alexcad

War in beiden Fällen ein direktes Upgrade - per KSC-Installationsaufgabe über die vorhandene KES11.11. Ich wollte speziell auch das Feature "Programm-Updates ohne Neustart installieren." testen. Das Ergebnis ist alles andere als ermutigend. Inzwischen gibt es INC000014992961 beim Support - mal schauen was kommt. Hier mal meine Beobachtungen im Detail: System 1 - Windows Server 2016 Meldung der Installationsaufgabe: "Die Remote-Installation auf dem Gerät wurde mit Fehler abgeschlossen: Während der Installation ist ein fataler Fehler aufgetreten. (Zum Fortsetzen der Programminstallation ist ein Neustart des Computers erforderlich.)" Nach einem Neustart läuft das System mit KES11.11 ohne Störung. Die Installationsaufgabe wird nicht fortgesetzt. System 2 - Windows 10 Meldung der Installationsaufgabe: "Installation wurde erfolgreich abgeschlossen. Warten auf Initialisierung des Programms." Auf dem System ist nach wie vor KES11.11 installiert, allerdings sind die meisten Module gestört und lassen sich nicht starten. Auch ein Neustart ändert nichts an diesem Zustand. Relativ lang war eine Verbindung per RDP und Internetzugriff nicht möglich. Seltsamerweise war das System aber über das KSC nach wie vor sichtbar und verwaltbar. Sah irgendwie aus wie bei aktiver Host-Isolation. Auch nach dem Neustart änderte sich der Status der Installationsaufgabe nicht. Inzwischen habe ich auf dem Server 2016 einen zweiten Installationsversuch unternommen: Aufgabe bricht diesmal mit "Fehler bei der Installation: Unbekannter Fehler. (1)" ab - Zustand unverändert. Grüße Alex

... und leider gleich die Warnung hinterher: In meiner Demo-Umgebung hat es auf beiden Testmaschinen erstmal nicht so gut funktioniert. Auf dem Server ist die Installation mit fatalem Fehler abgebrochen, aber sonst keine Störung. Den Client hat es komplett ins Nirvana geschossen - bis auf die Kaspersky-Ports kein Netzwerk mehr, alle KES-Module gestört. Ich versuche das morgen mal mit dem Support zu klären und weiter zu testen. Grüße Alex

Kaspersky Endpoint Security 12.0.0.465 wurde am 30.01.2023 veröffentlicht. Infos https://support.kaspersky.com/de/kes12 Download https://www.kaspersky.de/small-to-medium-business-security/downloads/endpoint Systemanforderungen https://support.kaspersky.com/KESWin/12.0/de-DE/127972.htm Neuerungen https://support.kaspersky.com/KESWin/12.0/de-DE/127969.htm Bekannte Einschränkungen https://support.kaspersky.com/de/kes12/limitations Online-Hilfe https://support.kaspersky.com/KESWin/12.0/de-DE/222859.htm Grüße Alex

KSWS - klar, steht ja auch im Zertifikat - sorry. Wer Lesen kann ist klar im Vorteil ? Bei KSWS findet man SSL-Inspection im Modul "Schutz des Datenverkehrs" (steht nicht mit Select-Lizenzierung zur Verfügung). Grüße Alex

Hallo Markus, ich vermute mal, ihr habt die "Untersuchung verschlüsselter Verbindungen" aktiviert. Meiner Meinung nach ist SSL-Inspection auf dem Endpoint nicht sinnvoll, vor allem nicht auf Servern. Wenn, dann sollte das auf der Firewall/UTM aktiv und sauber konfiguriert sein. Grüße Alex

Hallo Sudobash, vorweg: Würde dir tatsächlich ein zeitnahes Upgrade auf KSC14 und KES11.11 ans Herz legen ? Zeigen die Ereignisprotokolle des Clients irgendwas? Wird von einem Schutzmodul irgendwas gemeldet? Sonst empfehle ich folgende Vorgehensweise: Weise dem Client eine andere Richtlinie zu - entweder über eine separate Gruppe oder über ein Richtlinienprofil. Dort deaktivierst du alle Schutzmodule und schaltest sie einem nach dem anderen wieder ein. Zwischen jedem Schritt testest du das Verhalten auf dem Client. Bitte tatsächlich auch mit komplett deaktiviertem Schutz testen. In manchen Fällen ist ja schon die Installation der KES das Problem. Ergänzend habe ich dir eine PM geschickt. Grüße Alex

Hallo Zusammen, da die Frage relativ häufig kommt: Hier mal ein Topic dazu. Situation: Nach der Installation des KSC mit SQL 2019 oder SQL Express 2019 startet der Kaspersky-Adminserver nicht sauber und generiert im Sekundentakt Laufzeitfehler "Database Error ...". Ursache ist ein Problem mit SQL 2019. Das Problem wurde mit CU12 behoben. Lösung: Aktuelles kumulatives Update für SQL 2019 installieren und alles ist gut. https://learn.microsoft.com/de-de/troubleshoot/sql/releases/download-and-install-latest-updates Tatsächlich wird im Handbuch explizit darauf hingewiesen - aber ich musste auch erstmal in den Fehler laufen, um dann herauszufinden woran es liegt und wie sich das lösen lässt. https://support.kaspersky.com/KSC/14/de-DE/92403.htm Grüße Alex PS: Ich habe das Topic gesperrt, wird sonst ganz gerne mal zu lang und unübersichtlich. Wenn ihr Fragen dazu habt - bitte ein separates Topic erstellen.

Hallo Khappa, die Mailbenachrichtigungen sollten eigentlich in den jeweiligen Richtlinien hinterlegt und damit per Export/Import übertragbar sein. Wobei auch hier eine Überarbeitung der Einstellungen erforderlich ist: Es gibt inzwischen so viele neue Funktionen/Module und entsprechend auch eine große Anzahl an neuen Events. Grüße Alex

Hallo Marx Engineering, willkommen im Forum. Hier diskutieren Benutzer - den Hersteller oder deinen Lieferanten wirst du hier nicht erreichen. Falls es sich um ein "Home-User"-Produkt handelt wirst du vielleicht hier fündig: https://forum.kaspersky.com/forum/für-privatanwender-62/ Da gibt es einige Fragen und Hinweise zum Thema Abonnements. Viele Grüße Alex PS: Die Bestellnummer habe ich aus Datenschutzgründen gelöscht.

Hallo Khappa, gute Fragen - das treibt sicher auch den einen oder anderen um - ich versuche mal alles so umfassend wie möglich zu beantworten. 1.) Export Tool? Richtlinien und Aufgaben lassen sich exportieren und importieren ... ... wobei bei den Aufgaben die Export-Funktion im Kontextmenü in der Untergruppe "Alle Aufgaben" zu finden ist - warum auch immer. Bei "Monitoring" müsstest du nochmal genauer definieren, was du darunter verstehst. Was sich noch exportieren und importieren lässt sind die Geräteselektionen (Geräteauswahl). Der Export ist allerdings etwas tricky - dazu muss die jeweilige Auswahl aufgerufen (Auswahl starten) werden: Die Gruppenstruktur lässt sich leider nicht exportieren. Ein Import über eine Textdatei wäre möglich: Allerdings: Ich nutze die Gelegenheit eines Umzuges auf einen neuen Server -gerade im Zuge eines Versionsupgrade- ganz gerne, um die Gruppenstruktur und die Konfiguration zu konsolidieren und zu überarbeiten (Vereinfachen, geänderte Best Practice). Stichworte sind hierbei u. A.: - Untergeordnete Admin-Server werden durch Verteilungspunkte ersetzt. - Verteilungspunkte werden dynamisch auf Basis von Verbindungsprofilen zugewiesen, nicht mehr statisch auf Gruppenzugehörigkeit. - Auch dazu ist es sinnvoll die IP-Netze global zu pflegen: - Konsolidierung der Richtlinien und darüber Vereinfachung des Managements. Differenzierung erfolgt nicht mehr über weitere (untergeordnete) Richtlinien, sondern (im Optimalfall) innerhalb einer Richtlinie über Richtlinienprofile - hat viele Vorteile, füllt aber ein eigenes Thema - vielleicht schreibe ich da mal einen Beitrag: Teilweise verzichte ich auch auf den Import alter Aufgaben und Richtlinien um hier konsequent Altlasten über Bord zu werfen und mit neuen, sauberen Konfigurationen nach aktueller Best Practice zu starten. Nach Bedarf lassen sich ja auch nur die Ausnahmen oder/und Whitelist-Einträge (Gerätekontrolle) exportieren und importieren (auch selektiv möglich): 2.) Reihenfolge Ich empfehle folgende Abfolge: - Neuen Admin-Server hochziehen und Konfigurieren. - Pilotgruppe verwalteter Systeme per Aufgabe (alter Admin-Server) auf den neuen Admin-Server binden: - Geräteauswahl für die alten Agentversionen erstellen (Server und Clients) und darauf eine Installationsaufgabe für den neuen Agent laufen lassen (inline-Upgrade, automatisiert nach Zeitplan). - Geräteauswahl für Systeme mit neuem Agent und alten Schutzprodukten erstellen (nur Clients) und darauf eine Installationsaufgabe für das neue Schutzprodukt laufen lassen (inline-Upgrade, automatisiert nach Zeitplan). Das alles inkl. der neuen Richtlinien und Aufgaben ausgiebig in einer Pilotgruppe testen und ggf. noch nachschärfen. Was manchmal erforderlich ist: inline-Upgrade des Schutzproduktes schlägt ganz gerne mal fehl, z. B. wenn die Systeme schon mehrfach aktualisiert wurden. Dann sollte man die Vorgehensweise umstellen und die Migration aufteilen: Zuerst Deinstallationsaufgabe und dann Neuinstallation nach Reboot. Auch diese Aufgaben lasse ich nach Zeitplan auf entsprechende Geräteselektionen los. 3.) KS4WS: Ja, muss abgelöst werden, ist abgekündigt. Es wird nach der aktuellen Version 11.0.1.897 (vom 24 Mai 2021) keine neue Version geben. Allerdings hat Kaspersky den vollständigen Support nochmal um ein Jahr, bis zum 31.12.2023 verlängert. https://support.kaspersky.com/de/corporate/lifecycle#b2b.block1.ksws11 Der Druck ist also erstmal nicht mehr so groß, aber ein Wechsel ist auch aus Security-Sicht dringend zu empfehlen. Der KS4WS fehlen inzwischen einfach ein paar wichtige Module/Funktionen. Kaspersky hat mit KES 11.8 begonnen die Besonderheiten der KS4WS auf die KES zu übertragen. Mit der KES 11.12 soll dieser Prozess abgeschlossen sein - wobei eigentlich nur noch der versprochene Migrations-Assistent fehlt, den man eigentlich nicht benötigt. Die aktuelle KES 11.11 funktioniert aus meiner Erfahrung sehr gut auch auf Servern. Auch hier gilt: Neues Schutzprodukt, neue Funktionen - alte Einstellungen inkl. der Ausnahmen haben keine Gültigkeit mehr. Auch hier meine Empfehlung: Umstellung in einer Pilotgruppe testen und ggf. Nachschärfen. Da in der Regel kein Neustart erforderlich ist empfehle ich: - KS4WS über eine KSC-Aufgabe deinstallieren. - Geräteauswahl "Server ohne Schutz" erstellen und darauf eine Installationsaufgabe "KES für Server" laufen lassen oder das über eine manuelle Aufgabe bedienen. Anmerkungen bzgl. Installationspaket: - Die Module "Protokollanalyse" und "Überwachung der Datei-Integrität" stehen nur mit speziellen Lizenzen zur Verfügung - ich nehme die Module schon im Installationspaket raus. - Leider steht die "Adaptive Kontrolle von Anomalien" noch nicht für Server zur Verfügung, obwohl es sich im Paket so nicht erkennen lässt. Das soll tatsächlich mit KES 11.12 kommen. Für dieses Modul ist mind. Advanced-Lizenzierung erforderlich. macht das manchmal Probleme bzw. auf was muss ich achten ? Tatsächlich gibt es einen wichtigen Punkt zu beachten: Die KES verhält sich auf Clustern wesentlich kritischer. Hier ist es unbedingt erforderlich vorher die Cluster-Nodes und ggf. auch die Witness-Server aus der Netzwerküberwachung raus zu nehmen. Für besonders kritische Cluster erstelle ich teilweise auch eigene Installationspakete ohne die Netzwerk-Schutzmodule. Sonst sind mir keine generellen Störungen bekannt. Ich habe durchweg gute Erfahrungen mit der KES auf Servern sammeln können. Grüße Alex

Sicher, dass die Programm-Überwachung deaktiviert ist? Hat der Client die Einstellungen übernommen? In den neuen Versionen lässt sich das ganz gut über die GUI auf dem Client prüfen: 1.) Welche Module sind installiert bzw. laufen: 2.) Welche Richtlinie und welche Richtlinienprofile wirken auf den Client: Natürlich siehst du das alles auch in den Client-Eigenschaften im KSC. Gib Bescheid, wenn dich das nicht weiter bringt - dann schauen wir, ob sich das über eine Ausnahme (Vertrauenswürdige Programme) fassen lässt. Noch ein Hinweis: Du solltest die Programm-Überwachung unbedingt aktiv lassen bzw. nicht generell abschalten. Das ist ein extrem wichtiges Schutzmodul. Grüße Alex

Hallo Paul, werden die tatsächlich als Festplatte angezeigt? Das würde mich doch sehr wundern. Falls du tatsächlich den Gerätetyp "Festplatte" sperren möchtest: Soweit ich das noch im Kopf habe werden Festplatten, die Systempartitionen enthalten nicht gesperrt - das wäre ja sonst quasi Suizid, das System würde nicht mehr booten. Du müsstest also nur ggf. zusätzlich vorhandene Festplatten zu den vertrauenswürdigen Geräten hinzufügen. In der Regel haben Workstations/Notebooks aber nur eine Festplatte verbaut - da sollte nicht zu viel Arbeit kommen. Über den Hardware-Inventur-Bericht kannst du dir da im Vorfeld aber auch schon einen Überblick verschaffen. Auf jeden Fall: Bitte vorher an ein/zwei Geräten testen. Grüße Alex

Hallo Markus, welches Produkt ist denn betroffen? Die KES? Schau mal bitte, wie die Einstellungen bzgl. der Lizenzaktivierung in den Richtlinien aussehen. Hier gibt es den Punkt "KSC als Proxyserver für die Aktivierung verwenden" Das führt manchmal zu Problemen, wenn die entsprechenden Ports nicht erreichbar sind. Ohne diesen Aktivierungsproxy benötigen die verwalteten Systeme dann tatsächlich einen direkten Internetzugang, um die Lizenz direkt bei Kaspersky zu aktivieren. Grüße Alex

Hallo Michael, da es in der Vergangenheit funktioniert hat gehe ich davon aus, dass die Ports im KSC richtig konfiguriert sind: Ob die Ports von Außen erreichbar sind kannst du z. B. mit Telnet prüfen: telnet "IP-Adresse" "Port" z. B. telnet 192.168.0.21 13292 Wenn der Port erreichbar ist bekommst du ein leeres Konsolen-Fenster mit einem blinkenden Cursor und in der Fensterbezeichnung steht telnet "IP-Adresse": (Verlassen mit "q" + Enter) Wenn der Port nicht erreichbar ist kommt eine entsprechende Fehlermeldung: Falls Telnet nicht installiert sein sollte bekommst du das am einfachsten über folgenden Aufruf in Powershell mit Admin-Rechten: DISM /online /enable-Feature /FeatureName:Telnetclient Falls es am Port liegt würde ich im nächsten Schritt die Windows-Firewall oder ggf. die Kaspersky-Firewall auf dem KSC prüfen. Grüße Alex PS: Auch dir noch ein gutes neues Jahr!

Hallo Zimbo73, vermutlich blockt hier die "Programm-Überwachung" (nicht die "Programm-Kontrolle"). Per Default dürfen nur vertrauenswürdige Programme auf Kamera und Micro zugreifen. Die Reputationsinfos kommen in der Regel sehr zeitnah über die KSN-Abfragen, so dass man hier selten Hand anlegen muss. Falls doch gibt es zwei Möglichkeiten: 1.) Du fügst die Anwendung manuell der Gruppe der vertrauenswürdigen Anwendungen hinzu: 2.) Du erlaubst auch schwach beschränkten Programmen den Zugriff auf Kamera und Micro: Grüße Alex

Hallo Paul, wie bereits beschrieben würde ich mich an deiner Stelle von der Steuerung der Gerätekontrolle über die Schnittstelle verabschieden - das ist nicht zielführend. Vor sehr langer Zeit haben wir darüber die Infrarotschnittstelle gesperrt - aber ich habe schon mind. 5 Jahre keine mehr zu Gesicht bekommen ? Auch den Gerätetyp "Festplatte" muss man in der Regel nicht einschränken, da sich alle per USB oder sonstwie verbundenen externen Festplatten als Wechseldatenträger melden und nicht als Festplatte. Es ist also dies bzgl. ausreichend, den Gerätetyp "Wechseldatenträger" einzuschränken. Hier nochmal der Hinweis auf meinen Screenshot mit den üblicherweise gesperrten Gerätetypen. Die USB-Sticks mit den Token fügst du dann über die Geräte-ID in der Liste der vertrauenswürdigen Geräte hinzu. Noch ein Hinweis: Sowohl die Einträge in der Liste der vertrauenswürdigen Geräte, als auch die Steuerung des Gerätetyps "Wechseldatenträger" lässt sich AD-integriert konfigurieren. Die Zugriffe lassen sich also nochmal granularer auf Basis der AD-Benutzer bzw. -Gruppen steuern. Grüße Alex

Hallo Steffen, spannende Herausforderung - hatte ich so auch noch nicht. Schau mal, ob du mit der KSC OpenAPI weiter kommst: https://support.kaspersky.com/help/KSC/14/KSCAPI/a00532_a42d0b5d83d540627d8cfe770f514c2d5.html#a42d0b5d83d540627d8cfe770f514c2d5 Grüße Alex

Hallo Steffen, auf den geschützten Systemen mit KES lässt sich eine Lizenz per Kommandozeile aktivieren: https://support.kaspersky.com/KESWin/11.11.0/de-DE/123476.htm avp.com license /add <Aktivierungscode oder Schlüsseldatei> [/login=<Benutzername> /password=<Kennwort>] Wenn die geschützten Systeme mit dem KSC kommunizieren wird dieses Lizenz auch angezeigt. Allerdings lässt sich dieses nicht weiter verwalten. Dazu muss die Lizenz zusätzlich im KSC über die Lizenzverwaltung eingetragen werden. Grüße Alex PS: Mir würde jetzt aber kein Szenarion einfallen, in dem eine Verteilung über das KSC nicht der bessere Weg wäre.

Hallo Kafre, willkommen im Forum. Tatsächlich ist es wenig sinnvoll das über die Schnittstellen zu steuern, sprich: USB zu verbieten. Effektiver ist es über die Gerätetypen zu gehen. Üblicherweise sperrt man Wechseldatenträger (USB-Sticks und -Festplatten), Disketten (falls überhaupt noch vorhanden), CD/DVD-Laufwerke, Smartcard-Leser und MTPs (interner Speicher von SmartPhones). Beste Grüße Alex

Hallo Markus, wo hast du die Ausnahmen eingetragen? Ich glaube, der verlinkte Support-Artikel zeigt auf die falsche Stelle. Hier ist die Rede von den geschützten Verbindungen (SSL-Inspection). Laut Meldung ist es aber eine unverschlüsselte HTTP-Verbindung. Daher müsste nach meinem Dafürhalten die IP-Adresse hier eingetragen werden: Grüße Alex

Kaspersky Endpoint Security 11.11.0.452 wurde am 21.10.2022 veröffentlicht. Infos https://support.kaspersky.com/de/kes11 Download https://support.kaspersky.com/de/kes11#downloads Systemanforderungen https://support.kaspersky.com/KESWin/11.11.0/de-DE/127972.htm Neuerungen https://support.kaspersky.com/KESWin/11.11.0/de-DE/127969.htm Bekannte Einschränkungen https://support.kaspersky.com/KESWin/11.11.0/de-DE/201943.htm Online-Hilfe https://support.kaspersky.com/KESWin/11.11.0/de-DE/222859.htm Grüße Alex

Hallo Rubel, willkommen im Forum. Bitte bei einer neuen Frage immer ein neues Topic erstellen - nicht willkürlich an andere Topics anhängen, in denen ein komplett anderes Thema diskutiert wird. Wenn du zu deiner Frage ein neues Topic erstellst: Bitte mache genauere Angaben zu den eingesetzten/betroffenen Produkten. Mit der genannten Versionsnummer kann ich z. B. wenig anfangen. Grüße Alex

Hallo Markus, willkommen im Forum. Ich muss gestehen, die Meldung habe ich noch nie gesehen. Schau bitte mal in dein Postfach, ich habe dir eine Nachricht gesendet. Grüße Alex

... gerade nochmal nachgelesen. So wie es aussieht benötigst du die Version 1.1.2.30 für die Migration auf die aktuellste Version 2.0.0.6478: https://support.kaspersky.com/KSMG/2.0/de-DE/225150.htm Grüße Alex

Hallo Christian, willkommen im Forum. Downloads bekommst du in der Regel über die Support-Seite https://support.kaspersky.com/de/business Die Download-Quellen sind dann jeweils bei den Produktseiten verlinkt, z. B. https://support.kaspersky.com/de/ksmg#downloads ... führt dann weiter auf diese Seite: https://www.kaspersky.de/small-to-medium-business-security/downloads/mail-server?icid=de_sup-site_trd_ona_oth__onl_b2b_klsupport_tri-dl____mailserver___ Allerdings steht hier von den älteren Versionen nur 1.1.2.30 zur Verfügung. Solltest du wirklich zwingend die Version 1.1.2.12 benötigen müsstest du einen Download-Link über den Company-Account vom Support anfordern: https://companyaccount.kaspersky.com/account/login Grüße Alex