Trucs et astuces Kaspersky

Kaspersky Endpoint Security 8 for Linux permet de protéger les postes de travail fonctionnant sous les systèmes d’exploitation Linux (32 et 64 bits) contre les virus et les programmes malveillants. Le logiciel combine les fonctionnalités de deux précédentes versions : Kaspersky Anti-Virus 5.7 for Linux Workstations et Kaspersky Anti-Virus 5.5 for SAMBA Servers, et intercepte les accès aux fichiers selon deux façons :

• au niveau du noyau (appliqué comme module du noyau)
• au niveau SAMBA.
  

L'application permet de :

• Assurer la protection en temps réel du système de fichiers contre tous codes malveillants
• Analyser à la demande (manuelle ou planifiée) du système de fichiers contre tous codes malveillants
• Mettre les objets infectés et suspects en quarantaine, une copie du fichier est conservée avant suppression ou réparation ;
• Actualiser les bases (les mises à jour sont effectuées à partir des serveurs de mise à jour ou du Serveur d’administration de Kaspersky Lab ; de même, il est possible de configurer Kaspersky Endpoint Security de sorte que les bases soient mises à jour depuis un répertoire local) ;
• Gérer le programme et configurer les paramètres de fonctionnement à l’aide de l’utilitaire de console d’administration, de Kaspersky Administration Kit et de l’interface graphique.
  

L'application utilise une interface graphique intégrée aux environnements GNOME ou KDE.


Paquets d’installation de type RPM ou Debian. Plus d'informations : Lien

La nouvelle version de produit Kaspersky Endpoint Security 8 for Mac CF2, version 8.0.6.863 est disponible.
Cette version apporte des correctifs (Critical Fix).
Pour des informations complémentaires cliquer ici.

Il y a une question légitime qui revient souvent , "Quelle préconisation faites-vous pour la mise en place des exclusions pour mon système d'exploitation ou les services applicatifs présents ?" . En fait ce ne sont pas des préconisations Kaspersky mais des préconisations faites par les éditeurs tiers tels que Microsoft, Oracle ou Citrix.
Dans les nouvelles versions de produit Kaspersky Anti-Virus 8.0 for Enterprise Edition ou Storage vous trouverez des listes prédéfinies d’exclusions qui ont été reprises selon les recommandations des éditeurs tiers.



En effet l'éditeur de sécurité ne peut avoir le recul nécessaire sur les fichiers ou répertoires à exclure au niveau par exemple de la protection temps réelle qui pourrait engendrer un blocage ou un ralentissement sur des fichiers qui ne peuvent ou ne doivent pas être verrouillés par une analyse.

Pour Microsoft voici quelques FAQ :
Hyper-V: http://support.microsoft.com/kb/961804/en-us
Windows Servers (2000, 2003, 2008 , 2008 R2): http://support.microsoft.com/kb/822158/en-us
Global: http://support.microsoft.com/kb/943556/en-us

Quelques exemples dans les FAQs Kaspersky:
Microsoft : http://support.kaspersky.com/faq/?qid=208280806
Citrix : http://support.kaspersky.com/corporate/find?words=citrix&faq_id=&search=search
Oracle : http://support.kaspersky.com/faq/?qid=208283557

Voici un fichier Excel regroupant une liste compilée : Liste exclusions
A noter : que les chemins d'installation peuvent être différents il faudra donc les adapter à votre instalaltion.

Par défaut lors de l'installation de la base de données Microsoft SQL Express Edition (2005/2008/2008 R2) il n'y a pas de limitation de la mémoire utilisée (maximum 2 Go).
Microsoft préconise en fonction de la mémoire disponible de limiter celle-ci.
Voici un tableau reprenant les valeurs à mettre en place en fonction de la mémoire disponible:



Voici 2 scripts batch pour limiter l’utilisation mémoire de Microsoft SQL Express de l’instance Kaspersky (merci à Thierry). Lien

Infos_Config_Memoire.bat : renvoie l’info sur la configuration mémoire actuelle.
Exemple :



Reduction_a_512MB.bat : réduis l’empreinte à 512Mo
Exemple :



Pour changer la taille de l’empreinte mémoire, il suffit de modifier dans le script Reduction_a_512MB.bat la valeur : “sp_configure 'max server memory (MB)',XXX” ou XXX est la taille souhaitée en MB

Nota : Les 2 scripts doivent être exécutés en mode administrateur.

ATTENTION !!! Cela ne fonctionne QUE si le nom de l’instance n’as pas été changé. !!! sinon il faut modifier dans les scripts les valeurs: "%computername%\KAV_CS_ADMIN_KIT" par "%computername%\nom_d'instance"
Pour connaitre le nom d'instance il suffit d'ouvrir le gestionnaire de services Windows et de vérifier le nom de l'instance dans le nom du service SQL server:

L'autre possibilité pour changer la taille mémoire est d'utiliser l'outil graphique Microsoft SQL Server Management Studio Express que l'on peut télécharger gratuitement sur le site de Microsoft : Lien de recherche.

Ouvrir les propriétés du serveur et changer la valeur en fonction de la mémoire disponible:

La nouvelle version de protection pour les serveurs MS Exchange 2007 et 2010 est disponible.
Le produit embarque les nouvelles générations de moteurs Kaspersky Antivirus et Antispam.




Le produit s'installe au niveau des rôles EDGE, HUB et Mailbox. Il permet de protéger les boîtes aux lettres, les dossiers publiques et le trafic de messagerie contre les programmes malveillants et le courrier indésirable.
Fonctions principales :
1. Analyser le courrier entrant et sortant ainsi que les messages stockés dans les banques d'information de Microsoft Exchange Server (y compris dans les dossiers publiques) afin de détecter d'éventuels objets malveillants.
2. Filtrer les messages non sollicités (spam).
3. Conserver une copie de sauvegarde des objets et des messages non sollicités avant le traitement ou la suppression (quarantaine), ce qui permet de restaurer et de renvoyer les messages aux destinataires.
4. Signaler à l'expéditeur, au destinataire et à l'administrateur de la protection antivirus les messages contenant des objets malveillants.
5. Création de journaux d'événements, récolter des statistiques et créer des rapports réguliers sur le fonctionnement de l'application. L'application permet créer des rapports manuellement ou selon une planification.
6. Gestion de listes blanches et noires des expéditeurs et des destinataires.
7. Permet de maintenir les bases de l'Anti-Virus (en moyenne toutes les heures) et de l'Antispam (en moyenne toutes les heures) à jour grâce aux mises à jour réalisées manuellement ou automatiquement.
8. Administrer la protection antivirus au niveau des banques d'informations et exclure des listes des banques protégées.
9. Administrer les licences.
10. Utilisation d'un service Cloud de détection des Spams (technologie UDS).
11. Détection par consultation de listes RBL et SURBL (sources de données Kaspersky ou externes).

Lien produit: Kaspersky Security for Microsoft Exchange Servers
Téléchargement: Informations produit

Parfois il arrive que l'on ne peut pas mettre à jour un plugin d'administration car l'installeur indique que le composant est déjà installé.
L'application n'étant pas affichée dans Ajout/Suppression de programme il faut retrouver la commande pour désinstaller l'application.

Ouvrir l'outil Regedit depuis le menu Démarrer\exécuter:



Rechercher la commande dans la clé UninstallString située dans : HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\28\Plugins\"plugin MSI ID"


Après avoir fermer la console d'administration Kaspersky Administration Kit, faire un copié/collé dans Démarre\exécuter ou dans une fenêtre d'invite de commandes pour lancer la désinstallation

Comment activer les logs du composant IDS de Kaspersky Antivirus For Windows Workstation MP4.

Désactiver l'autodéfense du logiciel afin d'autoriser la modification de la base de registre:



Pour activer les logs télécharger le fichier Kl1med.reg et exécuter la modification. Redémarrer le poste

Pour désactiver les logs télécharger le fichier kl1OFF.reg et exécuter la modification. Redémarrer le poste.

Procédure de visualisation de la valeur SCL dans Microsoft Outlook 2003:

Copier le fichier SCL scl.cfg dans le dossier :
C:\Program Files\Microsoft Office\OFFICE11\FORMS\1036
Ouvrir Microsoft Outlook
Ouvrir le menu : Outils\ Options\ autres \Options Avancées\ Formulaires Personnalisés\ Gérés les formulaires


Installer le fichier : C:\Program Files\Microsoft Office\OFFICE11\FORMS\1036\ scl.cfg
Fermer toutes les boites de dialogue.
Faire un clic droit avec la souris sur les colonnes d'affichage d'Outlook.



Sélectionner Personnaliser l'affichage en cours.


Sélectionner le bouton Champs


Dans la liste déroulante sélectionner Formulaires…
Sélectionner SCL Forms puis sur le bouton ajouter.


Fermer la boite de dialogue.


Sélectionner SCL puis ajouter.


Exemple d'affichage :


Kaspersky ajoute la valeur 6 au champ SCL.

Le statut "Perte de contrôle" est attribué aux ordinateurs pour lesquels l'Agent de communication est installé, qui ne sont pas venus se connecter au serveur d'administration depuis un certain temps mais qui sont détectés comme étant actifs sur le réseau.


Quand et comment se connecte l'agent au serveur d'administration ?

L'agent se connecte en fonction d'un délai fixé dans la stratégie de configuration de l'agent de communication (par défaut toutes les 15 mn) :



Il se connecte au serveur d'administration par défaut en SSL sur le port TCP 13000. Si le client ne se connecte pas au serveur dans un délai fixé par le délai de visibilité des propriété du serveur d'administration le poste est considéré comme inactif.



Une fois le poste considéré comme inactif le serveur d'administration envoi des requêtes icmp (ping) aux postes clients. Dans le cas où le poste client répond il sera mis en statut "Contrôle perdu" car pour le serveur d'administration l'agent de communication normalement installé ne se connecte plus au serveur d'administration.

Astuce : Fixer la valeur du délai de visibilité des postes à au moins 3 x "le délai de communication" des agents soit au minimum à 45 mn (60 par défaut). En effet une valeur trop proche pourrait générer des postes en état "contrôle perdu".

Pour désactiver cette fonction :



Décocher la case "Contrôle perdu" dans les propriétés du groupe de gestion.

Pour désactiver les requêtes ICMP concernant cette fonction au niveau du serveur d'administration ajouter la clé “HstAvMaxUnavPeriod” de type DWORD dans la clé de registre “HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1093\1.0.0.0\ServerFlags” et lui attribuer la valeur "0".