Jump to content

alexcad

Moderators
  • Content Count

    2,897
  • Joined

  • Last visited

Everything posted by alexcad

  1. Um die Verwirrung mit Doppelpost, etc. komplett zu machen: eigentlich ist folgender Aufruf ausreichend. msiexec.exe /i ks4wstools_x64.msi EULA=1 PRIVACYPOLICY=1 /qn D. h.: wenn du aus der "ks4wstools_x64.msi" ein Installationspaket erstellst musst du folgende Parameter mitgeben: EULA=1 PRIVACYPOLICY=1 /qn Grüße Alex
  2. OK, wieder was gelernt Bzgl. der Benutzerkonten: hier gibt Kaspersky (nur) allgemeine Best-Practice-Empfehlungen weiter - die Aussage bezieht sich aber auf "...Benutzerkonten mit erweiterten Rechten...". Sprich: hier sollte man vielleicht nicht unbedingt den allgemeinen Domänen-Admin nehmen, sondern eben einen speziellen Service-Account, der nur über die erforderlichen Rechte verfügt. Grüße Alex S.
  3. Hallo Steffen, die beiden genannten Punkte sollte man so genau NICHT machen 1.) Ziel sollte es sein, dass man möglichst alles über den Agent ausführen lässt - nur eben die Agentverteilung nicht. Problem, wenn man KES und Agent-Installation in eine Aufgabe packt: Die KES-Installation startet erst, wenn der Agent fertig installiert und gestartet ist und mind. einmal den Admin-Server erreichen konnte - und das kann eine Weile dauern. Daher rennt die KES-Installation oft ins Time-out oder kann z. B. gar nicht starten, wenn der Admin-Server nicht erreichbar ist. Meine Empfehlung: filtere neue Systeme (z. B. AD-Abfrage) ohne Agent und starte darauf die Agent-Installation mit den oben gezeigten Einstellungen. Anschließend sollte eine Verschieberegel die neuen, noch unverwalteten Systeme mit Agent in die Verwaltung einsortieren. Auf einen Filter "verwaltete Clients ohne Schutz" lässt man dann die KES-Installation über den Agent los. (Analog natürlich auch für Server mit KS10.1.1 WS möglich). 2.) Wenn hier beide Haken gesetzt sind und bereits ein Agent vorhanden ist überträgt das KSC das Installationspaket über beide Wege, was zuerst ankommt gewinnt. Man erzeugt unnötig Traffic , zumal ja auch das Agent-Installationspaket in diesem Fall unnötig übertragen wird. Warum das bei euch anscheinend ohne hinterlegten Benutzer funktioniert haben soll kann ich mir nicht erklären. Tatsächlich spielt bei diesem Vorgang das Dienste-Konto des KSC nach meinem Verständnis überhaupt keine Rolle. Grüße Alex
  4. Wenn wir jetzt mal nur die Installationsaufgaben betrachten: Eigentlich werden nahezu alle Aufgaben auf einen vorhandenen Agent gepusht und dann von diesem im gleichen Kontext "Lokales System" ausgeführt. Wenn ein Agent vorhanden ist die beste und einfachste Möglichkeit, da das Konto "Lokales System" weitreichende Berechtigungen hat. Die Einstellung in der Aufgabe sieht dann so aus: Die einzige Installation für die das natürlich nicht funktioniert ist folgerichtig die Erst-Installation des Netzwerkagenten. Hier benötige ich für die Aufgabe ein Konto, das über lokale Admin-Rechte auf den Zielsystemen verfügt (Details s. U.). Das ist in der Regel ein Domänen-Konto, das speziell für die lokale Administration von Systemen erstellt wird (also ohne Dom-Admin-Berechtigungen) - kann aber auch ein lokales Konto sein, z. B. für Systeme die nicht Mitglied einer Domäne sind. Der Installationsaufgabe lassen sich auch mehrere Konten mitgeben, die von oben nach unten durchprobiert werden. Die Einstellung sieht dann so aus: In diesem Fall muss das Benutzerkonto auf dem Client-Gerät über folgende Berechtigungen verfügen, siehe https://help.kaspersky.com/KSC/SP3/de-DE/11352.htm : Rechte für die Ressource Admin$ Recht für den Remote-Start von Anwendungen Recht "Als Dienst anmelden" Wenn diese Aufgabe startet versucht das KSC das Installationspaket auf die Freigabe "admin$" des Zielsystems zu kopieren. Nach erfolgreichem Kopiervorgang wird das Setup auf dem Zielsystem mit msiexec gestartet (Recht für den Remote-Start von Anwendungen). Während der Installation müssen die Kaspersky-Dienste registriert werden (Recht "Als Dienst anmelden"). Grüße Alex
  5. Hallo m.hessling, wozu soll das gut sein? Die Benachrichtigungen bzgl. gefundener Bedrohungen und deren Bearbeitung gelten für alle Schutzkomponenten und Aufgaben , also auch für die Untersuchung von Wechseldatenträgern - das ist meiner Meinung nach mehr als ausreichend. Grüße Alex S.
  6. Hallo phatair, das KSC ist der Adminserver - von daher gibt es da nur einen Dienst. Woher kommt die Info, auf der deine Frage basiert? Im wesentlichen werden bei einer Standardinstallation des KSC folgende Dienste angelegt und dazu automatisch auch zwei Konten: Das Konto für den Admin-Server sollte man auf keinen Fall nachträglich manuell ändern, dafür gibt es einen Assistenten, in der Programmgruppe zu finden: Bei der Installation des KSC lassen sich aber durchaus andere Konten auswählen, es müssen nicht die automatisch generierten übernommen werden. Die Dienste für Netzwerkagent und Schutzprodukte laufen mit den Standardeinstellungen mit dem Konto "Lokales System". Entsprechend werden Aufgaben, die ich über den Agent bzw. die Schutzprodukte ausführe im gleichen Kontext gestartet. Wobei sich den Aufgaben für die Schutzprodukte in den Einstellungen abweichende Konto-Informationen mitgeben lassen: Grüße Alex
  7. Ich fürchte, da kann dir nur der Support weiter helfen. Zumindest lässt es sich auf die Gerätekontrolle eingrenzen. Grüße Alex
  8. Hallo evilme, willkommen im Forum. Damit sind die lokalen Ressourcen auf den -mit dieser Richtlinien-Einstellung versorgten- verwalteten Systemen gemeint. Wie weiter Oben schon angemerkt: "Dieser Schalter reduziert nur die Größe der Antiviren-Datenbank (also Mustererkennung, etc.) - damit kommt der KSN-Abfrage noch mehr Bedeutung zu." Auch wenn die komplette Datenbank momentan über 9 Millionen Muster enthält sollte das allerdings einigermaßen zeitgemäße Hardware mit 8GB RAM oder mehr nicht sonderlich belasten. Ich tendiere dazu diesen Schalter nicht zu setzen. Grüße Alex
  9. Hallo Andy-83, vielen Dank für die ausführlichen Infos. Damit ich das Konstrukt richtig verstehe: auf den IGEL (ZeroClient) selbst läuft vermutlich IGEL Linux OS, der VMware View Client schleift die Hardware in die Windows 7 VDI Desktops durch? Ein Problem sehe ich in der veralteten VMware-Installation (ESX und View/Horizon). Version 5.0 ist doch sehr in die Jahre gekommen und wird von KES11 offiziell nicht unterstützt - was nicht bedeuten muss, dass es nicht läuft. Für KES 10.3.0.6294 wäre eigentlich auch ESX 5.5 gefordert. Falls die Gerätekontrolle über KES nicht eingesetzt wird, wäre mein erster Test: Installation der KES11 ohne das Modul "Gerätekontrolle". Die Schutzmodule lassen sich in den Eigenschaften der Installationspakete aus- und ab-wählen. Grüße Alex
  10. Hallo René; 1.) Ja, klar - die aktuelle Version ist 10.1.1.1746 , siehe https://forum.kaspersky.com/index.php?/topic/357159-infos-zu-ks10ws-kaspersky-security-10-für-windows-server/ Das Thema KS10 WS ist mit den neuen Versionen 10.1 und 10.1.1 wesentlich komplexer geworden und bietet leider ein paar Fallgruben. Die Konfiguration der Installationspakete, Richtlinien und Aufgaben sollte man mit Bedacht durchführen. 2.) Nein, kein Problem. Du kommst ja dadurch in der Summe nicht über dein Limit. Und Verwaltungsserver kannst du ohne Limit installieren (z. B. Stichwort: Standortanbindung). 3.) Einfach löschen (Archiv-Backup ist immer von Vorteil). Wenn du irgendwelche Compliance-Regeln bzgl. Incidents, etc. beachten musst solltest du dir vor dem Löschen nochmal die entsprechenden Reports ziehen und archivieren. Grüße Alex
  11. Hier ist es ganz gut, wenn man das über seinen Partner erstellen lässt. Grüße Alex
  12. Hallo René, in deinem Fall (SQL-Umzug, neuer Server 2016) würde ich ganz klar zu einer parallelen Neuinstallation raten. Auch eine Gelegenheit Altlasten über Bord zu werfen. Richtlinie und Aufgaben lassen sich exportieren bzw. importieren - oft ist es aber auch hier besser alles mal auf den Prüfstand zu stellen und neu zu machen. Ggf. muss man nur wenige Ausnahmen/Konfigurationen übernehmen/übertragen. Die neuen Windows 10 Systeme lassen sich sofort an den neuen KSC binden, bestehende Systeme kann man per Aufgabe auf den neuen Server verschieben: Bzgl. Kaspersky-Version und Betriebssystem: - auf Windows-Servern sollte generell KS10 WS zum Einsatz kommen, nicht die KES. - Für Windows 10 RS5 benötigst du KES10SP2_MR3 oder besser KES11.0.1.90, siehe https://support.kaspersky.com/de/13036 Grüße Alex
  13. Da muss ich passen ... Bei uns sieht das nach einem Zertifikat aus, das bei der Installation des iOS-MDM-Servers auf Basis der angegebenen öffentlichen Adresse erstellt wurde. Keine Ahnung, wie sich das aktualisieren lässt. Vielleicht fragst du mal beim Support an? Grüße Alex
  14. Copy + Paste? Sonst wende dich an den Support. Grüße Alex
  15. Die Programmkontrolle bindet immer auf Programm-Kategorien. Diese werden im KSC unter "Erweitert" - "Programmverwaltung" - "Programmkategorien" erstellt und gepflegt. Grüße Alex
  16. Bitte stoppe und lösche die im Dialog genannte Installationsaufgabe, dann sollte es funktionieren. Grüße Alex
  17. (In Schritt 4 muss das von Apple generierte Zertifikat angegeben werden. Die Datei hat die Endung .pem) Sorry, da war ich auf dem falschen Pfad - das Problem besteht ja nicht beim Apple Push Zertifikat, sondern beim iOS MDM Server - richtig? Grüße Alex
  18. Da fällt mir nur eine Möglichkeit ein: ... und hier dann die mit Copy und Paste die eigentliche Empfängeradresse eingeben. Grüße Alex
  19. Du musst jedesmal den kompletten Vorgang durchlaufen. Siehe https://help.kaspersky.com/KSC/SP3/de-DE/159855.htm Wichtig ist dabei, dass der Dialog im KSC während des gesamten Vorgangs NICHT geschlossen wird, sonst startet der Assistent wieder bei Null und die Zertifikate stimmen nicht überein. Grüße Alex
  20. Welche Version ist im Einsatz? Grüße Alex
  21. Da läuft anscheinend noch eine Installationsaufgabe - die sollte vorher beendet sein. Damit die Schlüssel richtig verteilt werden sollten diese: Im Security Center hinterlegt und zur automatischen Verteilung freigegeben sein. In den Installationspaketen richtig hinterlegt - oder besser: nicht hinterlegt sein (es greift dann die automatische Verteilung): Grüße Alex
  22. Die Ansicht ist bei dir so OK, sofern sich im Ordner "Workstations with KES" keine Geräte befinden. Dann greift auf den Geräten in den beiden Unterordnern jeweils die untergeordnete Richtlinie - und das wird entsprechend mit dem Kreisdiagramm angezeigt. Grüße Alex
  23. Hallo silvioschmidt, willkommen im Forum. Bitte nenne immer die Produkte mit Versionsnummer, Patchlevel, etc. Die Business-Produkte werden normalerweise zentral über das "Kaspersky Security Center" verwaltet. Hierüber lassen sich auch die Schlüssel verwalten und zuweisen, z. B. mit einer Aufgabe "Schlüssel hinzufügen" für KES11. Grüße Alex
  24. Es steht dir jederzeit frei dich an einen (anderen) Kaspersky Partner zu wenden. Hier gibt es einen "Partner-Finder" https://www.kasperskypartners.com/?eid=global&lang=de-de Alle Partner ab Stufe "Silber" verfügen über zertifizierte Techniker. Viele Partner bieten auch Managed Services an, d. h. du kannst das Thema Kaspersky ganz oder in Teilen an einen Dienstleister abgeben. Dokus findest du auf den Support-Seiten, z. B. https://support.kaspersky.com/de/ksc10#downloads Sind aber natürlich entsprechend der Lösung sehr umfangreich - da wieder das Stichwort "Schulung". "Bis Kaspersky Lab das als vertrauenswürdig einstuft, dauert es ja erstmal paar Wochen." Sollte mit aktivierter KSN-Abfrage eigentlich kein Problem sein. Hier stehen Informationen innerhalb kürzester Zeit zur Verfügung. Grüße Alex
  25. Zumindest noch in Version 11 werden beide Oberflächen unterstützt: die klassische MMC und die neue Web-Oberfläche. Ich war bei den Beta-Testern und das war schon ganz gut. Leider hat mir dann die Zeit gefehlt, dass Beta-Programm weiter zu begleiten, daher weiß ich nicht, wie aktuell der Entwicklungsstand ist. Grüße Alex
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.