSN Proxy. При запуске программы после перезагрузки сервера выполнялось некорректное разрешение имени в IP-адрес, что приводило к внутренней ошибке выполнения задачи и ее аварийной остановке.

После применения критического исправления программа периодически выполняет попытки разрешить имя в IP-адрес и не останавливает задачу Использование KSN, если попытка разрешения была неудачной.

Защита трафика

Исправлены ошибки в алгоритмах присвоения категорий для веб-страниц. После применения критического исправления программа с большей точностью присваивает категории.

Контроль запуска программ

• Доработаны алгоритмы, позволяющие блокировать запуск бестелесных вредоносных программ с использованием PowerShell, Regsvr32.
• Исправлены ошибки обработки запусков файлов в папках, для которых созданы точки соединения NTFS (NTFS junction point). При формировании разрешающих правил контроля запуска программ с помощью задачи автоматической генерации правил программа некорректно обрабатывала файлы в папках, если такие файлы ссылались на другие логические папки с помощью junction-связи. Программа пропускала такие файлы при формировании разрешающих правил, даже если области были указаны в параметрах задачи генерации правил.

После применения исправления программа корректно обрабатывает папки, для которых созданы точки соединения NTFS. Правила, сформированные для папок с точками соединения, корректно обрабатывают запуски содержащихся в них исполняемых файлов.

• Исправлены ошибки в определении типа файла при срабатывании правил контроля запуска программ.

Защита от шифрования

• Исправлена ошибка в алгоритмах обработки файлов графических форматов. Ошибка приводила к зависанию программы при попытке анализа некоторых типов файлов JPEG.
• Исправлена ошибка с миграцией компонента Блокирование доступа к сетевым файловым ресурсам. Компонент, обеспечивающий блокирование скомпрометированных узлов сети, был реализован в виде задачи для версии программы 10.0. Ошибка в механизме обновления до версии 10.1 приводила к миграции функции в виде частично работающей и неуправляемой задачи Блокирование доступа к сетевым файловым ресурсам.

После применения критического исправления компоненты задачи, сохранившиеся от версии 10.0, становятся неактивными, функция хранилища заблокированных узлов версии 10.1 доступна в полном объеме и без ошибок.

Вы также можете использовать сборку Kaspersky Security 10.1 для Windows Server с интегрированным исправлением, если вы еще не перешли на версию 10.1. При установке версии 10.1 с интегрированным исправлением поверх версии 10.0 миграция частей задачи Блокирование доступа к сетевым файловым ресурсам не выполняется.

Защита трафика. Перехват WSL-процессов

После применения критического исправления компонент Защита трафика фиксирует имя пользователя, запустившего перехваченный WSL-процесс, в отчете выполнения задачи.

Интеграция с Kaspersky Security Center

Исправлены ошибки в формировании события о применении политики Kaspersky Security Center. После применения критического исправления программа регистрирует событие только при первом применении политики и не регистрирует аналогичное событие на каждой плановой синхронизации с Сервером администрирования.

Диагностическое окно

• Исправлены визуальные дефекты Диагностического окна.
• Исправлены ошибки в режиме запуска Диагностического окна, воспроизводившиеся на операционных системах Windows Server 2012 R2 и выше. После применения критического исправления, диалог Диагностического окна при его запуске поднимается в режиме активного.

Интеграция с Kaspersky Security Center. Защита от шифрования

Централизованный список заблокированных узлов, расположенный в Консоли Сервера администрирования, фиксировал только значение LUID для заблокированного узла, даже если для такого узла программа определила имя и адрес.

После применения критического исправления Сервер администрирования получает корректную информацию о заблокированном узле.

Интеграция с Kaspersky Security Center. Защита трафика

События по обнаружению от компонента Защита трафика некорректно отображали скомпрометированный URL-адрес HTTPS-страницы при публикации событий на Сервере администрирования: отображалась только часть веб-адреса, определяющая протокол соединения.

После применения критического исправления поле отчета, содержащее скомпрометированный URL-адрес, отображается полностью.