Jump to content
Sign in to follow this  
r2kat

Kaspersky Umgebung upgrade oder neu aufsetzen

Recommended Posts

Guten Tag zusammen,

ich habe mal eine spezielle Frage bei der ich ein wenig Hilfe gebrauchen könnte.

Wir haben derzeit einen KSC im Einsatz mit KES und K4WS bei ca 300 Clients (inkl. Server)

Folgend eine kurze Tabelle mit unseren derzeitigen eingesetzten Versionen und den Infos End of Support und aktuelle neue Version:

Name

Eingesetzte Version

End of Support

Neue Version

Kaspersky Endpoint Security

10.3.0.6294

30.04.2020

11.0.1.90

Kaspersky Security Center

10.4.343.0

04.04.2019

10.5.1781

Kaspersky Administrations Agent

10.4.343

 

10.5.1781

Kaspersky for Windows Server

10.0.486

1.1.2019

10.1.1.746

Abgesehen vom Support-Ende stehen wir derzeit vor einem Wechsel auf Windows 10.

Außerdem müsste ich die SQL Datenbank des derzeitgen KSC's übersiedeln, da die alte SQL Umgebung abgebaut wird.

Daraus resultieren für mich 2 Möglichkeiten:

1. Ich mache ein Upgrade vom KSC. Installiere bei allen neuen Windows 10 Geräten die neue KES Version mit neuem Agent und belasse die alten Clients mit KES 10.3. (sollten bis Ende des Jahres alle abgebaut sein)
    Deinstallation und Neuinstallation von K4WS auf allen Servern.
    Übersiedlung der SQL Datenbank

2. Ich ziehe parallel eine neues KSC hoch. (Windows Server 2016)
    Erstelle die SQL DB in der neuen Umgebung.
    Hänge alle neuen Windows 10 Clients in das neue KSC und übersiedle die Server.

Wir haben folgende Lizenzversion "Kaspersky Endpoint Security for Business - Select"

Frage:

Welche der beiden Möglichkeiten wäre vermutlich die bessere und saubere?
Gibt es Abhängigkeiten bzgl. Kaspersky Versionen und Betriebssystemen?
Kann ich die Richtlinien eventuell übernehmen oder muss ich diese neu erstellen?

Vielleicht kann mir ja jemand einen Denkanstoß geben, da ich derzeit leider etwas auf der Leitung stehe, wie ich das ganze am Besten angehen kann.
Ich habe mich schon durch einige Anleitungen gelesen, bin mir aber nicht sicher ob die wirklich praxistauglich sind.

Vielen Dank!

Beste Grüße
René

 
 

 

Share this post


Link to post

Hallo René,

in deinem Fall (SQL-Umzug, neuer Server 2016) würde ich ganz klar zu einer parallelen Neuinstallation raten. Auch eine Gelegenheit Altlasten über Bord zu werfen.
Richtlinie und Aufgaben lassen sich exportieren bzw. importieren - oft ist es aber auch hier besser alles mal auf den Prüfstand zu stellen und neu zu machen. Ggf. muss man nur wenige Ausnahmen/Konfigurationen übernehmen/übertragen.


Die neuen Windows 10 Systeme lassen sich sofort an den neuen KSC binden, bestehende Systeme kann man per Aufgabe auf den neuen Server verschieben:

image.png


Bzgl. Kaspersky-Version und Betriebssystem:

- auf Windows-Servern sollte generell KS10 WS zum Einsatz kommen, nicht die KES.
- Für Windows 10 RS5 benötigst du KES10SP2_MR3 oder besser KES11.0.1.90, siehe https://support.kaspersky.com/de/13036

Grüße
Alex

Share this post


Link to post

Hallo Alex,

vielen Dank für die schnelle Antwort. Das habe ich mir schon gedacht, dass das die schönere Lösung ist.

Auf den Windows Servern läuft natürlich das KS10 WS, aber noch die 10.0 Version die ja out of Support ist. Da muss ich auch auf 10.1 gehen.

Lizenz-seitig ist das kein Problem, wenn ich die Keys für KSC und KES nochmal auf dem zweiten KSC aktiviere?

Wenn ich den alten dann abbauen könnte. Muss ich da was beachten? KSC deinstallieren oder kann ich die Maschine einfach löschen und die SQL DB verwerfen?

BG René

Share this post


Link to post
Posted (edited)
Am 6.3.2019 um 15:10 schrieb r2kat:

1.) Da muss ich auch auf 10.1 gehen.

2.) Lizenz-seitig ist das kein Problem, wenn ich die Keys für KSC und KES nochmal auf dem zweiten KSC aktiviere?

3.) Wenn ich den alten dann abbauen könnte. Muss ich da was beachten? KSC deinstallieren oder kann ich die Maschine einfach löschen und die SQL DB verwerfen?

Hallo René;

1.) Ja, klar - die aktuelle Version ist 10.1.1.1746 , siehe https://forum.kaspersky.com/index.php?/topic/357159-infos-zu-ks10ws-kaspersky-security-10-für-windows-server/ 
Das Thema KS10 WS ist mit den neuen Versionen 10.1 und 10.1.1 wesentlich komplexer geworden und bietet leider ein paar Fallgruben. Die Konfiguration der Installationspakete, Richtlinien und Aufgaben sollte man mit Bedacht durchführen.

2.) Nein, kein Problem. Du kommst ja dadurch in der Summe nicht über dein Limit. Und Verwaltungsserver kannst du ohne Limit installieren (z. B. Stichwort: Standortanbindung).

3.) Einfach löschen (Archiv-Backup ist immer von Vorteil). Wenn du irgendwelche Compliance-Regeln bzgl. Incidents, etc. beachten musst solltest du dir vor dem Löschen nochmal die entsprechenden Reports ziehen und archivieren.

Grüße
Alex

 

Edited by alexcad
Versionsbezeichnung korrigiert

Share this post


Link to post

Hey Alex,

vielen Dank nochmal für die ganzen Infos.

1.) das diese Version wesentlich komplexer ist, war mir nicht klar. Dann muss ich da doch etwas mehr Zeit investieren

Weiß du zufällig ob das neueste Security Center auch unter Windows Server 2019 läuft?
Auf der Homepage steht nur der 2016er drin. Aber zwischen 2016 und 2019 gibt es kaum Unterschiede, und wir setzen derzeit bei den neuen Servern nur 2019 ein.

BG René

Share this post


Link to post

Hallo René,

auch auf der englischen Support-Seite ist Windows Server 2019 für KSC10.5.1781 noch nicht frei gegeben - sollte aber auch nach meinem Dafürhalten keine Probleme machen.
Wenn du sicher gehen willst: Anfrage an den Support über deinen Company-Account erstellen. Feedback gerne hier im Forum.

Grüße
Alex

PS. zu 1.) schreibe ich noch was, sobald ich die Zeit dazu finde.

Share this post


Link to post

Nun zu 1.) "Kaspersky Security für Windows Server 10.1.1.1746"

Wenn ich an dieser Stelle einfach ein paar Empfehlungen aus meiner Praxis zu KS10.1.1 geben darf (und da kann es durchaus andere Meinungen geben, sind willkommen):

Konfiguration des Installationspaketes:
- Mit der Firewall-Verwaltung habe ich bisher eher schlechte Erfahrungen gesammelt. Allein die Installation reichte schon aus (Modul per Richtlinie deaktiviert) um bestehende Konfigurationen der Windows-Firewall zu überschreiben - teilweise auch dauerhaft. Installiert und aktiviert man die Firewall-Verwaltung mit Standard-Einstellungen auf dem KSC werden sogar die Kaspersky eigenen Ports geblockt - alle Netzwerkagenten verlieren die Verbindung zum KSC. Ich bin dazu übergegangen dieses Modul nicht zu installieren.
- Gerätekontrolle: direkte Störungen sind mir hier nicht bekannt, aber diese Modul erfordert nach meinen bisherigen Erfahrungen einen Neustart bei der Deinstallation. Daher installiere ich es nur, wenn es erforderlich ist, z. B. in TS-/VDI-Umgebungen, die das Durchschleifen von Wechseldatenträgern erlauben.
- Die Module zum Schutz von NetApp/Netzwerkspeichern lassen sich nur mit der Lizenzierung "Kaspersky Security für Storage" nutzen, daher installiere ich auch diese Module in der Regel nicht mit, siehe https://support.kaspersky.com/de/12784 

image.png


Konfiguration der Richtlinie:

- generell: kontrolliert in den Modulen unter "Aufgabenverwaltung" die Zeitplan-Einstellungen. Hier stehen teilweise völlig unsinnige Standardeinstellungen, wie z. B. das Starten des Schutzmoduls jede Stunde. Normalerweise sollte jedes Schutzmodul mit der Anwendung starten.

- "Echtzeitschutz des Servers" - "Schutz des Datenverkehrs" - hier sind die Standardeinstellungen (und die Menüs) ziemlich verwirrend. Tatsächlich funktioniert Web-AV im Aufgabenmodus "Treiber-Interceptor", die ICAP-Einstellungen sind dann überflüssig und können ignoriert werden. Standardmäßig ist die Untersuchung von HTTPS-Datenverkehr bzw. im Interceptor-Bereich das Scannen von Traffic auf Port 443 aktiviert. Da hierbei das Zertifikat aufgebrochen wird, führt das oft zu Störungen. So verweigert  z. B. das vCenter-Web-Interface seine Arbeit.

image.png

- "Echtzeitschutz des Servers" - "Exploit-Prävention" - mit diesem Modul erreicht man eine sehr gute Härtung des Systems und damit natürlich eine wesentlich Verbesserung des Schutzes. In der Praxis zeigt sich aber in der Regel, dass hier erstmal die Systeme sauber durchgepatcht werden müssen, da dieses Modul sonst permanent anschlägt bzw. Events generiert. Meine Empfehlung: erstmal deaktivieren und dann im Zuge eines separaten Projektes oder zu Audit-Zwecken auf ausgewählten Systemen aktivieren. Für Unternehmen mit sehr hohem Schutzbedarf mit entsprechenden Ressourcen eine super Sache - auch z. B. nur auf einem Teil der Server.

- "Schutz für ins Netzwerk eingebundene Speicher" - hier gibt es einen kleinen kosmetischen Bug: Bei "Anti-Cryptor für NetApp" lässt sich das Schloss nur setzen, wenn das Modul komplett konfiguriert wurde - was natürlich Unsinn ist, wenn ich das Modul nur über die Aufgabenverwaltung deaktivieren möchte. Wie gesagt installiere ich diese Module schon gar nicht mit - dennoch bilde ich das auch gerne in der Richtlinie ab und deaktiviere auch bei diesen Modulen den Aufgabenstart. Hier behelfe ich mir damit, dass ich nur unter "Aufgabenverwaltung" das Schloss schließe.

- Für die Module unter "System-Diagnose" gilt Ähnliches wie für das Modul "Exploit-Prävention": Härtung des Systems, Verbesserung des Schutzes - aber eben auch eine Herausforderung bzgl. der Umsetzung und Administration. Auch hier deaktiviere ich in der Regel die Module und mache daraus ein eigenes Projekt.

Standardaufgabe "Aufgabe zur schnellen Untersuchung":
- wie hier https://forum.kaspersky.com/index.php?/topic/407020-bug-in-ks1011-assistent-erstellt-aufgabe-schnelle-untersuchung-als-vollscan/   schon beschrieben: Der Assistent legt eine "Aufgabe zur schnellen Untersuchung" an, die aber einem (nicht optimal konfiguriertem) Vollscan entspricht. Entsprechend bringt diese Aufgabe Last auf das System und dauert je nach Datenvolumen mehrere Stunden. 

image.png

Grüße
Alex

 

Share this post


Link to post

Hallo Alex,

danke für die ausführliche Antwort bzgl Kaspersky for Windows Server. Das schaue ich mir dann nochmal in Ruhe an

Ich habe jetzt nochmal beim Support angefragt wegen Windows Server 2019 und folgende Antwort erhalten:

Verwenden Sie bitte die aktuelle Version des Kaspersky Security Center 11.0.0.1131, dieser ist für Windows Server 2019 freigegeben

https://www.kaspersky.de/small-to-medium-business-security/downloads/security-center

Jetzt bin ich vollends verwirrt. Wusste gar nicht, dass es ein KSC 11 gibt.

Dann schaue ich mir den jetzt mal an.

BG René

 

Share this post


Link to post

Version 11 ist noch nicht offiziell released - wundert mich, dass du diese Empfehlung erhalten hast - und das es diese Download-Seite gibt. Auf der Support-Seite (auch der englischen) ist davon noch Nichts zu sehen.
Wie bei allen Software-Produkten würde ich damit aber noch warten.

Grüße
Alex

Share this post


Link to post

Habe gestern auch folgende Infos erhalten:

Kaspersky Security Center

Kaspersky Lab announces the Commercial Release of Kaspersky Security Center 11 (11.0.0.1131)  English, French, German, Italian, Russian, Spanish

Kaspersky Endpoint Security for Windows

Kaspersky Lab announces the Commercial Release of Kaspersky Endpoint Security 11.1 for Windows (ver. 11.1.0.15919) English, Russian, Portuguese, German, French, Spanish, Italian localizations

LG

Fred

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.