alexcad

There is only one DB for both KSC Nodes. Regards Alex

KESL version 11.1 is currently available https://support.kaspersky.com/kes11linux#downloads This product runs on our systems without any problems. Regards Alex

KESL version 11.1 is currently available https://support.kaspersky.com/kes11linux#downloads This product runs on our systems without any problems. Regards Alex

Hallo Ralf, vielen Dank für das Feedback. Bitte nicht über die Status-Änderung eines älteren Topics wundern. Die Moderatoren wurden aufgefordert in ihren Bereichen “aufzuräumen” und möglichst viele Fragen als “gelöst” zu markieren. Leider machen das die wenigsten Teilnehmer. Wir versuchen dabei die in unseren Augen beste Antwort als Lösung zu markieren - was vielleicht nicht immer für jeden so genau passt. Bitte hier um Nachsicht. Grüße Alex

Hallo alex75, die Domäne … kaspersky.com deutet darauf hin, dass es die offiziellen Kaspersky-Server sind. Gewissheit bringt eine whois-Abfrage, z. B. über https://whois.domaintools.com/ Die Sub-Domäne “geoksn” ist ein Hinweis, dass es sich bei dem mitgeschnittenen Traffic um Abfragen des “Kaspersky Security Network” handelt - eine detaillierte Erklärung des KSN findest du hier https://www.kaspersky.de/about/data-protection Grüße Alex

Falls aktiv: Bitte teste mal mit deaktivierter Einstellung "Untersuchung geschützter Verbindungen" Siehe dazu: https://community.kaspersky.com/b2b-deutschsprachiges-benutzer-forum-65/zertifikatsmeldung-im-browser-bei-internen-servern-542 https://community.kaspersky.com/b2b-deutschsprachiges-benutzer-forum-65/kes-11-scannt-jetzt-per-default-auch-ssl-mit-zwischengeschobenem-zertifikat-929 Falls erfolgreich: Bitte in dieser Funktion eine Ausnahme für die IP-Adresse erstellen - die “normalen” Ausnahmen greifen hier leider nicht. Grüße Alex

Actually the update task should also work without the CF10. Can you see the update group-task in the client properties? What happens when you start this task there? Any error messages in the event-log? Regards Alex

Can you please provide us with information about the installed protection product (Version, Patchlevel, ...) Regards Alex

One more note on this discussion: I have actually never seen the need to create the KSC as a cluster. Only failover is possible - no active/activ. Usually it is not a drama if the KSC is not available for a short time. Especially since it can be restored quickly even in a total crash. Regards Alex

First the Windows server-cluster needs to be created - there is no need for a dedicated cluster management. https://docs.microsoft.com/de-de/windows-server/failover-clustering/create-failover-cluster The KSC-installer has to recognize cluster installation and only then displays the corresponding dialog. Regards Alex

CF Core 10 is the latest patch as far as I know. As always and unfortunately the support is very covered about giving detailed information. Regards Alex

Yes - and it is important to note: KSC supports only active/passive failover cluster installation. a dedicated MSSQL/MySQL database server is requiered. You need to manually create a DB for KSC. You have to use Domain-Accounts as Service-Accounts and you have to grant this accounts the necessary permissions for the DB.As a Kaspersky partner, you have the option of completing course 302.11 in the partner portal. Regards Alex

Start an update task in the client properties menu of the affected system in the KSC. Here you can also evaluate the results of the task. Regards Alex

Is there a group task for database update for KS4WS10.1.2? Old tasks from version 10.0 and older are not valid for version 10.1.2. This concerns policies as well. Regards Alex

Hallo KevinRichardson, willkommen im Forum. Das ist in der Hilfe tatsächlich nicht richtig erklärt: https://support.kaspersky.com/KESWin/11.4.0/de-DE/176976.htm Wenn sich in den aktuellen Versionen nichts geändert hat gilt für das Umschalten auf die mobile Richtlinie bzw. in den mobilen Modus: Der Agent kann 3mal den Admin-Server nicht erreichen. Standard-Intervall ist hierbei 15 Minuten, d. h. nach 45 Minuten schaltet KES um. Der Agent kann bei Anwendungsstart den Admin-Server nicht erreichen. In diesem Fall ist sofort der mobile Modus aktiv. Der Agent versucht nach wie vor alle 15 Minuten den Admin-Server zu kontaktieren. Die Netzwerkeinstellungen ändern sich und der Rechner befindet sich nicht mehr im Firmennetz, z. B. wenn ein Notebook ausgedockt wird. Auch hier prüft der Agent im vorgegebenen Intervall die Erreichbarkeit des Admin-Servers.Noch ein paar Anmerkungen zur mobilen Richtlinie: Seit einigen Jahren verzichte ich auf die mobile Richtlinie. Zum einen sehe ich in den seltensten Fällen den Bedarf zwischen interner und externer Konfiguration zu unterscheiden. Hier waren früher z. B. die Firewall oder der Kennwortschutz (Programmschutz) Punkte mit Differenzierungsbedarf. Aber seit Version 10 ist die Firewall der KES dank KSN nahezu “wartungsfrei” und auf Netzwerksegmente anpassbar. Und seit Version 11 lassen sich mehrere Benutzer mit unterschiedlichen Berechtigungen und Kennwörtern im Programmschutz anlegen. Zudem gibt es seit einiger Zeit die Möglichkeit temporäre Kennwörter zu erzeugen und zum Beispiel an Außendienst-Mitarbeiter raus zugeben. Zum anderen versuchen wir auch die mobilen Geräte z. B. über ein Verbindungsgateway in der DMZ und Verbindungsprofile für die Agentenkommunikation dauerhaft an das KSC zu binden. Damit erreichen die Agenten den Admin-Server über das Internet, sofern Kommunikation über Port 13.000 Richtung Internet freigegeben ist. In diesem Fall schalten die Clients aber nicht auf mobilen Modus bzw. man kann das in den Verbindungsprofilen einstellen. Aber somit sind die Systeme jederzeit verwaltbar und im Monitoring, bekommen Richtlinien- und Aufgaben-Änderungen mit. Zusätzlich steht mit den Richtlinien-Profilen eine einfachere und flexiblere Möglichkeit zur Verfügung in den Einstellungen zu differenzieren.Grüße Alex

Dies ist ein bereits gelöstes Topic. Einen Beitrag als Lösung und damit die Frage als gelöst markieren kann nur der Verfasser eines Topics. In diesem Zusammenhang zwei Bitten: Neue Frage = neues Topic. Bitte nicht an bereits gelöste oder/und alte, abgeschlossene Diskussionen anhängen. Es sei denn, es passt zur Frage und bringt neue Aspekte/Lösungen in die Diskussion ein. Nicht zu ungeduldig sein. “Topic Bumping” wird auch in diesem Forum nicht gerne gesehen. Hier diskutieren Benutzer, nicht der Hersteller bzw. dessen Mitarbeiter. Es gibt kein Recht auf eine zeitnahe Antwort.Grüße Alex

Hallo waYne, willkommen im Forum. Bzgl. Umstellung auf HTTP mit KSC12 müsstest du auf den Support zugehen. Falls du die Möglichkeit hast Änderungen am Proxy zu beantragen (dafür wird es ja hoffentlich einen Prozess geben), dann findest du hier die Angaben zu den Updateservern und Ports : https://support.kaspersky.com/de/15052 In diesem Zusammenhang hilft dir vielleicht auch diese Diskussion weiter: https://community.kaspersky.com/b2b-deutschsprachiges-benutzer-forum-65/ksc-update-downloads-sehr-langsam-10867?postid=52115#post52115 Grüße Alex

Hallo Hortensie1942 (sehr schöne Pflanze, habe ich einige im Garten) Worauf bezieht sich die Aussage “Fehler”? Grüße Alex

Einzelne Lizenzen auf Advanced zu bringen oder zu ergänzen ist leider nicht möglich - das geht immer nur für das gesamte Lizenzpaket. Mit Advanced könntest du allerdings für deine Windows-Workstations mit KES auch das Modul “Adaptive Kontrolle von Anomalien” nutzen. Weiterhin steht dir mit Advanced die Verschlüsselung und Patchmanagement zur Verfügung. KES ist auch keine Option: Auf Servern stehen nicht alle Module zur Verfügung, siehe https://support.kaspersky.com/de/14529#block3 KS4WS empfiehlt sich auch auf einem Exchange-Servern, wobei hiermit nicht die Exchange-Rolle geschützt wird. Dafür ist “Kaspersky Security für Mailserver” erforderlich https://support.kaspersky.com/de/kse9 Grüße Alex​​​​​​​

Woher kommt die Info? Der Agent lässt sich auch auf Core-Server installieren https://support.kaspersky.com/ksc/12/de-DE/96255.htm Nano-Server ist nicht gelistet, sollte aber auch gehen. Zur Not beim Support anfragen. Grüße Alex

Wie gesagt: das ist ein ganz normaler Netzwerkagent, dem per Richtlinie zusätzliche Funktionen zugewiesen werden. Funktioniert also auch mit Core-Servern. Theoretisch muss noch nicht mal ein Schutzprodukt installiert sein, wovon ich natürlich abraten würde. Meines Wissens können auch die Netzwerkagenten auf Linux und MacOS als Verbindungsgateway agieren. Habe es aber nie ausprobiert und kann nicht sagen, ob es da Einschränkungen gibt - bin zu sehr mit Windows verheiratet. Sonstige Anforderungen ergeben sich aus der Funktion in der DMZ: System sollte nicht im AD sein. Keine offenen Ports Richtung interne Netzwerksegmente.Eine Härtung nehme ich in der Regel über Kaspersky Security für Windows Server vor - also über das Schutzprodukt: Patchmanagement. Application Launch-Control. die üblichen Schutzmodule …Grüße Alex

Da hast du absolut recht. Allerdings ergeben sich die Anforderungen an das System aus der jeweiligen Kundenumgebung und nicht aus der Kaspersky-Funktionalität - anders als z. B bei KSMG. Über den Company-Account kannst du das gerne als Request einstellen. Nach meiner Denke ist es aber wenig erfolgsversprechend. Grüße Alex

Kopie aus dem anderen Topic - bitte nur eine Diskussion weiter führen: Ein Verbindungsgateway ist ein ganz normaler Netzwerkagent, der nur spezielle Funktionen übernimmt. Da macht die Bereitstellung einer ISO oder VM keinen Sinn. Einfach ein System mit dem Netzweragenten betanken und per Konfiguration über das KSC zum Verteilungspunkt und Verbindungs-Gateway machen. Was möglich ist, ich aber in der Praxis noch nie benötigt habe: Du kannst im KSC ein zusätzliches Installationspaket erstellen und hier schon die Konfiguration für des Gateway vornehmen. Ein damit betanktes System wäre dann von Beginn an GW - allerdings wird diese Einstellung bei der ersten Kommunikation mit de kSC durch dessen Einstellungen überschrieben. Grüße Alex

Ein Verbindungsgateway ist ein ganz normaler Netzwerkagent, der nur spezielle Funktionen übernimmt. Da macht die Bereitstellung einer ISO oder VM keinen Sinn. Einfach ein System mit dem Netzweragenten betanken und per Konfiguration über das KSC zum Verteilungspunkt und Verbindungs-Gateway machen. Was möglich ist, ich aber in der Praxis noch nie benötigt habe: Du kannst im KSC ein zusätzliches Installationspaket erstellen und hier schon die Konfiguration für des Gateway vornehmen. Ein damit betanktes System wäre dann von Beginn an GW - allerdings wird diese Einstellung bei der ersten Kommunikation mit de kSC durch dessen Einstellungen überschrieben. Grüße Alex

So viel Arbeit ist das nicht. Eine Richtlinie ist relativ schnell nach “best practice” durchkonfiguriert, Ausnahmen und Regeln lassen sich (fast) alle in den Richtlinien exportieren und importieren. Ist auch immer ein guter Anlass, sich von “Altlasten” zu befreien und Einstellungen zu überdenken (warum habe ich das vor 5 Jahren so konfiguriert?). Grüße Alex