alexcad

Hallo Zimbo73, wenn du lokal auf dem Admin-Server auf den lokalen Pfad zugreifst solltest du als Admin alles löschen können: Ein lokaler Pfad wäre z. B.: E:\Kaspersky\KLShare\PkgInst\NetAgent_14.0.0.10902\ Über den UNC-Pfad geht das nicht, da in den Freigabe-Berechtigungen nur "lesen" gesetzt ist. Ein UNC-Pfad wäre z. B.: \\KL_TESTSERVER01\KLSHARE\PkgInst\NetAgent_14.0.0.10902\ Grüße Alex

Momentan gibt es weder Infos zum Patch, noch die Möglichkeit den von der Support-Seite zu laden. Die Informationspolitik bzgl. der Fixes und Patches ist ja generell eher mau. Diesmal gab es nicht mal die übliche Ankündigung über den Support-Kanal - habe das auch nur eher zufällig mitbekommen. Sobald da noch was kommt, werde ich es gerne ergänzen. Grüße Alex

Hallo Zusammen, Patch A für KSC und Agent Version 14.2 steht als Auto-Update zur Verfügung. Auto-Updates werden vom KSC automatisch herunter geladen und je nach Einstellung in der Richtlinie auch sofort oder nach der Genehmigung verteilt. Ihr findet das Update unter "Erweitert" - "Programmverwaltung" - "Software-Updates". Leider wird nur der Patch für den Netzwerkagenten automatisch verteilt. Der Patch für den Admin-Server muss manuell installiert werden. Die Installationsdatei findet ihr im Update-Ordner im KLShare. Wo genau lässt sich über die Eigenschaften des Repositorys "Erweitert" - "Programmverwaltung" - "Updates für Kaspersky-Datenbanken und -Softwaremodule" - "Patches für Kaspersky Security Center 14.2" heraus finden. Da bei der Ausführung erst noch das selbst-extrahierende Archiv entpackt wird und Log-Files geschrieben werden, würde ich empfehlen, den Patch vor Ausführung in einen anderen Ordner zu kopieren. Grüße Alex

Hallo Zusammen, Kaspersky hat den Support für KSWS 11.0.1 um ein Jahr verlängert. Der vollständige Support geht jetzt bis 31.12.2024. Siehe https://support.kaspersky.com/de/corporate/lifecycle#b2b.block1.ksws11 Grüße Alex

Hallo Dennis, Infos zu den Einstellungen in der Richtlinie und den Änderungen im Update-Prozess findest du hier Um diese Einstellung zu sehen, musst du allerdings bereits das aktuelle Plugin installiert haben. Betroffen sind die Versionen bis inkl. 11.6. Ab Version 11.7 ist die Schwachstelle nicht mehr vorhanden. Woher kommt die von dir genannte Meldung? Die Schwachstelle ist in der Auswirkung schon gravierend. Allerdings muss der Angreifer bereits Zugriff auf das System haben, um diese ausnutzen zu können. Außerdem ist es normalerweise nicht das Ziel eines Angreifers, dass System temporär (da wiederherstellbar) unbootbar zu machen. Grüße Alex

Hallo Bert1969, willkommen im Forum. Tatsächlich dauert das immer ein bisschen, bis die aktuellen Versionen und Auto-Updates angezeigt werden. Die (fehlenden) Informationen über neue Versionen ist ein oft kritisierter Punkt bei Kaspersky. Die einzige Quelle, die zeitnah und verlässlich über alle technischen Neuigkeiten informiert ist der Telegram-Kanal "Kaspersky Technical Support" (englisch). Grüße Alex

Hallo Dennis, laut Kaspersky gab es den letzten sicherheitsrelevanten Fix mit KES11.7, siehe https://support.kaspersky.com/vulnerability/list-of-advisories/12430 bzw. https://support.kaspersky.com/vulnerability/list-of-advisories/12430#01112021 Meldung vom 01.11.2021 CVE-2021-35053 List of affected applications: Kaspersky Endpoint Security versions from 11.1 to 11.6 (inclusively) Fixed versions: Kaspersky Endpoint Security 11.7 Zwei Punkte sprechen allerdings für die zeitnahe Migration auf die aktuelle Version 12.1: Das Serverschutzprodukt KSWS muss bis Ende das Jahres (End of Support) durch die KES abgelöst werden. Die Integration der erforderlichen Funktionen und der umfassenden Unterstützung der Serverplattformen wurde mit KES 11.8 begonnen und mit KES 12.0 abgeschlossen. (nur die Adaptive Kontrolle von Anomalien fehlt noch). Ab KES-Version 11.10 bzw. 11.11 ist in Zukunft die (automatische) Produktaktualisierung ohne Neustart möglich. (Muss in der Richtlinie aktiviert werden). Das bringt eine wesentliche Erleichterung für den Update-Prozess der Umgebung. Bzgl. des zweiten Punktes: In den Umgebungen, bei denen momentan eine Aktualisierung ansteht, installiere ich die KES 12.1 nochmal wie gewohnt, da bei gewachsenen Strukturen oft die aktuellen bzw. nun erforderlichen Module nicht installiert wurden. (Bitlocker-Management, Adaptive Kontrolle von Anomalien, EDRO, ...). Durch die "normale" Upgrade-Installation kann ich über das Installationspaket auch die Modulauswahl neu definieren. Sobald die installierten Module auf den geschützten Systemen wieder dem heutigen Stand entsprechen lässt sich mit den erwähnten (Auto-)Updates ohne Neustart arbeiten (da lässt sich die Modulauswahl nicht ändern). Grüße Alex

Kaspersky Endpoint Security 12.1.0.506 wurde am 24.04.2023 veröffentlicht. Infos https://support.kaspersky.com/de/kes12 Download https://www.kaspersky.de/small-to-medium-business-security/downloads/endpoint Systemanforderungen https://support.kaspersky.com/KESWin/12.1/de-DE/127972.htm Neuerungen https://support.kaspersky.com/KESWin/12.1/de-DE/127969.htm Bekannte Einschränkungen https://support.kaspersky.com/de/kes12/limitations Online-Hilfe https://support.kaspersky.com/KESWin/12.1/de-DE/184649.htm Grüße Alex

Hallo Marco, danke. Wir sichern den Kaspersky Adminserver (soweit wie möglich) über ein "klassisches" Tiering-Modell ab und beziehen dabei den aktualisierten "Leitfaden zur Härtung" mit ein: https://support.kaspersky.com/KSC/14.2/de-DE/245736.htm Die groben Eckpunkte sind dabei: Falls eine Netzwerksegmentierung vorhanden ist, wird der Admin-Server ins Management-Segment geschoben. Das erlaubt restriktive Zugriffsregeln auch auf Firewall-/Netzwerkebene. Der Admin-Server ist nicht im AD und verfügt damit über eigene Windows-Konten bzw. eine separate Authentifizierung. Sollte es Angreifern gelingen Domänen-Konten zu kapern haben sie dennoch keinen Zugriff auf den Kaspersky Admin-Server. Der Zugriff auf die Konsolen (MMC und Web-Konsole) ist nur lokal auf dem Admin-Server möglich. Der Zugriff per RDP wird sehr restriktiv konfiguriert. Auch hier hilft ggf. die Netzwerksegmentierung. Die Authentifizierung am KSC (MMC und Web-Konsole) ist ausschließlich über interne Benutzer mit 2FA möglich. Windows-Benutzer haben keinen Zugriff auf die Konsolen. Was doch bei erschreckend vielen Umgebungen noch fehlt ist die Netzwerksegmentierung. Wenn möglich versuchen wir das zusammen mit Tiering, AD- und KSC-Härtung in einem Projekt umzusetzen. Die Abhängigkeiten und Synergien sind ja offensichtlich. Auch dir ein schönes Wochenende! Grüße Alex

Vielleicht hilft dir das weiter: https://support.kaspersky.com/KSC/14.2/de-DE/174316.htm Allerdings ist das schon ein tiefer Eingriff in das KSC - würde dir empfehlen da vorher nochmal beim Support anzufragen: https://companyaccount.kaspersky.com/account/login Grüße Alex

Hallo Marco, laut Screenshot ist das "Kaspersky Security Center 11" - kann das sein? Oder ist die Konsolen-Installation veraltet? (Falls auf einem anderen Rechner) Grüße Alex

Inzwischen gibt es dazu einen Artikel auf der Support-Seite: https://support.kaspersky.com/de/ks10mob/diagnostics/15961 Grüße Alex

Vermutlich hast du einen Aktivierungs-Code - der lässt sich auch für das KSC einsetzen. Falls du wider erwarten doch eine Lizenz-Datei benötigst - hier lassen sich aus einem Aktivierungs-Code die Schlüssel-Dateien erzeugen: https://keyfile.kaspersky.com/de/ Eine Bitte für die Zukunft: Neue Frage = neues Thema/Topic Das macht es für alle Teilnehmer einfacher Informationen im Forum zu finden. Grüße Alex

Hallo Paddy, willkommen im Forum. Meines Wissens ist das nicht möglich. Bei Bedarf kannst du das nochmal über deinen Company-Account beim Support anfragen: https://companyaccount.kaspersky.com/account/login Aber in der Online-Hilfe ( https://support.kaspersky.com/KSMG/2.0.1/de-DE/91208.htm )gibt es dazu keine Info und im KSC lassen sich keine Richtlinien und Aufgaben für die Lösung erstellen. Grüße Alex

Hallo Zusammen, analog zu Exchange gibt es von Microsoft auch für SQL-Server eine lange Liste an Anforderungen bzgl. der zu setzenden Ausnahmen: https://support.microsoft.com/en-us/topic/how-to-choose-antivirus-software-to-run-on-computers-that-are-running-sql-server-feda079b-3e24-186b-945a-3051f6f3a95b Teilweise sind die geforderten Ausnahmen nicht so einfach umzusetzen bzw. man muss etwas Arbeit reinstecken das zu konsolidieren - sollte aber unbedingt in der Richtlinie für SQL-Server umgesetzt werden. Dabei nicht vergessen: Auch auf dem Kaspersky Admin-Server läuft in der Regel ein SQL-Server. Tatsächlich gibt es in der Regel mehr SQL-Instanzen als bekannt bzw. dokumentiert. Daher überprüfe ich die Angaben nochmal über die Einträge der Programm-Registry über das KSC: Auch hier -wie bei Exchange- die Empfehlung: Spezielle Ausnahmen für bestimmte Server-Rollen (Cluster, Exchange, SQL, ...) setze ich über Richtlinien-Profile um. Die Ausnahmen greifen damit nur auf den Systemen, auf denen sie erforderlich sind (z. B. Tag-basierte Zuweisung). Siehe Wie bei den Ausnahmen für Exchange sollte man die Ausnahmen für SQL nicht auf alle (Server-) Systeme anwenden, da sie sehr weitreichend sind. Grüße Alex

Über deinen Company-Account kannst du ja einen Feature-Request erstellen: "Gerätefreigabe mit Ablaufdatum" https://companyaccount.kaspersky.com/account/login Grüße Alex

Hallo Paul, du hast recht: Das Call- and Response Verfahren für die temporäre Freigabe ist sehr umständlich. Das Betrifft neben der Gerätekontrolle auch die Web-Kontrolle. Leider kann ich keine allgemeingültige Lösung anbieten. Einige Kunden praktizieren das wie von dir angesprochen: Nach Anforderung durch den Benutzer per Mail oder Telefon wird das Gerät der Liste der vertrauenswürdigen Geräte hinzugefügt. Das wird entsprechend (mit Ablaufdatum) dokumentiert und es gibt einen zyklischen (wöchentlichen) Prüf-Prozess für die Bereinigung der Whitelist. Alternativ gibt es noch die Möglichkeit die Gerätekontrolle selektiv für einzelne Systeme per Richtlinienprofil ganz auszuschalten, siehe Hot-Topic "Empfehlungen zu Best Practice". Aber auch hier muss das dokumentiert und manuell bereinigt werden. Was sich mit Ablaufdatum konfigurieren lässt, aber für den Durchschnitts-Benutzer auch schon wieder eine Herausforderung darstellt ist das "Temporäre Kennwort. Du könntest einem Benutzer damit für z. B. einen Tag erlauben die Gerätekontrolle auszuschalten. Grüße Alex

Kaspersky Security Center 14.2.0.26967 wurde am 02.03.2023 veröffentlicht. Infos https://support.kaspersky.com/de/ksc14 Download https://support.kaspersky.com/de/dl_ksc Systemanforderungen https://support.kaspersky.com/KSC/14.2/de-DE/96255.htm Neuerungen https://support.kaspersky.com/KSC/14.2/de-DE/12521.htm Bekannte Einschränkungen: https://support.kaspersky.com/KSC/14.2/de-DE/211205.htm Online-Hilfe: https://support.kaspersky.com/KSC/14.2/de-DE/5022.htm Grüße Alex

Hier finden sich einige sehr gute HowTo-Artikel von Anna Antipova https://forum.kaspersky.com/forum/advice-and-solutions-for-kaspersky-endpoint-security-for-business-220/ Aktualisierte Best-Practices für Virenschutz-Ausnahmen für Microsoft Exchange Best-Practices für Virenschutz-Ausnahmen für Microsoft SQL Richtlinienprofile

Hello samwinchester, have you tested the above procedure with telnet? Result? Regards Alex

Hallo Khappa, zu Frage 1.) fällt mir leider nichts ein, hatte ich noch nie. Da müsstest du dich an den Support wenden. Tatsächlich nutze ich eine Migration mit einem neuen Admin-Server immer, um mich von Altlasten zu befreien und lege neue Richtlinien nach aktueller Best-Practice an. Wenn, dann übertrage ich nur bestimmte Ausnahmen oder die Geräte-Whitelist. Was du ausprobieren könntest: Exportiere die Einstellungen an einem Client, der die Richtlinie übernommen hat in eine Konfig-Datei. Lege auf Basis dieser Konfig-Datei eine neue Richtlinie an - kann sein, dass du erstmal im Assistenten ein paar Schritte vor und dann wieder zurück musst, damit du diese Dialog siehst: 2.) Liegt an der Select-Lizenz. Tatsächlich hat Kaspersky die Lizenzierung der Module bzgl. KSWS auf die KES für Server übertragen - finde ich auch nicht glücklich, aber ist so. Dadurch ergeben sich Unterschiede für Clients und Server in den verfügbaren Modulen. War aber schon immer so, wenn du KES auf einem Server installiert hast. Mit Select stehen die Module Web-Anti-Virus, Web-Kontrolle, Schutz vor E-Mail-Bedrohungen, Gerätekontrolle und Kontrolle des Programmstarts auf Servern nicht zur Verfügung. Dazu ist Advanced-Lizenzierung erforderlich. Siehe https://support.kaspersky.com/de/ksws10/key/12784 Allerdings gibt es durchaus auch andere Gründe ein Upgrade auf Advanced durchzuführen - Select ist eigentlich nicht mehr zeitgemäß. Neben den Themen Patchmanagement und Verschlüsselung wird dadurch auch das Modul "Adaptive Kontrolle von Anomalien" frei geschaltet. Für uns ist eigentlich sogar KEDRO (Kaspersky Endpoint Detection and Response Optimum, KEDRO = KES4B-Advanced + EDR) der Standard, auf den wir beraten. EDR ist für KRITIS-Unternehmen Pflicht und wird von allen Versicherungen und einigen Banken (bei Finanzierungen) gefordert. Grüße Alex

Vielen Dank für das Feedback. Grüße Alex

Hallo Zusammen, hier mal eine kleine Anleitung, wie sich Differenzierungsbedarf bzgl. der Schutzeinstellungen in einer einzigen Richtlinie abbilden lassen. Das Stichwort ist „Richtlinienprofile“. Diesen Punkt findet ihr z. B. in den Richtlinien der KES und der KSWS – richtig spannend ist er aber nur in der KES-Richtlinie. Folgende Ausführungen beziehen sich somit alle auf die KES-Richtlinie. Die Funktion kurz zusammengefasst: (Details dann in den Anwendungsbeispielen) Jedes Richtlinienprofil, für das eine Aktivierungsregel greift, wird von den entsprechenden Systemen übernommen. Gibt es zwei Richtlinienprofile mit widersprüchlicher Einstellung gewinnt die Einstellung aus dem Richtlinienprofil mit der höheren Priorität (weiter oben in der Liste). Die Einstellungen der Basis-Richtlinie werden nur durch die verbindlich gesetzten Einstellungen des Richtlinienprofils überschrieben (Schloss zu), auch wenn in der Basis-Richtlinie hier ebenfalls das Schloss zu ist. Alle anderen Einstellungen (im Richtlinienprofil Schloss offen) der Basis-Richtlinie bleiben unverändert und verbindlich (sofern dort das Schloss ebenfalls zu ist, was ich immer für alle Einstellungen empfehlen würde). Beispiel 1 - Steuerung der Festplattenverschlüsselung / Bitlocker-Management (Advanced-Lizenzierung erforderlich) In der Regel müssen in einem Unternehmen nicht bei allen Systemen die Festplatten verschlüsselt werden. Oft ist dies nur bei Notebooks gefordert. Eine gezielte Verschlüsselung z. B. aller Notebooks, in Verbindung mit der Möglichkeit einzelne Geräte selektiv zu entschlüsseln, lässt sich mit Richtlinienprofilen sehr einfach umsetzen. Wir erstellen zwei Richtlinienprofile, "Bitlocker off" und Bitlocker on", wobei "Bitlocker off" die höhere Priorität besitzt. Im Richtlinienprofil "Bitlocker on" setzen wir als Aktivierungsregel z. B. Zugehörigkeit zu einer bestimmten OU im AD: Wie sich am Dialog erkennen lässt, wäre es möglich weitere Aktivierungsregeln zu definieren. Wie immer gilt: Alle konfigurierten Bedingungen in einer Aktivierungsregel müssen erfüllt sein damit die Regel greift (UND-Verknüpfung) Mindestens eine Aktivierungsregel muss greifen damit das Richtlinienprofil vom Client übernommen wird (ODER-Verknüpfung) Nun gehen wir im Richtlinienprofil "Bitlocker on" in die Programmeinstellungen, aktivieren dort die Festplattenverschlüsselung mit Bitlocker und schließen nur dort das Schloss. Anschließend alles mit "OK" bestätigen bzw. speichern und die Richtlinie schließen. Alle Geräte, die sich in der OU "Notebooks" befinden sollten nun dieses Richtlinienprofil übernehmen und folglich die Festplattenverschlüsselung mit Bitlocker durchführen. Die Übernahme des Profils lässt sich prüfen: Im Richtlinienprofil In den Eigenschaften des Systems Über die GUI auf dem Client Damit wir einzelne Geräte bei Bedarf entschlüsseln können konfigurieren wir noch das zweite Richtlinienprofil "bitlocker off". In diesem Richtlinienprofil setzen wir als Aktivierungsregel z. B. Tag "bitlocker off" muss vorhanden sein ... ... und aktivieren in den Einstellungen die Entschlüsselung aller Festplatten. Und auch hier nicht vergessen das Schloss zu schließen. Wenn ich nun ein Notebook gezielt entschlüsseln möchte, muss ich nur den Tag "bitlocker off" in den Clienteigenschaften aktivieren. Da das Richtlinienprofil "bitlocker off" eine höhere Priorität als das Richtlinienprofil "bitlocker on" besitzt, wird das Notebook entschlüsselt, auch wenn es sich in der OU "Notebooks" befindet. Beispiel 2 - Dedizierte Ausnahmen für bestimmte Systeme setzen Oft sind die Vorgaben der Software-Hersteller bzgl. der Ausnahmen für EndpointSecurity-Produkte sehr umfassend bzw. zu allgemein. Das möchte man nicht auf allen Systemen aktiv haben, um nicht ein zu großes Loch in den Schutz zu reißen. Bestes Beispiel sind hier die Vorgaben von Microsoft bzgl. Exchange, siehe https://learn.microsoft.com/de-de/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2019 Auch hier lässt sich ein Richtlinienprofil gut einsetzen. Im Beispiel konfiguriere ich die Aktivierungsregel wieder auf Basis eines Tags - der Tag "Exchange" muss vorhanden sein, damit das Richtlinienprofil übernommen wird. In den Einstellungen ergänze ich die von Microsoft geforderten Untersuchungsausnahmen und vertrauenswürdigen Prozesse und schließe dort das Schloss. Uns kommt nun zu Gute, dass KES die Ausnahmen auch bei Richtlinienprofilen zusammenführt, sofern der entsprechende Haken gesetzt ist. Die Ausnahmen der Basis-Richtlinie werden dann nicht überschrieben, sondern durch die Ausnahmen des Richtlinienprofils ergänzt. Noch zwei Hinweise zum Thema "Tag setzen": Den Tag-Dialog bekommt ihr auch, wenn ihr im Kontextmenü einer Mehrfachauswahl auf Eigenschaften geht. Bedeutet: Ihr könnt für mehrere Geräte gleichzeitig einen Tag setzen oder deaktivieren. Tags lassen sich auch regelbasiert zuweisen. Ihr findet den Dialog in den Eigenschaften des Admin-Servers. Grüße Alex PS. Unten hat sich noch ein Screenshot eingeschlichen, den kann ich irgendwie nicht mehr löschen. Wir ignorieren ihn einfach.

Hallo Zusammen, Microsoft hat die lange Liste an geforderten Ausnahmen für Microsoft Exchange aktualisiert. Diese vier Objekte müssen nun nicht mehr exkludiert werden - bei einer Prüfung der Ausnahmen wurde von Microsoft kein Impact auf Exchange festgestellt und dem Sicherheitsaspekt Vorrang gegeben: Ordner %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\ %SystemRoot%\System32\Inetsrv\ Prozesse %SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe %SystemRoot%\System32\inetsrv\w3wp.exe Die Liste ist dennoch sehr lang, sollte aber unbedingt in der Richtlinie für Exchange-Server umgesetzt werden: Deutsch: https://learn.microsoft.com/de-de/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2019 Englisch: https://learn.microsoft.com/en-us/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2019 Details bei Microsoft: https://techcommunity.microsoft.com/t5/exchange-team-blog/update-on-the-exchange-server-antivirus-exclusions/ba-p/3751464 Details bei heise: https://heise.de/-7528210 Empfehlung: Ich setze spezielle Ausnahmen für bestimmte Server-Rollen (Cluster, Exchange, SQL, ...) über Richtlinien-Profile um. Die Ausnahmen greifen damit nur auf den Systemen, auf denen sie erforderlich sind (z. B. Tag-basierte Zuweisung). Siehe Gerade die Ausnahmen für Exchange sollte man nicht auf alle (Server-) Systeme anwenden, da sie sehr weitreichend sind. Grüße Alex

Nachtrag: Inzwischen habe ich zwei weitere Systeme migriert, komplett ohne Fehler. Was sich beobachten lässt: dauert etwas, siehe folgender Punkt. der Upgrade-Prozess hat sich wohl grundlegend geändert. Bisher: - alte KES wird deinstalliert. - Neustart erforderlich - neue KES wird installiert Jetzt: - KES12 wird parallel zur KES11.11 installiert, auch daran zu sehen, das es zwei KES-Ordner im Programm-Ordner gibt. - das System "schwenkt" die KES im laufenden Betrieb von 11.11 auf 12.0 - KES11.11 wird deinstalliert während die KES12 schon läuft. - die restlichen Ordner und Dateien verschwinden beim nächsten Neustart. Ist jetzt technisch vielleicht nicht ganz präzise formuliert, orientiert sich eben an den Beobachtungen. Das bezieht sich alles auf ein Upgrade direkt über die vorhandene Version KES11.10 oder KES11.11 mit den entsprechenden Einstellungen in der Richtlinie: Grüße Alex