alexcad
-
Posts
1035 -
Joined
-
Last visited
Posts posted by alexcad
-
-
Deckt sich wie gesagt nicht mit meinen Beobachtungen - wir haben KES11.6 großflächig im Einsatz und können keine Störungen dieser Art feststellen.
Hier nochmal der Hinweis auf PF8913 (inzwischen gibt es vermutlich einen aktuelleren kumulativen Fix).Falls du in die Fehlerqualifizierung einsteigen möchtest: Kannst du bitte weitere Information zu deiner Umgebung und deiner Konfiguration liefern? Gerne kannst du mir auch die Richtlinie exportieren und schicken (bitte per PM Bescheid geben).
Weiterhin steht allen Kaspersky-Kunden/-Partnern der Kaspersky-Support über den Company-Account zur Verfügung:
https://companyaccount.kaspersky.com/account/login
Grüße
Alex -
Falls sich das SQL-Problem noch nicht gelöst hat:
SA ist das SQL-eigene System-Administrator-Konto, sprich das Standardkonto, dass beim “SQL Server- und Windows-Authentifizierungsmodus” aktiviert wird.
Der Authentifizierungsmodus lässt sich auch nachträglich über SQL Server Management Studio ändern:
https://docs.microsoft.com/de-de/sql/database-engine/configure-windows/change-server-authentication-mode?view=sql-server-ver15Nachdem es immer mal wieder vorkam, dass bei Kunden der Admin-Zugriff auf SQL über den reinen Windows-Authentifizierungsmodus “verloren” ging (und dann wird es echt mühsam wieder Zugriff auf die Datenbank zu bekommen), wähle ich inzwischen immer den SQL Server- und Windows-Authentifizierungsmodus und setze ein Passwort für den SA.
Grüße
Alex -
Hallo qwerk,
willkommen im Forum.
Hast du diesen Hinweis zu SQL2019 im Handbuch beachtet?
https://support.kaspersky.com/KSC/13/de-DE/92235.htmMeine Empfehlung bzgl. SQL Installation: Immer einen SA anlegen und den administrativen Zugriff auf eine AD-Gruppe konfigurieren.
LinkLink
Bzgl. deiner generellen Fragen zum Thema “Upgrade/Migration” findest du vielleicht hier Antworten:
Was genau meinst du mit “KSC will Benutzer anlegen”? Sind damit die Service-Accounts für den Admin-Server und den KSC-Proxy gemeint?
Da kannst du bei der Installation die vorgeschlagenen (lokalen) Konten erstellen lassen oder eigene (Domänen-) Konten angeben. Mehr Kontrolle hast du natürlich über eigene Domänen-Konten. Nur bitte hier keinen Domänen-Admin oder sowas in der Art nehmen. Es sollten schon dedizierte Service-Accounts sein.
Die Passwörter für die automatisch angelegten Accounts (in der Art KL-AK-xxxx bzw. KlScSvcxxxx) lassen sich ändern - die neuen Passwörter müssen dann aber natürlich in den zugehörigen Diensten hinterlegt werden, da die sonst nicht mehr starten.
Was du nicht machen darfst: Nachträglich das Konto der Kaspersky-Dienste manuell auf ein anderes Konto ändern. Dafür gibt es extra ein Tool im Programmordner:
Grüße
Alex -
Hallo Umair,
du findest diese Einstellung in der Richtlinie:
Allerdings solltest du zuerst in den Eigenschaften des Admin-Servers prüfen, ob du auch wirklich das aktuelle Verwaltungs-Plugin installiert hast:
Grüße
Alex -
Kurz zu den Screenshots: Die Verhaltensanalyse solltest du auf keinen Fall abschalten. Laut Statistik basieren ca. 95% der Funde auf der Verhaltensanalyse.
Auch die Aktivierung der Firewall würde ich empfehlen.Wo eher Störungspotential liegt: SSL-Inspection.
Die “Untersuchung geschützter Verbindungen” kannst du in der Richtlinie unter “Allgemeine Einstellungen” - “Netzwerkeinstellungen” ausschalten.Wenn hier Pings noch durchgehen würde ich das Problem bei der Namensauflösung vermuten.
Hier wäre z. B. mit nslookup zu prüfen, welche Namensserver abgefragt werden und ob es da Probleme gibt.
Wie in meiner ersten Antwort zu lesen ist: Mit KS4WS auf den Servern reduziert man hier das Fehlerpotential wesentlich.Was ich aus deinem Post rauslese: Die Server-Rollen liegen auf normalen Windows 10 Rechnern.
Das ist sicher kein empfehlenswertes Konstrukt. Hier stellt sich tatsächlich die Frage, ob die Netzwerkkonfiguration passt.
Zumal es eine Windows Server 2019 Essentials Lizenz für wirklich wenig Geld gibt.
Weiterhin steht für KES11.6 seit einiger Zeit PrivateFix 8913 (mein letzter Stand) zur Verfügung (muss beim Support angefordert werden). Wäre einen Versuch wert.Grüße
AlexPS: Bitte keine Doppel-Posts
-
Perfekt formuliert.
Grüße
Alex -
Hallo sebneu,
das mit Schloss offen / Schloss zu ist das Konstrukt für hierarchische Richtlinien.
Bei Richtlinienprofilen funktioniert das etwas anders: Du kannst/solltest alle Schlösser in der Richtlinie schließen, um die Einstellungen verbindlich zu machen.
In den Richtlinienprofilen änderst du nur die abweichenden Einstellungen - z. B. deaktivierst SSL-Inspection - und machst nur dort das Schloss zu. Sobald die Aktivierungsregel greift werden die verbindlichen Einstellungen des Richtlinienprofils angewendet, auch wenn diese bereits in der “normalen” Richtlinie verbindlich gesetzt sind. Hier “gewinnt” das Richtlinienprofil.Noch ein Wort zu Richtlinienprofilen: Wie man im Dialog sieht, lassen sich die Profile sortieren und damit eine Hierarchie festlegen. Es können ja durchaus mehrere Profile auf einem System greifen, wenn die entsprechenden Regeln erfüllt sind. Wenn es zwei Profile mit widersprüchlichen Einstellungen gibt, gewinnt das hierarchisch höherstehende Profil.
So mache ich z. B. oft bitlocker-Management:
Oben in der Liste steht ein Profil, das die Laufwerke bei Vorhandensein eines entspr. Tags entschlüsselt.
Darunter steht ein Profil, das die Laufwerke z. B. auf Basis der AD-Gruppe verschlüsselt.Mit diesem Konstrukt kann ich einzelne Systeme jederzeit entschlüsseln, ohne dass ich dieses System im AD verschieben muss - ich setze einfach den Tag.
Grüße
Alex -
Info: Das Problem wurde mit dem Einspielen von Patch PF8913 für KES11.6 gelöst.
Grüße
Alex -
Hallo Michael,
vielen Dank für die Rückmeldung. Kannst du bitte die Diskussion als gelöst markieren, indem du deine Antwort als Lösung (Best answer) setzt? Danke!
Grüße
Alex -
Hallo HIKE,
dieses Verhalten konnte ich bisher nicht beobachten. Wäre wichtig herauszufinden, welches Schutzmodul den Fehler verursacht. Nach der Problembeschreibung hätte ich zuerst das Modul “Schutz vor Netzwerkbedrohungen” im Verdacht.
Link
Was ich dir aber auf jeden Fall empfehlen würde: Auf Windows Servern solltest du statt der KES besser die KS4WS installieren.
Grüße
Alex -
Was du mal testen könntest: Nimm in der Installationsaufgabe den Haken bei “Anwendung nicht neu installieren, wenn sie schon installiert ist” raus.
Sonst hilft vermutlich nur deinstallieren und anschließend neu installieren.
Grüße
Alex -
Klar, die Fehlermeldung kommt, da offensichtlich bereits ein aktueller gepatchter Agent auf dem Zielsystem vorhanden ist.
Stellt sich die Frage: Warum willst du denn den Agent erneut ausrollen, wenn er doch schon drauf und aktuell ist?
Grüße
Alex -
Hallo Antrox,
das der Agent auf den Clients eine höhere Versionsnummer als das Paket im KSC aufweist liegt in der Regel an den Auto-Updates.
Für Version 13.0 gibt es hier aktuell Patch A und den OpenSSL-Patch.
Je nach Einstellung in der Richtlinie werden diese Updates automatisch installiert:
Eine Aktualisierung des Paketes im KSC ist nicht erforderlich, da die Updates mit dieser Einstellung auch bei der Erstbetankung gleich mit installiert werden.Grüße
Alex
-
Kaspersky Security für Windows Server 11.0.1.897 wurde am 24.05.2021 veröffentlicht.
Infos und Downloads: https://support.kaspersky.com/de/ksws11#downloads
Onlinehilfe: https://support.kaspersky.com/KSWS/11.0.1/de-DE/147896.htm
Neuerungen: https://support.kaspersky.com/KSWS/11.0.1/de-DE/194846.htm
Bekannte Einschränkungen: https://support.kaspersky.com/KSWS/11.0.1/de-DE/161707.htmGrüße
Alex -
Hallo Stefan,
der Begriff “Aktive Desinfektion” ist bei Kaspersky etwas anders belegt:
In der KES-Richtlinie und den Scan-Aufgaben kannst du die “Aktive Desinfektion” aktivieren. In diesem Fall wird bei Fund eines bereits aktiven Virus durch den Echtzeitschutz (Einstellung Richtlinie) oder einer Scanaufgabe (Einstellung Scan-Aufgabe) der Virus hart aus dem System entfernt. Im Zuge dessen erfolgt ein sofortiger Neustart ohne dass der Benutzer eingreifen kann. Nach dem Neustart wird ein Vollscan ausgeführt, um sicher zu stellen, dass der Rechner sauber ist.
Wenn ich deine Anforderungen richtig interpretiere würde ein Vollscan eher passen, der erstmal nur reportet und nicht löscht.
Über die Einträge in der Quarantäne bzw. des Backups im KSC kannst du dann entscheiden, was mit den gefundenen Objekten geschehen soll:
Wobei ich bei einem Vollscan erstmal alles löschen lassen und mich nachträglich um die Events kümmern würde.
Der Vollständigkeit halber sie erwähnt: Ich bin ein großer Fan der “Aktiven Desinfektion”.
Grüße
Alex -
Kurze Erklärung zu den Schlössern (aus einem anderen Beitrag kopiert):
“Um das mit dem Schloss nochmal auszuführen:- Bei der ersten Übernahme der Richtlinie werden alle Einstellungen vom Client übernommen, egal ob Schloss offen oder zu.
- Anschließend durchgeführte Änderungen werden nur auf dem Client angewendet, wenn die Einstellung verbindlich, also Schloss zu ist.
Bedeutet: Irgendwo muss das Schloss bei jeder Einstellung in den Richtlinien zu sein.
Wenn du mit über- und untergeordneten Richtlinien arbeitest, muss eine Einstellung, die in der übergeordneten Richtlinie offen ist, entsprechend in der untergeordneten Richtlinie (abweichend) konfiguriert und dann hier verbindlich gesetzt werden (Schloss zu).”
Grüße
Alex -
Interessanter Ansatz.
Tatsächlich werden Patches für das KSC nicht über den automatischen Verteilungsprozess installiert. Mit Advanced-Lizenzen ist das über das Patch-Management möglich, aber nicht unbedingt empfehlenswert, da in der Regel ein Neustart des Admin-Servers erforderlich ist.
An den Patch-Installer kommst du über das KSC:
Tipp: Kopiert euch die Datei in einen anderen Ordner bevor ihr den Patch ausführt. Bei der Installation wird das erstmal ohne Rückfrage entpackt.
Welcher Patch auf den verwalteten Systemen bzw. auf dem Admin-Server installiert ist lässt sich über den “Bericht über die Versionen der Kaspersky-Lab-Programme” auswerten.
Ich sortiere mir in den Einstellungen des Berichts die Spalte “Installierte Updates” hinter die Spalte “Versionsnummer”, dann ist es besser lesbar.
Grüße
Alex
-
Sehr seltsam. Bin gerade auch mal über das englische Forum geflogen und konnte keinen Hinweis auf ein vergleichbares Problem finden.
Meine Empfehlung: Wende dich über deinen Company-Account an den Support in Ingolstadt:
https://companyaccount.kaspersky.com/account/login
Grüße
Alex
PS: Feedback ist willkommen - vielleicht hilft es ja einem Anderen / einer Anderen weiter. -
Seltsam, kann ich so in den Umgebungen, die wir betreuen nicht beobachten.
Wann hast du das Upgrade durchgeführt? Wurden auch die Netzwerkagenten aktualisiert?
Grüße
Alex -
Hallo Michael.W,
willkommen im Forum.
Eigentlich ist mir dies bzgl. keine Störung bekannt. Was ist mit KEC gemeint? Ich vermute KSC (Kaspersky Security Center).
Das einzige, worauf du achten musst ist eigentlich: Es werden in der Regel zwei Lizenzschlüssel geliefert - einer für das KSC und einer für die Schutzprodukte auf den Endpoints (Windows Clients und Server, MAC OS, Android, Linux, ...). Wichtig ist es beide Lizenzen einzuspielen und beim Lizenzschlüssel für die Nodes (Schutzprodukte) die automatische Verteilung zu aktivieren.
Die Schlüsseländerung greift natürlich nur, wenn die Systeme mit dem Admin-Server (KSC) kommunizieren/synchronisieren können.
Grüße
Alex -
Du könntest noch beim Support fragen ob und wo sich die Tags lokal auslesen lassen.
Vielleicht kann dir der Support auch sagen, mit welcher Datenbank-Variablen sich die Tags auslesen lassen. Dann könntest du das vielleicht über die externen Tools fassen:
Grüße
Alex -
Habe gerade auf deine Mail geantwortet.
Test mal mit Standardstufe “Empfohlen” im Echtzeitschutz für das Dateisystem.
Rückmeldung ist willkommen.
Grüße
Alex -
Das ist eine ungewöhnliche Anforderung. Fragt sich wozu das gut sein soll und ob da das KSC unbedingt das richtige Tool ist.
Leider kann ich nicht sagen wo und wie Kaspersky die Tags lokal speichert - ich habe nichts gefunden. Sprich: Die lokale Auswertung der Tags durch ein Script wird schwierig, siehe klakaut
Eine Idee, wie du das dennoch mit einem Script umsetzen könntest:
Du erstellst ein Script, das Startparameter auswertet. Im KSC erstellst du für jede gewünschte Kombination an Tags ein Installationspaket, in dem du analog zu den Tags die Werte als Startparameter übergibst:
Automatisieren lässt sich die Ausführung dann durch die Abfrage einer Geräteauswahl durch die Installationsaufgabe.
Aber wie gesagt: Ungewöhnliche Anforderung.
Grüße
Alex -
Tags lassen sich über das KSC über Berichte und Geräteauswahl-Filter erfassen. Vor allem letzteres ist eine gute Möglichkeit Abläufe zu automatisieren.
Allerdings muss man dazu sagen, dass es nicht ganz trivial ist per Script einen Tag zu setzen. Das geht nur über klkaut, siehe https://support.kaspersky.com/KSC/13/de-DE/13352.htm
Ich würde hier tatsächlich einen anderen Weg wählen.
Grüße
Alex
Kaspersky for Exchange und MS AMSI-Schnittstelle (Exchange2016 CU21)
in Für Unternehmen
Posted
Hallo Frank,
vielen Dank für den Hinweis und den Link.
Woraus schließt du, dass Windows Defender aktiviert wird? Das sollte eigentlich nicht der Fall sein.
Auch sollte das Problem nicht mit “Kaspersky Security for Exchange” zusammen hängen - hier ist der AMSI-Provider nicht integriert - sondern mit “Kaspersky Endpoint Security” oder “Kaspersky Security for Windows Server”.
Kannst du da bitte noch posten, welches Produkt und welche Version du auf dem Exchange Server einsetzt?
Bei beiden Schutzprodukten lässt sich die AMSI-Schnittstelle über die Richtlinie abschalten. Man verliert dabei aber einiges an Schutz-Niveau: In nahezu jedem Angriffs-Szenario werden bereits in den Anfangs-Phasen Scripte eingesetzt - primär PowerShell-Scripte. Über die AMSI-Schnittstelle ist es der Endpoint-Security möglich, die Scriptverarbeitung mit zu scannen und ggf. einzuschreiten.
Eine gute Beschreibung/Diskussion mit Bezug auf die aktuelle Exchange-Problematik habe ich hier gefunden:
https://www.msxfaq.de/windows/endpointsecurity/amsi_antimalware_scan_interface.htm
Grüße
Alex