Jump to content
Sign in to follow this  
phatair

Benutzerkonsten für den KSC

Recommended Posts

Hallo zusammen,

wir sind gerade dabei unsere Admin Konten neu zu strukturieren.

Dabei stellt sich mir jetzt gerade die Frage, welche Benutzerkonten für den KSC und auch die Clients benötigt werden.

Die Installation vom KSC ist schon einige Tage her und die interne Dokumentation läßt etwas zu wünschen übrig... 

In der Anleitung wird beschrieben, dass 2 Benutzerkonten angegeben werden. Einmal für den Administrationsserver als Dienst und einmal für die Dienste des KSC.

Den Benutzeraccount für den Administrationsserver als Dienst kenne ich, diesen sehe ich ja auch in den Windows Diensten.
Was ist aber der "Benutzerkonto, unter dem die Dienste von Kaspersky Security Center auf diesem Computer gestartet werden sollen"?

Welcher Account wird auf den Clients genutzt um z.B. den Administrationsagenten zu installieren oder administrative Aufgaben auszuführen?

Für Hilfe wäre ich sehr dankbar.

Gruß

Share this post


Link to post
vor 6 Stunden schrieb phatair:

... dass 2 Benutzerkonten angegeben werden. Einmal für den Administrationsserver als Dienst und einmal für die Dienste des KSC.

Welcher Account wird auf den Clients genutzt um z.B. den Administrationsagenten zu installieren oder administrative Aufgaben auszuführen?

Hallo phatair,

das KSC ist der Adminserver - von daher gibt es da nur einen Dienst. Woher kommt die Info, auf der deine Frage basiert?
Im wesentlichen werden bei einer Standardinstallation des KSC folgende Dienste angelegt und dazu automatisch auch zwei Konten:

image.png

Das Konto für den Admin-Server sollte man auf keinen Fall nachträglich manuell ändern, dafür gibt es einen Assistenten, in der Programmgruppe zu finden:

image.png

Bei der Installation des KSC lassen sich aber durchaus andere Konten auswählen, es müssen nicht die automatisch generierten übernommen werden.

Die Dienste für Netzwerkagent und Schutzprodukte laufen mit den Standardeinstellungen mit dem Konto "Lokales System". Entsprechend werden Aufgaben, die ich über den Agent bzw. die Schutzprodukte ausführe im gleichen Kontext gestartet. Wobei sich den Aufgaben für die Schutzprodukte in den Einstellungen abweichende Konto-Informationen mitgeben lassen:

image.png

Grüße
Alex

 

Share this post


Link to post

Hi Alex,

vor 15 Minuten schrieb alexcad:

das KSC ist der Adminserver - von daher gibt es da nur einen Dienst. Woher kommt die Info, auf der deine Frage basiert?
Im wesentlichen werden bei einer Standardinstallation des KSC folgende Dienste angelegt und dazu automatisch auch zwei Konten:

Bei uns läuft der Kaspersky Security Center 10 Administrationsserver Dienst unter einem eigenen AD User (svc-ksc). Dieser ist auch in der lokalen Gruppe KLAdmins.
Die Dienste Kaspersky Lab Aktivierungs-Proxyserver, Kaspersky Security Network Proxyserver und Kaspersky-Lab-Webserver laufen unter einem lokalen Account KlScSvc (wurde bei der Installation wohl nicht manuell auf einen andere User geändert). Auch dieser User befindet sich in der lokalen Gruppe KLAdmins.
Der Dienst Kaspersky Secruity Center 10 Administrationsagent läuft als Lokales System
Der Dienst Kaspersky Security Center Automatisierungsobjekt läuft als Netzwerkdienst

Meine Frage ist nun - mit welchem Account sich der KSC Server auf den Clients zum installieren die Adminrechte authentifiziert.
Wir haben zum Beispiel eine Aufgabe, die KES11 und den KSC 10 Adminagent installiert. Damit diese Installation von KSC Server auf dem Client durchgeführt werden kann, benötigt dieser ja einen Account der auf dem Client Adminrechte hat. 
Nutzt der KSC da dann den User, mit dem auch der Dienst Administrationsserver läuft - also bei uns svc-ksc?

 

Share this post


Link to post
vor 57 Minuten schrieb phatair:

Meine Frage ist nun - mit welchem Account sich der KSC Server auf den Clients zum installieren die Adminrechte authentifiziert.
Wir haben zum Beispiel eine Aufgabe, die KES11 und den KSC 10 Adminagent installiert. Damit diese Installation von KSC Server auf dem Client durchgeführt werden kann, benötigt dieser ja einen Account der auf dem Client Adminrechte hat.

Wenn wir jetzt mal nur die Installationsaufgaben betrachten:
Eigentlich werden nahezu alle Aufgaben auf einen vorhandenen Agent gepusht und dann von diesem im gleichen Kontext "Lokales System" ausgeführt. Wenn ein Agent vorhanden ist die beste und einfachste Möglichkeit, da das Konto "Lokales System" weitreichende Berechtigungen hat. Die Einstellung in der Aufgabe sieht dann so aus:

image.png

image.png


Die einzige Installation für die das natürlich nicht funktioniert ist folgerichtig die Erst-Installation des Netzwerkagenten. Hier benötige ich für die Aufgabe ein Konto, das über lokale Admin-Rechte auf den Zielsystemen verfügt (Details s. U.). Das ist in der Regel ein Domänen-Konto, das speziell für die lokale Administration von Systemen erstellt wird (also ohne Dom-Admin-Berechtigungen) - kann aber auch ein lokales Konto sein, z. B. für Systeme die nicht Mitglied einer Domäne sind. Der Installationsaufgabe lassen sich auch mehrere Konten mitgeben, die von oben nach unten durchprobiert werden. Die Einstellung sieht dann so aus:

image.png

image.png

 

In diesem Fall muss das Benutzerkonto auf dem Client-Gerät über folgende Berechtigungen verfügen, siehe https://help.kaspersky.com/KSC/SP3/de-DE/11352.htm :

Rechte für die Ressource Admin$
Recht für den Remote-Start von Anwendungen
Recht "Als Dienst anmelden"

Wenn diese Aufgabe startet versucht das KSC das Installationspaket auf die Freigabe "admin$" des Zielsystems zu kopieren. Nach erfolgreichem Kopiervorgang wird das Setup auf dem Zielsystem mit msiexec gestartet (Recht für den Remote-Start von Anwendungen). Während der Installation müssen die Kaspersky-Dienste registriert werden (Recht "Als Dienst anmelden").

Grüße
Alex
 

Share this post


Link to post

Hi Alex,

danke dir vielmals für die ausführliche Erklärung. Genau so habe ich das auch bisher verstanden. Mich wundert dann nur eines.

Wir haben eine Aufgabe für die Installation vom KES11 inkl Adminagent. Zusätzlich habe ich eine Regel, dier erkennt ob es AD Computer gibt die noch keinen Schutz haben. Erkennt diese Regel PCs wird automatisch die Aufgabe für diese PCs gestartet.

Die läuft dann eben auf PCs die noch nie eine KES Installation gesehen haben und demnach auch keinen Adminagent installiert haben. Trotzdem ist die Installation erfolgreich.
In der Remote Installation Aufgabe haben wir "Mithilfe des Administrationsagenten" und "Durch das Betriebssystem mithilfe des Administrationsservers" angehakt. Wir geben unter Benutzerkonto aber kein Konto mit ("Es ist ein Benutzerkonto erfoderlich (der Administrationsagent ist bereit installiert" ist ausgewählt).

Wir haben aber bei den neuen PCs den User "domäne\svc-ksc" als lokaler Admin hinterlegt. Unter diesem Accout läuft auch der KSC Dienst "Kaspersky Security Center 10 Administrationsserver" auf dem KSC Server. Für mich sieht das eben so aus, als würde dieser User dann automatisch genommen um die Installation auszführen. Auch wenn ich ihn nicht explizit in der Remote Installations Aufgabe ausgewählt haben.

Ich werde das am Montag mal testen. Ich hätte jetzt nämlich gedacht, dass die Aufgabe fehlschalgen muss, da ich keinen speziellen Installations User angegeben habe und auch kein Adminagent vorher installiert war (die PCs sind frisch geimaged und ohne jeglichen KSC Kontakt).

Gruß,
Steffen

Share this post


Link to post
vor 37 Minuten schrieb phatair:

Wir haben eine Aufgabe für die Installation vom KES11 inkl Adminagent.

In der Remote Installation Aufgabe haben wir "Mithilfe des Administrationsagenten" und "Durch das Betriebssystem mithilfe des Administrationsservers" angehakt.


Hallo Steffen,

die beiden genannten Punkte sollte man so genau NICHT machen :D

1.) Ziel sollte es sein, dass man möglichst alles über den Agent ausführen lässt - nur eben die Agentverteilung nicht. Problem, wenn man KES und Agent-Installation in eine Aufgabe packt: Die KES-Installation startet erst, wenn der Agent fertig installiert und gestartet ist und mind. einmal den Admin-Server erreichen konnte - und das kann eine Weile dauern. Daher rennt die KES-Installation oft ins Time-out oder kann z. B. gar nicht starten, wenn der Admin-Server nicht erreichbar ist.
Meine Empfehlung: filtere neue Systeme (z. B. AD-Abfrage) ohne Agent und starte darauf die Agent-Installation mit den oben gezeigten Einstellungen. 
Anschließend sollte eine Verschieberegel die neuen, noch unverwalteten Systeme mit Agent in die Verwaltung einsortieren.
Auf einen Filter "verwaltete Clients ohne Schutz" lässt man dann die KES-Installation über den Agent los. (Analog natürlich auch für Server mit KS10.1.1 WS möglich).

2.) Wenn hier beide Haken gesetzt sind und bereits ein Agent vorhanden ist überträgt das KSC das Installationspaket über beide Wege, was zuerst ankommt gewinnt. Man erzeugt unnötig Traffic , zumal ja auch das Agent-Installationspaket in diesem Fall unnötig übertragen wird. 

Warum das bei euch anscheinend ohne hinterlegten Benutzer funktioniert haben soll kann ich mir nicht erklären. Tatsächlich spielt bei diesem Vorgang das Dienste-Konto des KSC  nach meinem Verständnis überhaupt keine Rolle.

Grüße
Alex

Share this post


Link to post

Hi Alex,

ok, dass war mir so nicht bewusst. Wir hatten bisher auch keine Probleme aber ich werde das anpassen. :D

Es ist aber tatsächlich so, dass in unserer Konfig der User vom KSC Dienst für das Deployment genommen wird. Ich habe den User mal aus der lokalen Admin Gruppe eines Clients rausgenommen und dann unsere Aufgabe laufen gelassen. Dann erhalte ich folgende Fehlermeldung.

Zitat

Kaspersky Security Center 10 Administrationsagent (10.5.1781): Der freigegebene Ordner "\\172.27.143.25\admin$" steht für folgende Benutzerkonten nicht zur Verfügung:
<Aktuelles Benutzerkonto für Dienst des Administrationsservers> (Zugriff verweigert)  Download des Installationspakets mit dem Administrationsagenten nicht möglich. Auf dem Gerät ist kein Administrationsagent installiert. Installation wird nächstes Mal nach Zeitplan gestartet.

Das erklärt zumindest, warum es bei uns klappt obwohl wir nie einen User für die Installation angegeben haben.

 

Eine Sache macht mich aber noch stutzig oder ich stehe auf dem Schlauch. Wenn ich dann bei der Aufgabe, die den Admin Agent installiert, ein Benutzerkonto mitgebe, steht dort ja als Info

Zitat

 

"Erstellen Sie eine Liste der Benutzerkonten, mit denen die Aufgabe ausgeführt werden soll. Die Benutzerkonten werden in der angegebenen Reihenfolge von oben nach unten abgearbeitet.

Es wird nicht empfohlen, Kennwörter für Benutzerkonten mit erweiterten Rechten zu speichern.

 

Ich muss nun ja aber einen User mitgeben (inkl. Passwort), der auf dem PC Admin ist und somit erhöhte Rechte besitzt, sonst kann ja die Datei nicht auf den Admin Share kopiert und die Installation des Admin Agent ausgeführt werden. Die Info macht für mich hier keinen Sinn, wenn ich über die Aufgabe einen administrative Tätigkeit ausführen möchte.

Ist es daher vielleicht gar nicht so blöde, den User des KSC Dienstes auf allen Clients in die lokale Admin Gruppe zu packen und dann die Aufgaben ohne Benutzerkonto laufen zu lassen? Damit übergebe ich keine Passwörter in der Aufgabe und alles läuft aber trotzdem wie gewünscht?!

Share this post


Link to post
vor 23 Stunden schrieb phatair:

...Es ist aber tatsächlich so, dass in unserer Konfig der User vom KSC Dienst für das Deployment genommen wird. Ich habe den User mal aus der lokalen Admin Gruppe eines Clients rausgenommen und dann unsere Aufgabe laufen gelassen. Dann erhalte ich folgende Fehlermeldung.... Das erklärt zumindest, warum es bei uns klappt obwohl wir nie einen User für die Installation angegeben haben.

"... Es wird nicht empfohlen, Kennwörter für Benutzerkonten mit erweiterten Rechten zu speichern."
Ich muss nun ja aber einen User mitgeben (inkl. Passwort), der auf dem PC Admin ist und somit erhöhte Rechte besitzt, sonst kann ja die Datei nicht auf den Admin Share kopiert und die Installation des Admin Agent ausgeführt werden. Die Info macht für mich hier keinen Sinn, wenn ich über die Aufgabe einen administrative Tätigkeit ausführen möchte.


OK, wieder was gelernt :D

Bzgl. der Benutzerkonten: hier gibt Kaspersky (nur) allgemeine Best-Practice-Empfehlungen weiter - die Aussage bezieht sich aber auf  "...Benutzerkonten mit erweiterten Rechten...".
Sprich: hier sollte man vielleicht nicht unbedingt den allgemeinen Domänen-Admin nehmen, sondern eben einen speziellen Service-Account, der nur über die erforderlichen Rechte verfügt.

Grüße
Alex S.

Share this post


Link to post
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.