alexcad

Hallo Mario,
laut Roadmap wird es noch mind. eine weitere KSC-Version für Windows geben - ob das dann Version 15 oder Version 16 sein wird ...?
In Zukunft soll es dann für On-Prem nur noch die Linux-Variante geben. Die aktuelle Version KSC 15.0 für Linux kann meines Wissens noch nicht alle Windows-Produkte vollumfänglich managen. Ehrlich gesagt habe ich mir KSC für Linux noch nicht angesehen und wollte da noch die nächste Version abwarten.

Sprich: Ich würde dir KSC14.2 und KES12.5 empfehlen. 

Allerdings ist Select nicht mehr zeitgemäß. Es fehlt die "Adaptive Kontrolle von Anomalien" und auf Server-Pattformen stehen die Module Web- und Mail-Security nicht zur Verfügung. Mit Advanced oder "Endpoint Detection and Responce" stehen zusätzlich noch Funktionen wie Verschlüsselung und Patchmanagement zur Verfügung. Daneben gibt es noch weitere, vielleicht weniger wichtige Einschränkungen der Select.
Ein Upgrade auf Advanced ist nur noch dieses Jahr möglich. Ab nächstem Jahr greift für Upgrades das neue Lizenzmodell "Kaspersky NEXT" und da wäre die nächste Stufe "Endpoint Detection and Responce Optimum.
EDR-O wäre natürlich sowieso zu empfehlen, ist aber etwas teurer als Advanced.

Grüße
Alex

Hallo Sem,
die von Citrix geforderten Ausnahmen findest du hier:
https://community.citrix.com/tech-zone/build/tech-papers/antivirus-best-practices/
Ist leider etwas unübersichtlich - du musst etwas blättern, bis du zu den Ausnahmen für Workspace kommst.

Grüße
Alex

Hallo AV4Admin,
willkommen im Forum.

Eigentlich würde ich dir nicht empfehlen das Outlook-Plugin zu deinstallieren. Das erfüllt durchaus seinen Zweck und ich konnte seit Jahren keine Störungen beobachten.
In der Vergangenheit kamen Störungen auch eher durch Microsoft-Updates für Outlook, nicht durch das Plugin an sich.

Steuern kannst du das über die Richtlinie:


 
Grüße
Alex

Hallo Marco,
es lässt sich eine AD-Abfrage konfigurieren ...

 
... aber die liefert leider keine AD-Gruppen und -Benutzer.
Dazu habe ich schon einen Feature-Request beim Support erstellt, dem du dich gerne anschließen kannst:
INC000015564108

Um gleich noch auf ein weiteres Problem bzgl. der Härtungsempfehlung hinzuweisen:
Die Härtungsempfehlung schlägt vor allen Windows-Benutzern die Zugriffsrechte auf das KSC zu entziehen und nur noch KSC-interne Benutzer zu berechtigen.
Das führt allerdings dazu, dass einige Aufgaben im KSC nicht mehr laufen, z. B. die Backup- und die Update-Aufgabe. Was eigentlich auch logisch ist, da die KSC Dienstekonten unter einem Windows-Konto laufen. Wenn die keine Berechtigungen mehr haben ...

Auch das wurde schon beim Kaspersky-Support angesprochen: INC000015593858
Viele Grüße
Alex
 

Hallo Zimbo73,
wenn du lokal auf dem Admin-Server auf den lokalen Pfad zugreifst solltest du als Admin alles löschen können:
Ein lokaler Pfad wäre z. B.:
E:\Kaspersky\KLShare\PkgInst\NetAgent_14.0.0.10902\
Über den UNC-Pfad geht das nicht, da in den Freigabe-Berechtigungen nur "lesen" gesetzt ist. Ein UNC-Pfad wäre z. B.:
\\KL_TESTSERVER01\KLSHARE\PkgInst\NetAgent_14.0.0.10902\

Grüße
Alex

Hallo Paul,
du hast recht: Das Call- and Response Verfahren für die temporäre Freigabe ist sehr umständlich. Das Betrifft neben der Gerätekontrolle auch die Web-Kontrolle.
Leider kann ich keine allgemeingültige Lösung anbieten. Einige Kunden praktizieren das wie von dir angesprochen:
Nach Anforderung durch den Benutzer per Mail oder Telefon wird das Gerät der Liste der vertrauenswürdigen Geräte hinzugefügt. Das wird entsprechend (mit Ablaufdatum) dokumentiert und es gibt einen zyklischen (wöchentlichen) Prüf-Prozess für die Bereinigung der Whitelist.

Alternativ gibt es noch die Möglichkeit die Gerätekontrolle selektiv für einzelne Systeme per Richtlinienprofil ganz auszuschalten, siehe Hot-Topic "Empfehlungen zu Best Practice".
Aber auch hier muss das dokumentiert und manuell bereinigt werden.
Was sich mit Ablaufdatum konfigurieren lässt, aber für den Durchschnitts-Benutzer auch schon wieder eine Herausforderung darstellt ist das "Temporäre Kennwort. Du könntest einem Benutzer damit für z. B. einen Tag erlauben die Gerätekontrolle auszuschalten.


 

 
Grüße
Alex
 

Hallo Paddy,
willkommen im Forum.
Meines Wissens ist das nicht möglich. Bei Bedarf kannst du das nochmal über deinen Company-Account beim Support anfragen:
https://companyaccount.kaspersky.com/account/login
Aber in der Online-Hilfe ( https://support.kaspersky.com/KSMG/2.0.1/de-DE/91208.htm )gibt es dazu keine Info und im KSC lassen sich keine Richtlinien und Aufgaben für die Lösung erstellen.

Grüße
Alex 

Kaspersky Endpoint Security 12.1.0.506 wurde am 24.04.2023 veröffentlicht. 
Infos https://support.kaspersky.com/de/kes12       
Download https://www.kaspersky.de/small-to-medium-business-security/downloads/endpoint      
Systemanforderungen https://support.kaspersky.com/KESWin/12.1/de-DE/127972.htm     
Neuerungen https://support.kaspersky.com/KESWin/12.1/de-DE/127969.htm    
Bekannte Einschränkungen https://support.kaspersky.com/de/kes12/limitations   
Online-Hilfe https://support.kaspersky.com/KESWin/12.1/de-DE/184649.htm   
Grüße
Alex

Hallo Dennis,
laut Kaspersky gab es den letzten sicherheitsrelevanten Fix mit KES11.7, siehe https://support.kaspersky.com/vulnerability/list-of-advisories/12430 
bzw. https://support.kaspersky.com/vulnerability/list-of-advisories/12430#01112021

Meldung vom 01.11.2021
CVE-2021-35053
List of affected applications:
Kaspersky Endpoint Security versions from 11.1 to 11.6 (inclusively) Fixed versions:
Kaspersky Endpoint Security 11.7
Zwei Punkte sprechen allerdings für die zeitnahe Migration auf die aktuelle Version 12.1:
Das Serverschutzprodukt KSWS muss bis Ende das Jahres (End of Support) durch die KES abgelöst werden. Die Integration der erforderlichen Funktionen und der umfassenden Unterstützung der Serverplattformen wurde mit KES 11.8 begonnen und mit KES 12.0 abgeschlossen. (nur die Adaptive Kontrolle von Anomalien fehlt noch). Ab KES-Version 11.10 bzw. 11.11 ist in Zukunft die (automatische) Produktaktualisierung ohne Neustart möglich. (Muss in der Richtlinie aktiviert werden). Das bringt eine wesentliche Erleichterung für den Update-Prozess der Umgebung.  Bzgl. des zweiten Punktes: In den Umgebungen, bei denen momentan eine Aktualisierung ansteht, installiere ich die KES 12.1 nochmal wie gewohnt, da bei gewachsenen Strukturen oft die aktuellen bzw. nun erforderlichen Module nicht installiert wurden. (Bitlocker-Management, Adaptive Kontrolle von Anomalien, EDRO, ...). Durch die "normale" Upgrade-Installation kann ich über das Installationspaket auch die Modulauswahl neu definieren. Sobald die installierten Module auf den geschützten Systemen wieder dem heutigen Stand entsprechen lässt sich mit den erwähnten (Auto-)Updates ohne Neustart arbeiten (da lässt sich die Modulauswahl nicht ändern).
Grüße
Alex

Hallo Zusammen,
hier findet ihr Infos zu "Kaspersky Security für Windows Server".
Allgemeine Hinweise: 
- Das Produkt "Kaspersky Security für Windows Server" ist abgekündigt und wird nicht weiter entwickelt. In Zukunft wird es “nur noch” das Produkt “Kaspersky Endpoint Security für Windows” geben, welches auf Clients und Servern gleichermaßen eingesetzt werden kann.
- Funktionsmatrix nach Lizenzierung: https://support.kaspersky.com/de/ksws11/licensing/15634
- Critical Fixes sind in der Regel kumulativ (die Vorgänger-Fixes sind enthalten) und erfordern keinen Neustart des Betriebssystems. Seit Version 10.1 lässt sich in der Richtlinie ein Kennwortschutz setzen. In diesem Fall muss das Kennwort für die CF-Installation deaktiviert oder dem Installationsaufruf mit gegeben werden:
msiexec /update critical_fix.msp /qn UNLOCK_PASSWORD=<PASSWORD>
bzw.
/qn UNLOCK_PASSWORD=<PASSWORD>
 
KS11.0.1 WS - Version 11.0.1.897
Kaspersky unterscheidet beim Support für KSWS nun nach Lizenzierung:
- Kaspersky Security for Storage:
   Voller Support bis 30 Juni 2025
   Eingeschränkter Support bis 31. Dezember 2026
- Kaspersky Endpoint Security for Business:
   Voller Support ist abgelaufen.
   Eingeschränkter Support bis 30. Juni 2025
Datenbanken-Updates: kein Ende angekündigt
Infos und Downloads: https://support.kaspersky.com/de/ksws11#downloads 
Onlinehilfe: https://support.kaspersky.com/KSWS/11.0.1/de-DE/147896.htm 
Neuerungen: https://support.kaspersky.com/KSWS/11.0.1/de-DE/194846.htm 
Bekannte Einschränkungen: https://support.kaspersky.com/KSWS/11.0.1/de-DE/161707.htm 
Verfügbare Patches:
- Critical Fix ProductCore 24


Ältere Versionen (KS11WS v11.0.0 und älter, sowie die Vorgängerprodukte KAV8 WSEE, KAV6 WSEE) werden nicht mehr unterstützt. Ein Wechsel auf eine möglichst aktuelle Version der "Kaspersky Endpoint Security" (11.8 oder höher) wird dringend empfohlen.

Quellen:
Support - http://support.kaspersky.com/de 
Lifecycle - http://support.kaspersky.com/de/support/lifecycle 

Hallo Zusammen,
hier mal eine kleine Anleitung, wie sich Differenzierungsbedarf bzgl. der Schutzeinstellungen in einer einzigen Richtlinie abbilden lassen. Das Stichwort ist „Richtlinienprofile“.

Diesen Punkt findet ihr z. B. in den Richtlinien der KES und der KSWS – richtig spannend ist er aber nur in der KES-Richtlinie. Folgende Ausführungen beziehen sich somit alle auf die KES-Richtlinie.


Die Funktion kurz zusammengefasst:
(Details dann in den Anwendungsbeispielen)
Jedes Richtlinienprofil, für das eine Aktivierungsregel greift, wird von den entsprechenden Systemen übernommen. Gibt es zwei Richtlinienprofile mit widersprüchlicher Einstellung gewinnt die Einstellung aus dem Richtlinienprofil mit der höheren Priorität (weiter oben in der Liste).


  Die Einstellungen der Basis-Richtlinie werden nur durch die verbindlich gesetzten Einstellungen des Richtlinienprofils überschrieben (Schloss zu), auch wenn in der Basis-Richtlinie hier ebenfalls das Schloss zu ist. Alle anderen Einstellungen (im Richtlinienprofil Schloss offen) der Basis-Richtlinie bleiben unverändert und verbindlich (sofern dort das Schloss ebenfalls zu ist, was ich immer für alle Einstellungen empfehlen würde).


Beispiel 1 - Steuerung der Festplattenverschlüsselung / Bitlocker-Management (Advanced-Lizenzierung erforderlich)

In der Regel müssen in einem Unternehmen nicht bei allen Systemen die Festplatten verschlüsselt werden. Oft ist dies nur bei Notebooks gefordert. Eine gezielte Verschlüsselung z. B. aller Notebooks, in Verbindung mit der Möglichkeit einzelne Geräte selektiv zu entschlüsseln, lässt sich mit Richtlinienprofilen sehr einfach umsetzen.
Wir erstellen zwei Richtlinienprofile, "Bitlocker off" und Bitlocker on", wobei "Bitlocker off" die höhere Priorität besitzt.



Im Richtlinienprofil "Bitlocker on" setzen wir als Aktivierungsregel z. B. Zugehörigkeit zu einer bestimmten OU im AD:


 
Wie sich am Dialog erkennen lässt, wäre es möglich weitere Aktivierungsregeln zu definieren. Wie immer gilt:
Alle konfigurierten Bedingungen in einer Aktivierungsregel müssen erfüllt sein damit die Regel greift (UND-Verknüpfung) Mindestens eine Aktivierungsregel muss greifen damit das Richtlinienprofil vom Client übernommen wird (ODER-Verknüpfung) Nun gehen wir im Richtlinienprofil "Bitlocker on" in die Programmeinstellungen, aktivieren dort die Festplattenverschlüsselung mit Bitlocker und schließen nur dort das Schloss.

Anschließend alles mit "OK" bestätigen bzw. speichern und die Richtlinie schließen. 
Alle Geräte, die sich in der OU "Notebooks" befinden sollten nun dieses Richtlinienprofil übernehmen und folglich die Festplattenverschlüsselung mit Bitlocker durchführen.
Die Übernahme des Profils lässt sich prüfen:
Im Richtlinienprofil


  In den Eigenschaften des Systems


  Über die GUI auf dem Client

Damit wir einzelne Geräte bei Bedarf entschlüsseln können konfigurieren wir noch das zweite Richtlinienprofil "bitlocker off". In diesem Richtlinienprofil setzen wir als Aktivierungsregel z. B. Tag "bitlocker off" muss vorhanden sein ...


... und aktivieren in den Einstellungen die Entschlüsselung aller Festplatten. Und auch hier nicht vergessen das Schloss zu schließen.

Wenn ich nun ein Notebook gezielt entschlüsseln möchte, muss ich nur den Tag "bitlocker off" in den Clienteigenschaften aktivieren. Da das Richtlinienprofil "bitlocker off" eine höhere Priorität als das Richtlinienprofil "bitlocker on" besitzt, wird das Notebook entschlüsselt, auch wenn es sich in der OU "Notebooks" befindet.


 
Beispiel 2 - Dedizierte Ausnahmen für bestimmte Systeme setzen
Oft sind die Vorgaben der Software-Hersteller bzgl. der Ausnahmen für EndpointSecurity-Produkte sehr umfassend bzw. zu allgemein. Das möchte man nicht auf allen Systemen aktiv haben, um nicht ein zu großes Loch in den Schutz zu reißen. Bestes Beispiel sind hier die Vorgaben von Microsoft bzgl. Exchange, siehe https://learn.microsoft.com/de-de/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2019
Auch hier lässt sich ein Richtlinienprofil gut einsetzen. Im Beispiel konfiguriere ich die Aktivierungsregel wieder auf Basis eines Tags - der Tag "Exchange" muss vorhanden sein, damit das Richtlinienprofil übernommen wird.


 
In den Einstellungen ergänze ich die von Microsoft geforderten Untersuchungsausnahmen und vertrauenswürdigen Prozesse und schließe dort das Schloss. Uns kommt nun zu Gute, dass KES die Ausnahmen auch bei Richtlinienprofilen zusammenführt, sofern der entsprechende Haken gesetzt ist. Die Ausnahmen der Basis-Richtlinie werden dann nicht überschrieben, sondern durch die Ausnahmen des Richtlinienprofils ergänzt.



 
Noch zwei Hinweise zum Thema "Tag setzen":
Den Tag-Dialog bekommt ihr auch, wenn ihr im Kontextmenü einer Mehrfachauswahl auf Eigenschaften geht. Bedeutet: Ihr könnt für mehrere Geräte gleichzeitig einen Tag setzen oder deaktivieren.




  Tags lassen sich auch regelbasiert zuweisen. Ihr findet den Dialog in den Eigenschaften des Admin-Servers.

 
Grüße
Alex
 
PS. Unten hat sich noch ein Screenshot eingeschlichen, den kann ich irgendwie nicht mehr löschen. Wir ignorieren ihn einfach.

 

Hallo Zusammen,
Microsoft hat die lange Liste an geforderten Ausnahmen für Microsoft Exchange aktualisiert. Diese vier Objekte müssen nun nicht mehr exkludiert werden - bei einer Prüfung der Ausnahmen wurde von Microsoft kein Impact auf Exchange festgestellt und dem Sicherheitsaspekt Vorrang gegeben:
Ordner
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\
%SystemRoot%\System32\Inetsrv\
Prozesse
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe
Die Liste ist dennoch sehr lang, sollte aber unbedingt in der Richtlinie für Exchange-Server umgesetzt werden:

Deutsch:
https://learn.microsoft.com/de-de/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2019 
Englisch:
https://learn.microsoft.com/en-us/exchange/antispam-and-antimalware/windows-antivirus-software?view=exchserver-2019
Details bei Microsoft:
https://techcommunity.microsoft.com/t5/exchange-team-blog/update-on-the-exchange-server-antivirus-exclusions/ba-p/3751464
Details bei heise:
https://heise.de/-7528210

Empfehlung: Ich setze spezielle Ausnahmen für bestimmte Server-Rollen (Cluster, Exchange, SQL, ...) über Richtlinien-Profile um. Die Ausnahmen greifen damit nur auf den Systemen, auf denen sie erforderlich sind (z. B. Tag-basierte Zuweisung). 
Siehe 

Gerade die Ausnahmen für Exchange sollte man nicht auf alle (Server-) Systeme anwenden, da sie sehr weitreichend sind.

Grüße
Alex

Kaspersky Endpoint Security 12.0.0.465 wurde am 30.01.2023 veröffentlicht. 
Infos https://support.kaspersky.com/de/kes12      
Download https://www.kaspersky.de/small-to-medium-business-security/downloads/endpoint      
Systemanforderungen https://support.kaspersky.com/KESWin/12.0/de-DE/127972.htm     
Neuerungen https://support.kaspersky.com/KESWin/12.0/de-DE/127969.htm    
Bekannte Einschränkungen https://support.kaspersky.com/de/kes12/limitations   
Online-Hilfe https://support.kaspersky.com/KESWin/12.0/de-DE/222859.htm   
Grüße
Alex

KSWS - klar, steht ja auch im Zertifikat - sorry. Wer Lesen kann ist klar im Vorteil ?

Bei KSWS findet man SSL-Inspection im Modul "Schutz des Datenverkehrs" (steht nicht mit Select-Lizenzierung zur Verfügung).


 
Grüße
Alex

Hallo Zimbo73,

vermutlich blockt hier die "Programm-Überwachung" (nicht die "Programm-Kontrolle"). Per Default dürfen nur  vertrauenswürdige Programme auf Kamera und Micro zugreifen. Die Reputationsinfos kommen in der Regel sehr zeitnah über die KSN-Abfragen, so dass man hier selten Hand anlegen muss. 

Falls doch gibt es zwei Möglichkeiten:

1.) Du fügst die Anwendung manuell der Gruppe der vertrauenswürdigen Anwendungen hinzu:


 
2.) Du erlaubst auch schwach beschränkten Programmen den Zugriff auf Kamera und Micro:



 
Grüße
Alex

Hallo Zusammen,

da die Frage relativ häufig kommt: Hier mal ein Topic dazu.

Situation: Nach der Installation des KSC mit SQL 2019 oder SQL Express 2019 startet der Kaspersky-Adminserver nicht sauber und generiert im Sekundentakt Laufzeitfehler "Database Error ...".

Ursache ist ein Problem mit SQL 2019. Das Problem wurde mit CU12 behoben. 

Lösung: Aktuelles kumulatives Update für SQL 2019 installieren und alles ist gut.
https://learn.microsoft.com/de-de/troubleshoot/sql/releases/download-and-install-latest-updates
Tatsächlich wird im Handbuch explizit darauf hingewiesen - aber ich musste auch erstmal in den Fehler laufen, um dann herauszufinden woran es liegt und wie sich das lösen lässt.
https://support.kaspersky.com/KSC/14/de-DE/92403.htm
Grüße
Alex

PS: Ich habe das Topic gesperrt, wird sonst ganz gerne mal zu lang und unübersichtlich. Wenn ihr Fragen dazu habt - bitte ein separates Topic erstellen.

Hallo Dennis,
willkommen im Forum - und entschuldige die späte Rückmeldung, war im Urlaub.

Um hier eine präzise Empfehlung aussprechen zu können liegen nicht genug Informationen vor. 
Du sprichst von Netzlaufwerken? Wichtig hierbei: Die Ausnahme ist in der Regel auf den lokalen Pfad des Endpoints, der angeschlagen hat am sinnvollsten.
In der KES-Richtlinie lassen sich Ausnahmen auf Ordner/Dateien oder/und Objektname (Schadcode-Name bzw. -Klasse) setzen. Je präziser und passender die Angaben sind, desto kleiner das Loch, das du mit der Ausnahme schaffst. Von zu allgemeingültigen Ausnahmen (z. B. auf Laufwerksbuchstaben) ist abzuraten.
Gerade die logische Verknüpfung von Ordner- bzw. Dateiname und Objektname hilft die Ausnahme zu präzisieren.
Des weiteren lassen sich die Schutz-Module eingrenzen, für welche diese Ausnahme gültig sein soll. Wenn nicht unbedingt erforderlich, würde ich die Verhaltensanalyse immer aktiv lassen, also in der Ausnahme nicht mit angeben.


 
Manchmal bietet es sich auch an den erzeugenden Prozess als vertrauenswürdig einzustufen und damit die Events zu vermeiden.

Eine weitere Möglichkeit der möglichst zielgerichteten Konfiguration von Ausnahmen ist das über Richtlinienprofile nur für bestimmte Endpoints zu setzen.

Melde dich, wenn du dazu noch Fragen hast.

Grüße
Alex

Kaspersky Endpoint Security 11.11.0.452 wurde am 21.10.2022 veröffentlicht. 
Infos https://support.kaspersky.com/de/kes11     
Download https://support.kaspersky.com/de/kes11#downloads      
Systemanforderungen https://support.kaspersky.com/KESWin/11.11.0/de-DE/127972.htm     
Neuerungen https://support.kaspersky.com/KESWin/11.11.0/de-DE/127969.htm    
Bekannte Einschränkungen https://support.kaspersky.com/KESWin/11.11.0/de-DE/201943.htm   
Online-Hilfe https://support.kaspersky.com/KESWin/11.11.0/de-DE/222859.htm   
Grüße
Alex

Hallo Khappa,

gute Fragen - das treibt sicher auch den einen oder anderen um - ich versuche mal alles so umfassend wie möglich zu beantworten. 
1.) Export Tool? 
Richtlinien und Aufgaben lassen sich exportieren und importieren ...


 
... wobei bei den Aufgaben die Export-Funktion im Kontextmenü in der Untergruppe "Alle Aufgaben" zu finden ist - warum auch immer.

 
Bei "Monitoring" müsstest du nochmal genauer definieren, was du darunter verstehst.

Was sich noch exportieren und importieren lässt sind die Geräteselektionen (Geräteauswahl). 


Der Export ist allerdings etwas tricky - dazu muss die jeweilige Auswahl aufgerufen (Auswahl starten) werden:



Die Gruppenstruktur lässt sich leider nicht exportieren. Ein Import über eine Textdatei wäre möglich:



Allerdings: Ich nutze die Gelegenheit eines Umzuges auf einen neuen Server -gerade im Zuge eines Versionsupgrade- ganz gerne, um die Gruppenstruktur und die Konfiguration zu konsolidieren und zu überarbeiten (Vereinfachen, geänderte Best Practice). 
Stichworte sind hierbei u. A.:
- Untergeordnete Admin-Server werden durch Verteilungspunkte ersetzt.
- Verteilungspunkte werden dynamisch auf Basis von Verbindungsprofilen zugewiesen, nicht mehr statisch auf Gruppenzugehörigkeit.
- Auch dazu ist es sinnvoll die IP-Netze global zu pflegen:

   
 - Konsolidierung der Richtlinien und darüber Vereinfachung des Managements. Differenzierung erfolgt nicht mehr über weitere (untergeordnete) Richtlinien, sondern (im Optimalfall) innerhalb einer Richtlinie über Richtlinienprofile - hat viele Vorteile, füllt aber ein eigenes Thema - vielleicht schreibe ich da mal einen Beitrag:

   

Teilweise verzichte ich auch auf den Import alter Aufgaben und Richtlinien um hier konsequent Altlasten über Bord zu werfen und mit neuen, sauberen Konfigurationen nach aktueller Best Practice zu starten.
Nach Bedarf lassen sich ja auch nur die Ausnahmen oder/und Whitelist-Einträge (Gerätekontrolle) exportieren und importieren (auch selektiv möglich):


 

2.) Reihenfolge
Ich empfehle folgende Abfolge:
- Neuen Admin-Server hochziehen und Konfigurieren.
- Pilotgruppe verwalteter Systeme per Aufgabe (alter Admin-Server) auf den neuen Admin-Server binden:
   
- Geräteauswahl für die alten Agentversionen erstellen (Server und Clients) und darauf eine Installationsaufgabe für den neuen Agent laufen lassen (inline-Upgrade, automatisiert nach Zeitplan).
- Geräteauswahl für Systeme mit neuem Agent und alten Schutzprodukten erstellen (nur Clients) und darauf eine Installationsaufgabe für das neue Schutzprodukt laufen lassen (inline-Upgrade, automatisiert nach Zeitplan).
Das alles inkl. der neuen Richtlinien und Aufgaben ausgiebig in einer Pilotgruppe testen und ggf. noch nachschärfen.
Was manchmal erforderlich ist: inline-Upgrade des Schutzproduktes schlägt ganz gerne mal fehl, z. B. wenn die Systeme schon mehrfach aktualisiert wurden. Dann sollte man die Vorgehensweise umstellen und die Migration aufteilen: Zuerst Deinstallationsaufgabe und dann Neuinstallation nach Reboot. Auch diese Aufgaben lasse ich nach Zeitplan auf entsprechende Geräteselektionen los.

3.) KS4WS:
Ja, muss abgelöst werden, ist abgekündigt. Es wird nach der aktuellen Version 11.0.1.897 (vom 24 Mai 2021) keine neue Version geben. Allerdings hat Kaspersky den vollständigen Support nochmal um ein Jahr, bis zum 31.12.2023 verlängert.   https://support.kaspersky.com/de/corporate/lifecycle#b2b.block1.ksws11
Der Druck ist also erstmal nicht mehr so groß, aber ein Wechsel ist auch aus Security-Sicht dringend zu empfehlen. Der KS4WS fehlen inzwischen einfach ein paar wichtige Module/Funktionen.
Kaspersky hat mit KES 11.8 begonnen die Besonderheiten der KS4WS auf die KES zu übertragen. Mit der KES 11.12 soll dieser Prozess abgeschlossen sein - wobei eigentlich nur noch der versprochene Migrations-Assistent fehlt, den man eigentlich nicht benötigt. Die aktuelle KES 11.11 funktioniert aus meiner Erfahrung sehr gut auch auf Servern.
Auch hier gilt: Neues Schutzprodukt, neue Funktionen - alte Einstellungen inkl. der Ausnahmen haben keine Gültigkeit mehr.
Auch hier meine Empfehlung: Umstellung in einer Pilotgruppe testen und ggf. Nachschärfen.
Da in der Regel kein Neustart erforderlich ist empfehle ich:
- KS4WS über eine KSC-Aufgabe deinstallieren.
- Geräteauswahl "Server ohne Schutz" erstellen und darauf eine Installationsaufgabe "KES für Server" laufen lassen oder das über eine manuelle Aufgabe bedienen.
Anmerkungen bzgl. Installationspaket:
- Die Module "Protokollanalyse" und "Überwachung der Datei-Integrität" stehen nur mit speziellen Lizenzen zur Verfügung - ich nehme die Module schon im Installationspaket raus.
- Leider steht die "Adaptive Kontrolle von Anomalien" noch nicht für Server zur Verfügung, obwohl es sich im Paket so nicht erkennen lässt. Das soll tatsächlich mit KES 11.12 kommen. Für dieses Modul ist mind. Advanced-Lizenzierung erforderlich.


 
macht das manchmal Probleme bzw. auf was muss ich achten ? 
Tatsächlich gibt es einen wichtigen Punkt zu beachten: Die KES verhält sich auf Clustern wesentlich kritischer. Hier ist es unbedingt erforderlich vorher die Cluster-Nodes und ggf. auch die Witness-Server aus der Netzwerküberwachung raus zu nehmen. 

Für besonders kritische Cluster erstelle ich teilweise auch eigene Installationspakete ohne die Netzwerk-Schutzmodule. 
Sonst sind mir keine generellen Störungen bekannt. Ich habe durchweg gute Erfahrungen mit der KES auf Servern sammeln können.

Grüße
Alex

Hallo Marx Engineering,

willkommen im Forum. Hier diskutieren Benutzer - den Hersteller oder deinen Lieferanten wirst du hier nicht erreichen.
Falls es sich um ein "Home-User"-Produkt handelt wirst du vielleicht hier fündig:
https://forum.kaspersky.com/forum/für-privatanwender-62/
Da gibt es einige Fragen und Hinweise zum Thema Abonnements.

Viele Grüße
Alex

PS: Die Bestellnummer habe ich aus Datenschutzgründen gelöscht.

Hallo sudobash,
entschuldige die späte Rückmeldung, war im Urlaub.

Bei deinen Ausführungen kann was nicht stimmen - daher habe ich mir erlaubt, die Markierung als Lösung zu entfernen.
Das Modul "Anti-Cryptor" bzw. "Schutz vor Verschlüsselung findet sich nur im Produkt "Kaspersky Security für Windows Server". In der KES ist der Schutz vor Verschlüsselung Teil der Verhaltensanalyse.

Für den Server, auf dem das Anti-Cryptor-Modul anschlägt müsstest du daher eine Ausnahme auf den lokalen Pfad der Server-Freigabe in der Richtlinie für KS4WS erstellen.



Bitte beachte dabei:
- Pfadangaben müssen mit einem Backslash enden.
- Damit die Einstellungen verbindlich sind und auf dem Endpoint übernommen werden muss das Schloss in der Richtlinie zu sein.

Grüße
Alex

PS: KS4WS ist abgekündigt und sollte möglichst zeitnah durch die KES ersetzt werden. Siehe dazu die Hot-Topics und diverse Diskussionen im Forum.
 

Ja, inzwischen ist es genau umgekehrt.

Mit der Abkündigung der KS4WS hat Kaspersky mit KES11.8 begonnen alle Leistungsmerkmale auf die KES zu portieren. Schon die KES11.9 hatte eigentlich alle erforderlichen Punkte dies bzgl. integriert.
Laut Raodmap ist dieser Prozess mit KES11.12 Ende diesen Jahres abgeschlossen.

Mit der KES 11.9 und der aktuellen KES 11.10 habe ich durchweg positive Erfahrungen auf Servern sammeln können.

Große Vorteile beim Einsatz der KES auf Servern ergeben sich aus den erweiterten Schutzmodulen, wie z. B. der Verhaltensanalyse mit maschinellem Lernverfahren.
Auch die KSN-Integration funktioniert wesentlich besser - man muss viel weniger Ausnahmen setzen. 
Endpoint Detection and Response ist ebenfalls bei der KES besser integriert und leistungsstärker.

Das ist vermutlich auch der Hauptgrund für die Abkündigung der KS4WS: Vermutlich ist es zu aufwändig oder nicht möglich die KS4WS auf einen angemessenen technischen Stand bzgl. der Schutzmodule und -funktionen zu bringen.

Was es allerdings zu beachten gilt: Damit nach wie vor eine Trennung der Konfiguration (Richtlinien, Aufgaben) bzgl. Clients und Servern gegeben ist muss man ggf. die Gruppenstruktur umbauen.
Bei gewachsenen Strukturen eine gute Gelegenheit die Anforderungen an das Management und die Schutzprodukte zu überdenken und ebenfalls auf einen aktuellen Stand zu bringen.

Grüße
Alex

Kaspersky Security Center 14.0.0.10902 wurde am 04.08.2022 veröffentlicht. 
Infos https://support.kaspersky.com/de/ksc14     
Download https://support.kaspersky.com/de/ksc14#downloads      
Systemanforderungen https://support.kaspersky.com/KSC/14/de-DE/96255.htm     
Neuerungen https://support.kaspersky.com/KSC/14/de-DE/12521.htm    
Bekannte Einschränkungen: https://support.kaspersky.com/KSC/14/de-DE/211205.htm   
Online-Hilfe: https://support.kaspersky.com/KSC/14/de-DE/5022.htm   
Grüße
Alex

Kaspersky Endpoint Security 11.10.0.399 wurde am 01.08.2022 veröffentlicht. 
Infos https://support.kaspersky.com/de/kes11    
Download https://support.kaspersky.com/de/kes11#downloads      
Systemanforderungen https://support.kaspersky.com/KESWin/11.10.0/de-DE/127972.htm     
Neuerungen: https://support.kaspersky.com/KESWin/11.10.0/de-DE/127969.htm    
Bekannte Einschränkungen: https://support.kaspersky.com/KESWin/11.10.0/de-DE/201943.htm   
Online-Hilfe: https://support.kaspersky.com/KESWin/11.10.0/de-DE/184649.htm   
Grüße
Alex

Ich würde eine Deinstallation der KES und eine Neuinstallation mit der aktuellen Version 11.8 vorschlagen.
Bitte beachten: Nach der Aktualisierung des KES-Plugins im KSC sollte die KES-Richtlinie geprüft werden.
Grüße
Alex