alexcad
-
Posts
1035 -
Joined
-
Last visited
Posts posted by alexcad
-
-
… im alten Forum hattest Du auch einen angepinnten Eintrag “Infos zu KS10WS”. Es wäre prima wenn Du den hier auch wieder erstellen würdest.
Den hatte ich hier auch schon angelegt, ist aber einmal beim Editieren im Nirvana verschwunden. Seitdem hatte ich keine Zeit den Beitrag neu zu erstellen - werde es aber die Tage mal angehen.
Grüße
Alex -
Hallo JoSch,
eigentlich ist die Empfehlung (auch von Kaspersky): generell KS4WS auf Windows Servern installieren, nicht die KES.
KS4WS ist speziell für den Einsatz auf Servern konzipiert - stabiler, Ressourcen-schonender und kommt ohne Neustart aus.
Grüße
Alex -
Hallo KIS-Community,
Das Thema wurde in das B2C Forum verschoben.
-
Dazu musst du eine Geräteauswahl erstellen - in dieser kannst du die Bedingungen konfigurieren.
Du klickst im Abschnitt “Geräteauswahlen” auf “Erweitert” und dann im Kontextmenü auf “Auswahl erstellen”. Der Assistent fragt nur den Namen der Auswahl ab und erstellt diese.
Anschließend gehst du auf “Auswahleigenschaften” und kannst die Bedingungen konfigurieren.
Mehrer Bedingungen sind möglich, wobei:- Innerhalb einer Bedingungen alle gesetzten Kriterien erfüllt sein müssen (UND-Verknüpfung).
- Innerhalb einer Auswahl mind. eine Bedingung erfüllt sein muss (ODER-Verknüpfung)
Damit lässt sich hervorragend spielen und nahezu jede Anforderung abbilden.
Um damit z. B. eine Patch-Installation zu automatisieren musst du als Ziel für die Installationsaufgabe die Geräterauswahl angeben:
Das geht leider nicht nachträglich bei bereits erstellten Aufgaben.
Grüße
Alex -
You can check that here
https://id-ransomware.malwarehunterteam.com/index.php?lang=en_US
Regards
Alex -
-s sollte reichen.
-
Liste der gefixten Probleme:
Pf6012 includes pf6003, pf6007, pf6008, pf6010 and pf6011 and fixes these issues additionally:
- Network attack detected events from the hosts in network
- Unable to save files to network drives due to SW components after upgrade to 11.2
- Subscription status is outdated and needs to be refreshed
- Invalid SMTP server specified when trying to specify valid server with .network instead of .com
- Handles leaking due to KES
-
Vielen Dank für die Info zu PF6012
Grüße
Alex -
… würde dir aber tatsächlich auch empfehlen, die Version 11.1.1.126 auszurollen.
-
Hi Björn,
hier bekommst du (fast) alle Plugins
https://support.kaspersky.com/de/9333#block3
Grüße
Alex -
We did get the license and key today for Kaspersky Hybrid Cloud Security Enterprise, Server.
...
But what do i have to download for just one server to protect.
Wich type of Server do you want to protect? Single Windows Server? Linux? ESXi? …
Anyway: You can find all downloads here
https://support.kaspersky.com/#s_tab4
In most cases it is a windows server, so:
https://support.kaspersky.com/ksws10#downloads
Regards
Alex -
Der Patch ist:
PrivatFix 6008
Grüße
Alex -
Ich habe es gefunden.
Gerne - kannst du bitte den Beitrag als gelöst markieren?
Danke!
Grüße
Alex -
Hallo shb,
ich bin leider kein Experte für die Cloud-Lösung.
Frage, die mir beim Lesen kam: Lässt dein Proxy die Ports für die Agenten-Kommunikation durch?
Benötigt werden Port 13.000 und 14.000 TCP vom Agent Richtung Cloud.
Proxys fühlen sich in der Regel nur für HTTP, HTTPS und ggf. noch FTP zuständig. Weitere benötigte Ports müssen oft ergänzt und konfiguriert werden.
Hängt aber von der eingesetzten Lösung ab.
Du kannst ja mal im Proxy-Log schauen, ob da was auf den angegebenen Ports passiert.
Grüße
Alex -
das interessiert mich sehr wenig. Wenn Kaspersky etwas frei gibt, muss dass einfach funktionieren.
Wir sprechen hier von einer Sicherheitslösung die in einem Unternehmen auf zig Hunderte von Geräte einwandfrei funktionieren muss.
Bei allem Verständnis für deinen Ärger - aber mit diesem Ansatz tust du dir keinen Gefallen und wirst auch bei anderen Herstellern gleiche Situationen erleben.
Ich unterstütze Jareks Vorschlag: Gehe zurück auf KES 11.1.1.126 bis die Probleme mit 11.2 ausgeräumt sind.
Mit dem KSC lässt sich das sehr gut automatisieren, sofern die Geräte noch Netzwerk haben. Wenn die Netzwerkverbindung gestört ist wird es natürlich schwierig - können wir bei Bedarf separat diskutieren. Ich würde aber kurzerhand auf einen Wiederherstellungspunkt vor dem Upgrade zurück setzen.
In diesem Zusammenhang ist es immer (nicht nur bei Kaspersky bzw. EndpointSecurity-Produkten) empfehlenswert und best Practice:- Vor einem großflächigen Rollout neue Versionen/Software in Pilot-Gruppen zu testen.
- Sich Gedanken über ein FallBack zu machen.
Nicht nur bei anderen Herstellern von EndpointSecurity-Produkten (und da steht Kaspersky inzwischen sehr gut da) geht was schief. Immer wieder gibt es Probleme mit Updates von Herstellern aus anderen Bereichen, gerade und z. B. Microsoft.
Die heutigen Produkte sind derart komplex und die Abhängigkeiten so umfassend - kein Hersteller kann hier immer einen störungsfreien Einsatz garantieren.
Also: vorher testen + wie komme ich im Problemfall zurück.
Bisher habe ich zwei Tickets aus den Beiträgen rausgelesen:
INC000011022237
INC000011026329
Meine Empfehlung: - geht über eure Kaspersky-Partner. In der Regel haben die einen direkten Draht zum Support bzw. weitere Möglichkeiten da nachzufassen.
- wendet euch ans englische B2B Forum, hier diskutieren Techniker aus Moskau mit https://community.kaspersky.com/kaspersky-corporate-products-27
Gerne Feedback, Infos und Links zu weiterführenden Beiträgen im englischen Forum hier posten - dann haben alle was davon.
Grüße
Alex -
...Nun stellt sich die Frage, wie sinnvoll/sicher dieses Vorgehen ist? Nach Möglichkeit möchte ich eine Neuinstallation der Systeme vermeiden. Dazu müsste jedoch sichergestellt sein (soweit es geht), dass die wiederhergestellten Systeme frei vom Schädling sind.
Hallo Andi,
um die Neuinstallation wirst du nicht rumkommen. Hier ein Heise-Artikel von Thomas Hungenberg, der alle wichtigen Aspekte zusammen fasst: https://heise.de/-4573848Auf Seite 3 ab dem Abschnitt "Wenn es brennt" stehen die wichtigen Infos. Am Schluss der wichtigste Punkt:
"Wurde die Ransomware Ryuk ausgerollt, ist das Active Directory mit hoher Wahrscheinlichkeit vollständig kompromittiert und muss neu aufgesetzt werden. Um einen weiteren Zugriff der Täter auf das interne Netzwerk und die erneute Ausbreitung der Schadprogramme wirksam auszuschließen, müssen nach der Entschlüsselung zwingend alle Daten gesichert und nach einem Neuaufbau des Netzwerks auf die neu installierten Systeme zurückgespielt werden."
Einige Kernaussagen aus dem Artikel, die sich mit meiner Erfahrung decken, lassen keine andere Vorgehensweise als Neuinstallation zu:
"... kann der Schädling das Windows-Netz einschließlich des Domänen-Controllers komplett übernehmen. Das Active Directory muss dann als komplett gefallen betrachtet und im Zuge der Bereinigung vollständig neu aufgebaut werden.""Zusätzlich zu Passwörtern für RDP- und VNC-Verbindungen späht Trickbot auf infizierten Systemen auch in Anwendungen wie PuTTY, FileZilla oder WinSCP gespeicherte Anmeldedaten für SSH- oder FTP-Zugänge aus. Auf diesem Weg können die Täter auch Zugriff auf weitere Systeme wie zum Beispiel Linux-basierte Datei- oder Backup-Server im Netzwerk erlangen."
"Die IT-Administratoren versuchten tagelang, das Problem in den Griff zu bekommen – jedoch waren neu aufgesetzte Systeme nach kurzer Zeit immer erneut von Trickbot befallen, da das Active Directory bereits vollständig kompromittiert war."
Damit sind die Aufgaben nach einer Infektion:
- Archivierung der aktuellen (infizierten) Systeme zwecks u. U. später durchzuführende forensischer Analyse (eventuell Beweispflicht)
- Neuinstallation aller Systeme
- Meldepflicht: "Beim Abfluss personenbezogener Daten – was bei Emotet-Infektionen bereits durch das Ausspähen von E‑Mails aus Outlook-Postfächern geschieht – ist außerdem eine Meldung an Ihren Landesdatenschutzbeauftragten in der Regel innerhalb von 72 Stunden verpflichtend (Art. 33 DSGVO). Formulieren Sie gemeinsam mit Ihrer Öffentlichkeitsarbeit eine Sprachregelung zum Vorfall und informieren Sie Ihre Mitarbeiter."
- Entscheidung, ob Verhandlungen mit den Erpressern geführt werden sollen/müssen - spätestens hierzu würde ich dann empfehlen die KriPo hinzu zu ziehen https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Meldestelle/Polizeikontakt/ZACkontakt/zackontakt.htm
Im Zuge der Neuinstalltion potentielle Einfallstore ausfindig machen und schließen:- Firewall review: offene Ports nach außen? Alle Schutzmodule lizenziert/aktiv/richtig konfiguriert/überhaupt vorhanden?
- Netzwerk-Audit, Netzwerk-Segmentierung
- Patchmanagement !!!!!
- Endpoint-Security: umfassend, gemanaged und mit aktivem Monitoring/Incident response
- strikte Rechte-Trennung im Active Directory im Rahmen eines 3-Tier-Modells
- Passwort-Management, 2-Faktor-Auth., ...
Eine schöne Darstellung des 3-Tier-Modells habe ich hier gefunden https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material
Wenn Daten aus der Sicherung wiederhergestellt werden, können diese vor dem Einspielen in die neue Umgebung z. B. mit der Kaspersky Rescue Disk (kostenlos) gescannt werden https://support.kaspersky.com/de/viruses/krd18
Grüße
Alex
-
Ist hier im Agent-Installationspaket vielleicht der Haken bei “Einstellungen” - “Dienst des Administrationsagenten vor unberechtigter Deinstallation schützen ...” gesetzt?
Diese Einstellung verhindert u. U. die Patch-Installation, da hierbei der Agent-Dienst beendet werden muss.
Generell würde ich von dieser Einstellung abraten, da sie sich nicht über die Richtlinie steuern lässt und -wie oben erwähnt - störende Nebeneffekte hat. So lässt sich mit dieser Einstellung z. B. auch kein Wechsel des Adminservers über Kommandozeile mit klmover.exe durchführen - auch hier muss der Agent-Dienst beendet werden.
Grüße
Alex -
...Wenn allerdings ein alter Agent (z. B. 10.5.1781) aktualisiert werden soll, dann wird der Patch nicht installiert….
Auch das sollte eigentlich problemlos funktionieren.
In jedem Fall sollte aber die automatische Patchinstallation auf die Geräteauswahl auch diese Agenten mit dem Patch versorgen. Hier ist ja auch kein Reboot erforderlich.
Grüße
Alex -
...Allerdings wurde bei der Installation des Agenten der Patch nicht mit installiert ….
Ist es das richtige Installationspaket? Sprich: ist das in der Installationsaufgabe für den Agent hinterlegt?
Falls ihr mit autonomen Paketen arbeitet musst du das entsprechende Paket natürlich löschen und neu erstellen, damit die Änderungen in die installer.exe eingepflegt werden.
Grüße
Alex -
Ist es möglich Patch B automatisiert zu verteilen?
Zum einen lässt sich der Patch ins Installationspaket für den Agent einpflegen, dann wird er bei Neuinstallationen gleich mit installiert. Dazu im KLShare im Unterordner “exec” das Paket-Ordners einen Unterordner “Patch” erstellen und dort die EXE und INI des Patches einkopieren, siehe Screenshot.
Bereits verwaltete Systeme mit Agent 11 lassen sich am einfachsten über eine Installationsaufgabe auf eine Geräteauswahl nachträglich automatisiert patchen.
Für das Installationspaket beachte bitte https://support.kaspersky.com/de/15293#block1Grüße
Alex -
Wie würde ein automatischer Rollback auf 11.1 aussehen?
Ich arbeite gerne mit Aufgaben, die auf eine Geräteauswahl losgehen.
In diesem Fall könnte das so aussehen:- Deinstallationsaufgabe für KES11.2 geht auf eine Geräteauswahl, die alle Installationen mit KES11.2 filtert. In der Aufgabe sollte dann ein automatischer/erzwungener Neustart konfiguriert sein.
- Installationsaufgabe für KES11.1.1 startet nach Zeitplan auf Geräteauswahl “Client-OS verwaltet ohne Schutz (Filter: Geräte-Status).
Grüße
Alex -
Auf Servern solltest du “Kaspersky Security für Windows Server” installieren, nicht die KES.
https://support.kaspersky.com/de/ksws10
Deaktiviere hierbei im Installationspaket die Gerätekontrolle und das Firewall-Management.
Das solltest du nur bei Bedarf und nach einem Test installieren.
Grüße
Alex -
Ich habe ein Ticket beim Support aufgemacht.
Vielen Dank für die Rückmeldung. Bitte poste noch die Ticket-Nr., vielleicht haben andere das gleiche Problem und können sich dann darauf beziehen.
Falls es eine Lösung gibt interessiert das natürlich auch alle.
Grüße
Alex -
Kaspersky SandBox 1.0 wurde am 11. November 2019 veröffentlicht.
Kaspersky Sandbox ist ein Produkt für Unternehmen, das komplexe Bedrohungen auf Arbeitsstationen und Servern erkennt und automatisch blockiert.
Kaspersky Sandbox schließt folgende Programme ein:
- Kaspersky Sandbox, das für den Serverteil des Produktes verantwortlich ist. Auf dem Kaspersky Sandbox-Server wird ein virtuelles Image des 64-Bit-Betriebssystems Windows 7 gestartet, auf dem untersuchte Objekte gestartet werden. Kaspersky Sandbox analysiert das Verhalten von Objekten, um schädliche Aktivitäten und Anzeichen gezielter Angriffe auf die IT-Infrastruktur des Unternehmens zu erkennen.
- Kaspersky Endpoint Security für Windows Version 11.2 — ein Programm zum Schutz der Arbeitsstationen von Endpoint Protection Platform (EPP), das auf Arbeitsstationen installiert wird und umfassenden Schutz vor Bedrohungen, Netzwerkangriffen und Betrug bietet.
- Kaspersky Endpoint Agent Version 3.7, das zusammen mit dem Programm EPP installiert wird und folgende Aspekte sichert:
- Interaktion zwischen EPP und Kaspersky Sandbox;
- Ausführung von Richtlinien zum automatischen Reagieren auf erkannte Bedrohungen.
- Kaspersky Security Center Version 11.0.0.1131 mit dem Patch B.
https://support.kaspersky.com/de/sandbox
https://www.kaspersky.de/enterprise-security/malware-sandbox
WebCast-Mitschnitt vom 28.10.2019: Vorstellung Kaspersky Sandbox
Peter Aicher & Daniel Wischnewski
https://youtu.be/I_sFLbuSvc8
Anmerkung:
Der oben einkopierte Text aus KB15306 ist nicht so zu verstehen, dass in diesem Produkt KES enthalten ist - es ersetzt also nicht eine KES4Business Lizenzierung (Select oder Advanced bzw. Total).
Vielmehr sind die oben genannten Produkte KES11.2 und KSC/Agent 11.0.0.1131_b als Voraussetzung zu sehen. Eine KES4Business Lizenzierung bzw. Installation muss also vorhanden sein oder dazu erworben werden.
Weiterhin steckt da die Info drin, dass Kaspersky Sandbox nicht mit älteren Versionen und momentan auch noch nicht mit dem Server-Schutzprodukt KS4WS zusammenarbeitet. Letzteres ist für Q1/2020 angekündigt.
Grüße
Alex
Welche Schutzsoftware bei Servern
in Für Unternehmen
Posted
Damit ist vermutlich die Lösung “Kaspersky Security for Virtualization Light Agent” gemeint, siehe
https://support.kaspersky.com/de/ksv5la
Hierbei werden nach Möglichkeit Schutzfunktionen auf den Hypervisor übertragen, die dann zentral für alle darüber liegenden VMs greifen.
Technisch bedingt beschränkt sich das aber auf die Überwachung des Dateisystems. Alle anderen Schutzfunktionen werden in den VMs durch den Light Agent (im Endeffekt ist das KES ohne Datei-AV) zur Verfügung gestellt.
Dieses Produkt ist nicht in den Business-Bundles Select und Advanced enthalten und muss ggf separat dazu lizenziert werden. Das Bundle nennt sich “Kaspersky Hybrid Cloud Security”, siehe https://www.kaspersky.de/small-to-medium-business-security/virtualization-hybrid-cloud
und ist in der Regel für kleinere Umgebungen preislich nicht attraktiv.
Grüße
Alex