Jump to content
sebneu

KSN-Server sind nicht verfügbar -> Status Warnung

Recommended Posts

Hallo

bei mir im Security Center (10.4.343) werden einige Clients gelb dargestellt mit der Begründung, dass die KSN-Server nicht verfügbar sind. Ich würde das gerne abstellen, finde aber in den Einstellungen "Gerätestatus" der Verwaltungsgruppe keinen passenden Eintrag. Hat da schon jemand was gefunden?

KES Security hat die Version 10.3.0.6294

Beste Grüße

SebNeu

Share this post


Link to post

Hallo SebNeu,

das findest du in der KES10SP2 Richtlinie unter "Erweiterte Einstellungen" - "KSN-Einstellungen". Dort gibt es den Punkt "Computerstatus, wenn KSN-Server nicht verfügbar ist".

Vermeiden lässt sich dieser Status auch, indem man KSN überall aktiviert (also auch im KSC und nicht nur auf den Clients) und entsprechend sowohl den Zugriff über das KSC (KSN-Proxy), als auch direkt zulässt. Dann sollte es den Clients eigentlich (fast) immer möglich sein das KSN abzufragen.

Grüße
Alex

Share this post


Link to post

Hallo, ich habe gerade angefangen unsere Rechner mit Endpoint Security Cloud zu verarzten. Ich erhalte nun vielfach die Meldung:

Event "Die KSN-Server sind nicht verfügbar." occurred on device XXX-XXXX in Windows domain WORKGROUP on Sunday, December 9, 2018 2:08:54 PM (GMT+00:00)
Ereignistyp:     Die KSN-Server sind nicht verfügbar.
Programm\Name:     Kaspersky Endpoint Security für Windows
Benutzer:     NT-AUTORITÄT\SYSTEM (Systembenutzer)
Komponente:     Schutz

Um 2:08 Uhr war mein Notebookdefinitv ausgeschaltet.... Die Meldung erscheint aber auch mit Zeiten,zu denen der Rechner läuft.
Wie bekomme ich das weg?

Gruss
JuergenR

Share this post


Link to post

Hallo JuergenR,

willkommen im Forum. Bitte bei neuen Fragen oder einem Wechsel der betroffenen Produkte einen neuen Beitrag erstellen. Wird sonst zu unübersichtlich.

Die Cloud-Lösung ist nicht so verbreitet - ich habe sie ehrlich gesagt erst einmal gesehen und das ist schon eine Weile her. Kannst du uns vielleicht Infos (Screenshots) der KSN-Einstellungen posten? 
In der Hilfe habe ich dazu nur das gefunden https://help.kaspersky.com/Cloud/1.0/de-DE/116265.htm

Sieht für mich so aus, als würden in der Cloud-Lösung alle Systeme generell KSN von Kaspersky abfragen - macht ja auch Sinn. 
Wenn die KSN-Einstellungen laut Online-Hilfe passen (und die Nutzungsbedingungen bestätigt wurden) würde ich ein Problem auf Firewall-Seite vermuten.  Wäre zu prüfen, ob die Systeme das KSN erreichen können und die Antworten durchgehen.

Grüße
Alex

Share this post


Link to post

Hallo Alex,

sorry für meine verspätete Antwort.
Wir haben uns für die Cloud-Lösung entschieden, da ich hier keinen extra Server installieren muss. Einstellen bzgl. KSN kann ich nur "aktivieren" / "deaktivieren"
image.png.6aa0cd1a25551fdca95a0edc505c91a0.png

Wie könnte ich prüfen ob durch Firewall-Probleme der/die KSN-Server wirklich erreichbar sind?

Diese KSN-Server erreiche jedenfalls per ping:
ksn-crypto-file-geo.kaspersky-labs.com
ksn-crypto-a-stat-geo.kaspersky-labs.com
ksn-crypto-url-geo.kaspersky-labs.com
ksn-crypto-verdict-geo.kaspersky-labs.com
ksn-crypto-kas-geo.kaspersky-labs.com
ksn-crypto-a-stat-geo.kaspersky-labs.com 

Liebe Grüße
Jürgen

Edited by JuergenR

Share this post


Link to post
vor 43 Minuten schrieb JuergenR:

... Wir haben uns für die Cloud-Lösung entschieden, da ich hier keinen extra Server installieren muss.

Hallo Jürgen,

der Verwaltungsserver für die  "Nicht-Cloud-Lösung" lässt sich auch auf einer Windows Workstation installieren,  für kleine Umgebungen wird keine Server (vor allem kein eigener Server) benötigt. 

Aber zu deinem Problem: da würde ich die Log-Files der Firewall auf geblockte Kommunikation prüfen. Wenn du das Problem an einem Client nachstellen kannst, hast du ja schon mal Angaben zur Quelle und Zeitrahmen, nach denen du filtern kannst.
Zweite Möglichkeit: hänge einen Client mal an eine andere oder offene Leitung (z. B. per Smart-Phone oder stell ihn in ein eigenes, von innen nach außen offenes Netzwerksegment) und prüfe dann die Verbindung zum KSN.

Wenn du dazu keine Möglichkeit hast oder dir das zuviel Aufwand ist: wende dich an den Support in Ingolstadt. Über den Company-Account solltest du auch als Kunde mit Cloud-Lizenzen Anfragen erstellen können, siehe https://companyaccount.kaspersky.com/account/login

Grüße
Alex

Share this post


Link to post

Hallo Alex,
ich habe keine Firewall laufen . ausser der Fritz.Box. Von daher sollte alles durchlaufen.
Womit könnte ich auf meinem Rechner eine Verbindung zum KSN-Server erzwingen?
Wie o.a. - Ping geht!

UNd es sollte eben nicht noch zusätzlich eine Maschine installiert werden. Da schien uns die Cloud-Lösung smart zu sein.

Grüße
Jürgen

Share this post


Link to post
vor 3 Stunden schrieb JuergenR:

... Womit könnte ich auf meinem Rechner eine Verbindung zum KSN-Server erzwingen?

Wenn es in der Richtlinie entsprechend konfiguriert ist wird KSN bei jeder Scan-Aktion abgefragt - also einfach mal einen USB-Stick mit ausführbaren Dateien eines anderen Rechners scannen. Am besten von Anwendungen, die auf dem scannenden Rechner nicht vorhanden sind - so dass es noch keine Bewertung der Reputation gibt.

Aber wie gesagt: ich würde dir empfehlen dich an den Support zu wenden. Vielleicht ist das ja ein bekanntes Problem der Cloud-Lösung.

Grüße
Alex

Share this post


Link to post

JuergenR Hast du diesbezüglich etwas Neues? IMHO ist das mal wieder Kaspersky-typisch einer der vielen Bugs, die seit Jahren da sind. Wahrscheinlich sind da die anderen Hersteller auch nicht viel besser, aber man braucht sich nur in dem englischsprachigen Kaspersky-Forum umschauen - massenweise solche Posts, dann heißt es - schickt mal schön alle Logs an den Support. Viele Schlaumeier posten diese dann sogar gleich im Forum. Und am Ende kommt entweder keine Antwort oder es heißt - schaltet mal die Fehlerbenachrichtigung aus, damit sie euch nicht nervt (ist ja auch der Default). Sehr schön sowas...

Ich habe nun bei mir die Cloud Option in KES 11 abgeschaltet und auch den KSN-Proxy. Je mehr Sachen dazwischen, desto fehleranfälliger das Ganze ist meine Erfahrung. Was passiert sonst, wenn er einen Virus scannt und kein KSN und keine vollen Signaturen da sind (wegen Cloud und Light blabla)? Dann bleibt ihm wohl nur die Heuristik. IMHO sehr traurig wenn sowas bei einem Business-Produkt nicht stabil läuft. Nicht die Spionage-Vorwürfe, die schlechte Softwarequalität macht die Sache kaputt. Wirklich schade, weil Kaspersky IMHO immer noch die besten Erkennungsraten hat. Deshalb habe ich wieder verlängert, aber meine Nerven sind schon ziemlich am Ende von den ganzen Bugs, Komplexitäten, etc.

Grüße

Anguel

Share this post


Link to post

Hallo Anguel,

wir betreuen eine große Zahl an Kaspersky-Installationen, darunter auch sehr große Umgebungen, und haben eigentlich keine Probleme mit KSN.
Wenn, dann lässt sich das relativ schnell an einem konkreten Problem festmachen (Firewall, etc.). Von einem Bug, der seit Jahren da ist würde ich daher nicht reden wollen.

Die Cloud-Option in der KES-Richtlinie hat auch nicht direkt mit der Abfrage des KSN zu tun. Dieser Schalter reduziert nur die Größe der Antiviren-Datenbank (also Mustererkennung, etc.)  - damit kommt der KSN-Abfrage noch mehr Bedeutung zu.

image.png

Siehe Handbuch https://help.kaspersky.com/KESWin/11/de-DE/155760.htm 

In der Regel ist das hier eine optimale KSN-Konfiguration:

image.png

Wichtig ist dabei der Schalter"KSN-Server verwenden, wenn KSN-Proxy nicht erreichbar ist" - dies hilft Warnungen zu vermeiden, da die Clients das KSN dann bei Bedarf direkt abfragen können, also nicht zwingend über das KSC gehen.

Auf dem Client lässt sich die KSN-Verfügbarkeit über die GUI prüfen:

image.png


Noch wichtiger: im KSC findet sich eine Prüfmöglichkeit hier ...

image.png


Grüße
Alex

Share this post


Link to post

Danke für die Rückmeldung, alexcad. Ich war bisher immer im englischsprachigen Forum unterwegs und bin sehr positiv überrascht, dass es hier im deutschen Forum einen so kompetenten Moderator gibt.

Das KSN zeigt bei allen Clients "Enabled. Available" an, auch die KSN Proxy Verbindung ist OK.

Ohne Cloud und ohne KSN-Proxy bekomme ich den

Critical event: KSN servers unavailable

Fehler jetzt viel seltener, aber schon mehrmals pro Tag. Meine Vermutung ist, dass die KSN-Server zu diesen Zeitpunkten einfach nicht erreichbar sind.

Habe den KSN-Proxy am Admin-Server jetzt wieder aktiviert, mal schauen wie sich das verhält.

Übrigens habe ich den erweiterten KSN-Modus deaktiviert, aber das sollte nicht die Ursache sein.

Share this post


Link to post
vor einer Stunde schrieb Anguel:

Übrigens habe ich den erweiterten KSN-Modus deaktiviert, aber das sollte nicht die Ursache sein.


Denke ich auch nicht. Damit lässt sich KSN auf die reine Abfrage der Kaspersky-Datenbank reduzieren (Haken nicht gesetzt = deaktiviert).
Es fließen dann nur die zur Datenbankabfrage unbedingt erforderlichen Daten an Kaspersky:

•Webadresse der Webseite, von welcher zu der untersuchten Webadresse gewechselt wurde
•Webadresse, für welche die Reputation abgefragt wird
•Version des verwendeten Protokolls für die Verbindung mit den Kaspersky-Lab-Diensten
•ID der Antiviren-Datenbanken
•ID der Untersuchungsaufgabe, mit welcher die Bedrohung gefunden wurde
•ID des Subsystems, welches die Anfrage initiiert hat
•ID des Verbindungsprotokolls und Nummer des verwendeten Ports
•IDs der installierten Updates
•Name und ID der gefundenen Bedrohung gemäß der Kaspersky-Lab-Klassifikation
•öffentlicher Zertifikatschlüssel
•Typ und vollständige Programmversion von Kaspersky Endpoint Security
•Hash (SHA256) des Zertifikats, mit welchem das zu untersuchende Objekt signiert ist
•Hash der zu untersuchenden Datei (MD5, SHA2-256 und SHA1) und der Dateivorlagen (MD5)


Ist der erweiterte Modus aktiviert (Haken gesetzt), werden zusätzlich noch wesentlich mehr Informationen übermittelt, z. B. auch Dateien oder Teile davon zur weiteren Analyse im Kaspersky-Labor. 
Die komplette Liste findet sich hier: https://help.kaspersky.com/KESWin/11/de-DE/165983.htm


Grüße
Alex


 

Share this post


Link to post

in diesem Zusammenhang ist mir nicht klar, was sich hinter der Option "Cloud-Modus für die Schutzkomponenten aktivieren" verbirgt.

In der Hilfe steht: "Ist das Kontrollkästchen aktiviert, so verwendet Kaspersky Endpoint Security eine eingeschränkteVersion der Antiviren-Datenbanken. Dadurch wird die Auslastung der Betriebssystemressourcen verringert."

Welche Betriebssystemressourcen sind damit gemeint?

Share this post


Link to post
vor 23 Minuten schrieb evilme:

Welche Betriebssystemressourcen sind damit gemeint?

Hallo evilme,

willkommen im Forum.
Damit sind die lokalen Ressourcen auf den -mit dieser Richtlinien-Einstellung versorgten- verwalteten Systemen gemeint. Wie weiter Oben schon angemerkt:
"Dieser Schalter reduziert nur die Größe der Antiviren-Datenbank (also Mustererkennung, etc.)  - damit kommt der KSN-Abfrage noch mehr Bedeutung zu."

Auch wenn die komplette Datenbank momentan über 9 Millionen Muster enthält sollte das allerdings einigermaßen zeitgemäße Hardware mit 8GB RAM oder mehr nicht sonderlich belasten.
Ich tendiere dazu diesen Schalter nicht zu setzen.

Grüße
Alex

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.