Jump to content
Sign in to follow this  
ThorstenRay

Rollout Problem KES 11.0.0.6499 mit KSC 10.5.1781

Recommended Posts

Hallo zusammen,

ich bin geraden dabei die Vorbereitungen für einen Rollout der KES 11.0.0.6499 zu treffen.

Das KSC hat die Version 10.5.1781

Ich habe die KES 11.0.0.6499 als neues Installationspaket hinzugefügt und entsprechend konifguriert.
Dann habe ich die Richtlinien und Aufgaben für die KES 11.0.0.6499 angleget.

Zum Schluss habe ich noch eine Aufgabe (Remote-Installation des Programms) angelegt, mit der ich die KES 11.0.0.6499 auf die Rechner ausbringen möchte.
Ich habe zum testen einen Rechner (Win 10 Enterprise x64) herangezogen auf welchem derzeit die Version KES 10.3.0.6294 installiert ist.

Ich wollte auf diesem Rechner so wie bereits in der Vergangenheit durch die Aufgabe die neueste Verision der KES 11 ausbringen.
Das hat in der Vergangenheit nach gleichem Muster funktioniert (z.B. von KES 8 auf KES 10) ohne das die bestehende Installation vorher deinstalliert werden musste.
Ich bekomme aber dann folgende Fehlermeldung:

  • Die Remote-Installation auf dem Gerät wurde mit Fehler abgeschlossen: Fatal error during installation. (The installed AES-56 encryption libraries do not correspond to the AES-256 encryption libraries in this package.)

--> Verschlüsselung wurde nicht mitinstalliert. Unsere Desktop-Clients sind alle unverschlüsselt. Die Notebooks sind mit einem Dritanbieter-Tool verschlüsselt.

Das sollte ja schon wie in der Vergangenheit funktionieren.
Wir habe unterschiedliche Versionen der KES 10 im Einsatz (ca. 3000 Clients). Hier mit dem KAV-Remover bzw. immer vorab eine Deinstalltion vorzunehmen ist nicht leistbar
und führt zu Sicherheitslücken (da erst deinstalliert, dann reboot, dann neue Version installiert, dann wieder vermutlich reboot) da der User hier das Zünglein an der Waage ist (rechner wird ausgeschaltet,
Notebook vom Netz getrennt, etc.) und somit zu viele Unsicherheitsfaktoren bestehen.

Kann mir hier jemand weiter helfen?
Hat hier jemand schon Erfahrungen dazu?

 

Vorab vielen Dank.

Viele Grüße

Thorsten

 

Share this post


Link to post
vor 1 Stunde schrieb ThorstenRay:

Hier mit dem KAV-Remover bzw. immer vorab eine Deinstalltion vorzunehmen ist nicht leistbar
und führt zu Sicherheitslücken (da erst deinstalliert, dann reboot, dann neue Version installiert, dann wieder vermutlich reboot) da der User hier das Zünglein an der Waage ist (rechner wird ausgeschaltet, Notebook vom Netz getrennt, etc.) und somit zu viele Unsicherheitsfaktoren bestehen.

Hallo Thorsten,

das Problem mit der Schutzunterbrechung und dem Reboot hat man aber leider immer - auch bei einer direkten Upgrade-Installation. In der Regel führe ich Migrationen mit getrennten Deinstallations- und Installationsaufgaben durch - gerade in großen Umgebungen. Ich habe dadurch mehr Kontrolle über den Ablauf und nach wie vor deutlich weniger Störungen (obwohl es echt schon besser geworden ist).

Unabhängig davon: ist es sicher, dass die Kaspersky-Verschlüsselung nicht mit installiert wurde? 
Was du versuchen könntest: erstelle eine Aufgabe  "Auswahl von Programmkomponenten ändern" für die KES 10.3.0.6294 und entferne die Haken bei "Festplatten verschlüsseln" und "Dateien und Ordner verschlüsseln". Dann auf ein/zwei Testsystemen rennen lassen, neu starten und nochmal die Installation testen.

image.png


Grüße
Alex


PS: Du solltest unbedingt auch jeweils den aktuellen PF für KSC/Agent10SP3 und KES11 ausrollen. Siehe 
https://forum.kaspersky.com/index.php?/topic/357138-infos-zu-ksc-kaspersky-security-center/
https://forum.kaspersky.com/index.php?/topic/357141-infos-zu-kes-kaspersky-endpoint-security-windows/
Oder/und beim Support anfragen.

 

Share this post


Link to post

Guten Morgen und erst Mal vielen Dank für die Antwort!

Ja, wir haben in der KES die Komponenten für die Verschlüsselung nicht mitinstalliert weil wir diese nicht nutzen und somit auch nicht benötigen.
Klassische Workstations werden bei uns nicht verschlüsselt und bei den Notebooks setzten wir Winmagic ein.

Ich habe das auch nochmals verfiziert um hier sicher zu gehen, dass auch wirklich nicht die Komponente "Drive Encytion" und "File Encryption" mitinstalliert wurden.
Habe dazu unter Systemsteuerung -> Programme -> Kaspersky Endpoint Security  for Windows eine "Änderungsinstalltion" gestartet und folgendes Bild erhalten:

image.png.f92b39c062bfe05a9cda3f62c3731ec4.png

Ich kann also eigentlich davon ausgehen, dass hier diese Komponenten nicht mitinstalliert wurden. Dies war exemplarisch meine Workstation.
Hier funktioniert die Installation jedenfalls nicht als Upgrade.

Ein Rollout mit einer vorherigen Deinstallationsaufgabe (Achtung: Wir reden hier von diversen Versionen der KES 10 und mehreren tausend Clients) ist nicht leistbar.
Das muss in einem einzigen Rutsch funktionieren. Die Gefahr ist viel zu groß als dass ein Notebook anwender dann plötzlich während der Deinstallation seinen
Rechner vom Netz trennt und dann total ungeschützt ist oder der Anweder seinen Rechner ausschaltet.

Das muss zwingend so wie in der Vergangenheit funktionienieren (als Upgrade) sonst entspricht das nicht mehr unseren Anforderungen.
Ich habe natürlich schon vorgestern ein Support Ticket bei Kaspersky direkt eröffnet. Erwartungsgemäß habe ich aber noch keine Antwort erhalten.

Hat jemand vielleicht noch andere Ideen wie ich das zum laufen bringe?

Danke schon mal.

VG

Thorsten

Share this post


Link to post

Hallo Thorsten,

wie gesagt: auch bei einer direkten Upgrade-Installation ist ein Reboot erforderlich (war auch in der Vergangenheit so) mit allen von dir genannten Risiken. 
Hier sehe ich keinen großen Unterschied bzgl. der beiden Vorgehensweisen. In beiden Fällen muss entsprechend den Gegebenheiten das ganze sauber vorbereitet und geplant werden. Und wir managen Umgebungen mit bis zu 12.000 Systemen.

Einige Möglichkeiten hat Kaspersky ja durchaus zu bieten:
- Aufgaben in Abhängigkeit zu starten (automatische Aufgabenkette)
- Inline-Upgrade innerhalb eines Major-Release mit dem Seamless Update Service ohne Schutzunterbrechung. Hier hängt die Frage dran, ob und warum denn wirklich alle Clients auf die KES11 gebracht werden sollen, oder ob ein Upgrade bestehender Installationen auf KES10SP2_MR3 u. U. der bessere Weg ist.
- Für mich eines der besten Features: Aufgaben auf Geräteauswahlen zu starten. Damit lässt sich super filtern und verschiedene Anforderungen abbilden.
- Aufgaben mit WoL zu verbinden.
- ...

Hier kann dir ein kompetenter Kaspersky Partner sicher weiter helfen. Bei 3.000 Systemen sollte es eigentlich kein Problem sein sich externe Unterstützung zu holen.
Auch die Tickets kannst du über deinen Kaspersky Partner erstellen lassen. Sofern er über einen guten Kontakt zum Hersteller verfügt, lässt sich damit einiges beschleunigen. 

Ergänzend noch:
Im englischen Forum wurde das auch schon diskutiert, nur leider etwas durcheinander. Auf die Schnelle konnte ich nicht rauslesen, ob das Bereinigen der Registry erfolgreich war. Vielleicht hilft es hier nochmal unter Verweis auf den Foren-Beitrag gezielt beim Support nachzufragen.
https://forum.kaspersky.com/index.php?/topic/374052-error-aes-56-encryction/&

Grüße
Alex

Share this post


Link to post
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.