alexcad

Hallo Thomas, ich muss nochmal die Frage nach der eingesetzten Version und dem Patchstand stellen - davon hängt Einiges ab. Normalerweise sind hier nur wenige Ausnahmen erforderlich. Fehlalarme kommen vor allem durch verschlüsselte Dateien, bei den Kaspersky den Verschlüsselungsalgorithmus nicht kennt. In der Praxis sind das z. B. Dateien von Banking-Software, etc. Hier können Ausnahmen aber in der Regel sehr gezielt gesetzt werden, so dass man sich kein allzu großes Loch reißt. Generell ist das Risiko durch gesetzte Ausnahmen nicht sonderlich groß: Es wäre schon ein extremer Zufall, wenn der Verschlüsselungstrojaner mit einer ausgenommenen Datei beginnt. In der Regel arbeiten die Verschlüsselungstrojaner die Ordner- und Dateistruktur alphabetisch ab. Selbst wenn durch einen blöden Zufall ein/zwei Dateien verschlüsselt werden - das Schutzmodul schlägt sehr schnell an und damit ist die weitere Verschlüsselung unterbunden, sowie der Angriff detektiert. Auch mit Ausnahmen ist man daher gut vor Verschlüsselungen geschützt. Grüße Alex

Hallo Thomas, welches Produkt hast du denn im Einsatz? (Version, Patchlevel) Um es gleich vorweg zu nehmen: Für KS4WS 10.1.2 gibt es CF11, der eingespielt werden sollte. Falls KS4WS 11.0.0 im Einsatz ist würde ich ein Upgrade auf KS4WS 11.0.1 empfehlen.Hintergrund: Fehlalarme dieses Moduls werden oft durch die heuristische Analyse ausgelöst. Die CriticalFixes bzw. Versionsupgrades bessern hier oft etwas nach. Dennoch lassen sich Fehlalarme auch bei aktuellen/gepatchten Versionen nicht ausschließen. Hier gilt es dann passende Ausnahmen zu finden: Grüße Alex​​​​​​​

Hallo Miidas, willkommen im Forum. Warum ist das Modul “Programm-Überwachung” deaktiviert? Aber zu deiner Frage: Die Ausnahmen greifen tatsächlich nicht für die Exploit-Prävention. Allerdings sollte die Einstellung “Informieren” funktionieren. Hast du die Schlösser in der Richtlinie zu? Sonst wird die Änderung nicht an die Systeme übertragen. Weiterhin steht für KES11.6 ein PF zur Verfügung - mein letzter Stand ist PF8913. Damit werden einige Probleme beseitigt - ein Einspielen lohnt sich auch unabhängig von deiner Fragestellung. Der PF muss beim Support angefordert werden oder du fragst deinen Kaspersky-Partner. Grüße Alex

Hallo Frank, bei KS4WS verbirgt sich der AMSI-Provider hinter dem Modul “Script-Untersuchung”. Bitte prüfe auch, ob dieses Modul überhaupt mit installiert wurde - ist per Default im Installationspaket deaktiviert. Wenn installiert siehst du das Schutzmodul in den Eigenschaften der Systeme im KSC unter “Aufgaben”: Großflächiges Abschalten wäre für mich auch keine Option. Wenn, dann würde ich das über eine separate Richtlinie nur für den Exchange-Server abschalten. Leider sind die Richtlinienprofile für KS4WS noch nicht so gut einsetzbar. Grüße Alex ​​​​​​​

Hallo Frank, vielen Dank für den Hinweis und den Link. Woraus schließt du, dass Windows Defender aktiviert wird? Das sollte eigentlich nicht der Fall sein. Auch sollte das Problem nicht mit “Kaspersky Security for Exchange” zusammen hängen - hier ist der AMSI-Provider nicht integriert - sondern mit “Kaspersky Endpoint Security” oder “Kaspersky Security for Windows Server”. Kannst du da bitte noch posten, welches Produkt und welche Version du auf dem Exchange Server einsetzt? Bei beiden Schutzprodukten lässt sich die AMSI-Schnittstelle über die Richtlinie abschalten. Man verliert dabei aber einiges an Schutz-Niveau: In nahezu jedem Angriffs-Szenario werden bereits in den Anfangs-Phasen Scripte eingesetzt - primär PowerShell-Scripte. Über die AMSI-Schnittstelle ist es der Endpoint-Security möglich, die Scriptverarbeitung mit zu scannen und ggf. einzuschreiten. Eine gute Beschreibung/Diskussion mit Bezug auf die aktuelle Exchange-Problematik habe ich hier gefunden: https://www.msxfaq.de/windows/endpointsecurity/amsi_antimalware_scan_interface.htm Grüße Alex

Deckt sich wie gesagt nicht mit meinen Beobachtungen - wir haben KES11.6 großflächig im Einsatz und können keine Störungen dieser Art feststellen. Hier nochmal der Hinweis auf PF8913 (inzwischen gibt es vermutlich einen aktuelleren kumulativen Fix). Falls du in die Fehlerqualifizierung einsteigen möchtest: Kannst du bitte weitere Information zu deiner Umgebung und deiner Konfiguration liefern? Gerne kannst du mir auch die Richtlinie exportieren und schicken (bitte per PM Bescheid geben). Weiterhin steht allen Kaspersky-Kunden/-Partnern der Kaspersky-Support über den Company-Account zur Verfügung: https://companyaccount.kaspersky.com/account/login Grüße Alex

Falls sich das SQL-Problem noch nicht gelöst hat: SA ist das SQL-eigene System-Administrator-Konto, sprich das Standardkonto, dass beim “SQL Server- und Windows-Authentifizierungsmodus” aktiviert wird. Der Authentifizierungsmodus lässt sich auch nachträglich über SQL Server Management Studio ändern: https://docs.microsoft.com/de-de/sql/database-engine/configure-windows/change-server-authentication-mode?view=sql-server-ver15 Nachdem es immer mal wieder vorkam, dass bei Kunden der Admin-Zugriff auf SQL über den reinen Windows-Authentifizierungsmodus “verloren” ging (und dann wird es echt mühsam wieder Zugriff auf die Datenbank zu bekommen), wähle ich inzwischen immer den SQL Server- und Windows-Authentifizierungsmodus und setze ein Passwort für den SA. Grüße Alex

Hallo qwerk, willkommen im Forum. Hast du diesen Hinweis zu SQL2019 im Handbuch beachtet? https://support.kaspersky.com/KSC/13/de-DE/92235.htm Meine Empfehlung bzgl. SQL Installation: Immer einen SA anlegen und den administrativen Zugriff auf eine AD-Gruppe konfigurieren. Bzgl. deiner generellen Fragen zum Thema “Upgrade/Migration” findest du vielleicht hier Antworten: LinkLink Was genau meinst du mit “KSC will Benutzer anlegen”? Sind damit die Service-Accounts für den Admin-Server und den KSC-Proxy gemeint? Da kannst du bei der Installation die vorgeschlagenen (lokalen) Konten erstellen lassen oder eigene (Domänen-) Konten angeben. Mehr Kontrolle hast du natürlich über eigene Domänen-Konten. Nur bitte hier keinen Domänen-Admin oder sowas in der Art nehmen. Es sollten schon dedizierte Service-Accounts sein. Die Passwörter für die automatisch angelegten Accounts (in der Art KL-AK-xxxx bzw. KlScSvcxxxx) lassen sich ändern - die neuen Passwörter müssen dann aber natürlich in den zugehörigen Diensten hinterlegt werden, da die sonst nicht mehr starten. Was du nicht machen darfst: Nachträglich das Konto der Kaspersky-Dienste manuell auf ein anderes Konto ändern. Dafür gibt es extra ein Tool im Programmordner: Grüße ​​​​​​​Alex

Hallo Umair, du findest diese Einstellung in der Richtlinie: Allerdings solltest du zuerst in den Eigenschaften des Admin-Servers prüfen, ob du auch wirklich das aktuelle Verwaltungs-Plugin installiert hast: Grüße Alex​​​​​​​

Kurz zu den Screenshots: Die Verhaltensanalyse solltest du auf keinen Fall abschalten. Laut Statistik basieren ca. 95% der Funde auf der Verhaltensanalyse. Auch die Aktivierung der Firewall würde ich empfehlen. Wo eher Störungspotential liegt: SSL-Inspection. Die “Untersuchung geschützter Verbindungen” kannst du in der Richtlinie unter “Allgemeine Einstellungen” - “Netzwerkeinstellungen” ausschalten. Wenn hier Pings noch durchgehen würde ich das Problem bei der Namensauflösung vermuten. Hier wäre z. B. mit nslookup zu prüfen, welche Namensserver abgefragt werden und ob es da Probleme gibt. Wie in meiner ersten Antwort zu lesen ist: Mit KS4WS auf den Servern reduziert man hier das Fehlerpotential wesentlich. Was ich aus deinem Post rauslese: Die Server-Rollen liegen auf normalen Windows 10 Rechnern. Das ist sicher kein empfehlenswertes Konstrukt. Hier stellt sich tatsächlich die Frage, ob die Netzwerkkonfiguration passt. Zumal es eine Windows Server 2019 Essentials Lizenz für wirklich wenig Geld gibt. Weiterhin steht für KES11.6 seit einiger Zeit PrivateFix 8913 (mein letzter Stand) zur Verfügung (muss beim Support angefordert werden). Wäre einen Versuch wert. Grüße Alex PS: Bitte keine Doppel-Posts

Perfekt formuliert. Grüße Alex

Hallo sebneu, das mit Schloss offen / Schloss zu ist das Konstrukt für hierarchische Richtlinien. Bei Richtlinienprofilen funktioniert das etwas anders: Du kannst/solltest alle Schlösser in der Richtlinie schließen, um die Einstellungen verbindlich zu machen. In den Richtlinienprofilen änderst du nur die abweichenden Einstellungen - z. B. deaktivierst SSL-Inspection - und machst nur dort das Schloss zu. Sobald die Aktivierungsregel greift werden die verbindlichen Einstellungen des Richtlinienprofils angewendet, auch wenn diese bereits in der “normalen” Richtlinie verbindlich gesetzt sind. Hier “gewinnt” das Richtlinienprofil. Noch ein Wort zu Richtlinienprofilen: Wie man im Dialog sieht, lassen sich die Profile sortieren und damit eine Hierarchie festlegen. Es können ja durchaus mehrere Profile auf einem System greifen, wenn die entsprechenden Regeln erfüllt sind. Wenn es zwei Profile mit widersprüchlichen Einstellungen gibt, gewinnt das hierarchisch höherstehende Profil. So mache ich z. B. oft bitlocker-Management: Oben in der Liste steht ein Profil, das die Laufwerke bei Vorhandensein eines entspr. Tags entschlüsselt. Darunter steht ein Profil, das die Laufwerke z. B. auf Basis der AD-Gruppe verschlüsselt. Mit diesem Konstrukt kann ich einzelne Systeme jederzeit entschlüsseln, ohne dass ich dieses System im AD verschieben muss - ich setze einfach den Tag. Grüße Alex

Info: Das Problem wurde mit dem Einspielen von Patch PF8913 für KES11.6 gelöst. Grüße Alex

Hallo Michael, vielen Dank für die Rückmeldung. Kannst du bitte die Diskussion als gelöst markieren, indem du deine Antwort als Lösung (Best answer) setzt? Danke! Grüße Alex

Hallo HIKE, dieses Verhalten konnte ich bisher nicht beobachten. Wäre wichtig herauszufinden, welches Schutzmodul den Fehler verursacht. Nach der Problembeschreibung hätte ich zuerst das Modul “Schutz vor Netzwerkbedrohungen” im Verdacht. Was ich dir aber auf jeden Fall empfehlen würde: Auf Windows Servern solltest du statt der KES besser die KS4WS installieren. Link Grüße Alex

Was du mal testen könntest: Nimm in der Installationsaufgabe den Haken bei “Anwendung nicht neu installieren, wenn sie schon installiert ist” raus. Sonst hilft vermutlich nur deinstallieren und anschließend neu installieren. Grüße ​​​​​​​Alex

Klar, die Fehlermeldung kommt, da offensichtlich bereits ein aktueller gepatchter Agent auf dem Zielsystem vorhanden ist. Stellt sich die Frage: Warum willst du denn den Agent erneut ausrollen, wenn er doch schon drauf und aktuell ist? Grüße Alex

Hallo Antrox, das der Agent auf den Clients eine höhere Versionsnummer als das Paket im KSC aufweist liegt in der Regel an den Auto-Updates. Für Version 13.0 gibt es hier aktuell Patch A und den OpenSSL-Patch. Je nach Einstellung in der Richtlinie werden diese Updates automatisch installiert: Eine Aktualisierung des Paketes im KSC ist nicht erforderlich, da die Updates mit dieser Einstellung auch bei der Erstbetankung gleich mit installiert werden. Grüße Alex

Kaspersky Security für Windows Server 11.0.1.897 wurde am 24.05.2021 veröffentlicht. Infos und Downloads: https://support.kaspersky.com/de/ksws11#downloads Onlinehilfe: https://support.kaspersky.com/KSWS/11.0.1/de-DE/147896.htm Neuerungen: https://support.kaspersky.com/KSWS/11.0.1/de-DE/194846.htm Bekannte Einschränkungen: https://support.kaspersky.com/KSWS/11.0.1/de-DE/161707.htm Grüße Alex

Hallo Stefan, der Begriff “Aktive Desinfektion” ist bei Kaspersky etwas anders belegt: In der KES-Richtlinie und den Scan-Aufgaben kannst du die “Aktive Desinfektion” aktivieren. In diesem Fall wird bei Fund eines bereits aktiven Virus durch den Echtzeitschutz (Einstellung Richtlinie) oder einer Scanaufgabe (Einstellung Scan-Aufgabe) der Virus hart aus dem System entfernt. Im Zuge dessen erfolgt ein sofortiger Neustart ohne dass der Benutzer eingreifen kann. Nach dem Neustart wird ein Vollscan ausgeführt, um sicher zu stellen, dass der Rechner sauber ist. Wenn ich deine Anforderungen richtig interpretiere würde ein Vollscan eher passen, der erstmal nur reportet und nicht löscht. Über die Einträge in der Quarantäne bzw. des Backups im KSC kannst du dann entscheiden, was mit den gefundenen Objekten geschehen soll: Wobei ich bei einem Vollscan erstmal alles löschen lassen und mich nachträglich um die Events kümmern würde. Der Vollständigkeit halber sie erwähnt: Ich bin ein großer Fan der “Aktiven Desinfektion”. Grüße Alex

Kurze Erklärung zu den Schlössern (aus einem anderen Beitrag kopiert): “Um das mit dem Schloss nochmal auszuführen: Bei der ersten Übernahme der Richtlinie werden alle Einstellungen vom Client übernommen, egal ob Schloss offen oder zu. Anschließend durchgeführte Änderungen werden nur auf dem Client angewendet, wenn die Einstellung verbindlich, also Schloss zu ist.Bedeutet: Irgendwo muss das Schloss bei jeder Einstellung in den Richtlinien zu sein. Wenn du mit über- und untergeordneten Richtlinien arbeitest, muss eine Einstellung, die in der übergeordneten Richtlinie offen ist, entsprechend in der untergeordneten Richtlinie (abweichend) konfiguriert und dann hier verbindlich gesetzt werden (Schloss zu).” Grüße Alex

Interessanter Ansatz. Tatsächlich werden Patches für das KSC nicht über den automatischen Verteilungsprozess installiert. Mit Advanced-Lizenzen ist das über das Patch-Management möglich, aber nicht unbedingt empfehlenswert, da in der Regel ein Neustart des Admin-Servers erforderlich ist. An den Patch-Installer kommst du über das KSC: Tipp: Kopiert euch die Datei in einen anderen Ordner bevor ihr den Patch ausführt. Bei der Installation wird das erstmal ohne Rückfrage entpackt. Welcher Patch auf den verwalteten Systemen bzw. auf dem Admin-Server installiert ist lässt sich über den “Bericht über die Versionen der Kaspersky-Lab-Programme” auswerten. Ich sortiere mir in den Einstellungen des Berichts die Spalte “Installierte Updates” hinter die Spalte “Versionsnummer”, dann ist es besser lesbar. Grüße Alex

Sehr seltsam. Bin gerade auch mal über das englische Forum geflogen und konnte keinen Hinweis auf ein vergleichbares Problem finden. Meine Empfehlung: Wende dich über deinen Company-Account an den Support in Ingolstadt: https://companyaccount.kaspersky.com/account/login Grüße Alex PS: Feedback ist willkommen - vielleicht hilft es ja einem Anderen / einer Anderen weiter.

Seltsam, kann ich so in den Umgebungen, die wir betreuen nicht beobachten. Wann hast du das Upgrade durchgeführt? Wurden auch die Netzwerkagenten aktualisiert? Grüße Alex

Hallo Michael.W, willkommen im Forum. Eigentlich ist mir dies bzgl. keine Störung bekannt. Was ist mit KEC gemeint? Ich vermute KSC (Kaspersky Security Center). Das einzige, worauf du achten musst ist eigentlich: Es werden in der Regel zwei Lizenzschlüssel geliefert - einer für das KSC und einer für die Schutzprodukte auf den Endpoints (Windows Clients und Server, MAC OS, Android, Linux, ...). Wichtig ist es beide Lizenzen einzuspielen und beim Lizenzschlüssel für die Nodes (Schutzprodukte) die automatische Verteilung zu aktivieren. Die Schlüsseländerung greift natürlich nur, wenn die Systeme mit dem Admin-Server (KSC) kommunizieren/synchronisieren können. Grüße Alex