Grodomin
-
Posts
86 -
Joined
-
Last visited
Posts posted by Grodomin
-
-
Mich persönlich nervt auch, dass du “Verschlüsselungsausnahmen” nicht dediziert auf Ordner oder Dateiebene setzen kann.
Es ist unter Verhaltensanalyse und du kannst nur ganze DNS-Namen oder IPs Whitelisten.
Vielleicht greifen auch die globalen Ausnahmen- aber das ist jetzt nicht unbedingt das, was man möchte...
-
Upgrade KS4WS to KES 11.8
Status description: Restart is requiredmeh
😠
Zumindest erfolgt im Huntergrund eine saubere Deinstallation der KS4WS bevor er die KES installiert...
-
Hallo @McByte,
schau mal bitte hier - vielleicht hast ja das gleiche Problem?
Community:
LinkKlingt zumindest ähnich wie das Thema das @Karl84 vor ein paar Tagen hatte.
möglicher KB-Eintrag:
https://support.kaspersky.com/de/15814#block2
MfG
-
Guten Morgen @rt1970 ,
grundsätzlich hat Kaspersky einen Angriff auf deinen Exchange über eine Schwachstelle erkannt.
- Objekt gefunden: Intrusion.Generic.CVE-2017-9805.c.exploit
Auf deinem Exchange scheint ein Apache Webserver zu laufen, welcher seit mindestens 2017 (!) nicht mehr gepatcht wurde, denn so alt ist die Lücke
siehe: https://securitylab.github.com/research/apache-struts-vulnerability-cve-2017-9805/ - Name des Objekts: 5.193.208.47:38772
Ist eine IP Adresse aus den Vereinigten Arabischen Emiraten und 38772 der genutze Port für den Angriff / Scan
Du bist mit der IP im Übrigen nicht allein
siehe: https://www.abuseipdb.com/check/5.193.208.47 - Empfänger: 192.168.2.4:443
Die lokale IP des Exchange-Servers, Port 443 ist für Outlook-Webaccess offen
Zu den Maßnahmen:
- schließe auf deiner Firewall die Kommunikation mit der externen IP-Adresse - sofern möglich, kannst du auch eine GEO-Filterung aktivieren
- finde heraus was für eine Software auf dem Exchange läuft, und aktuallisiere oder deinstalliere sie (Apache Webserver sollte einfach zu finden sein)
- führe einen Vollscan auf dem Server aus
Je nachdem. welche Kaspersky-Version du einsetzt, kannst du in Zukunft in den Email-Benachrichtigungen zusätzliche Infromationen erhalten.
- Objekt gefunden: Intrusion.Generic.CVE-2017-9805.c.exploit
-
Moin Alex,
kann ich nur teilweise bestätigen:
- die Agent-Upgrade haben bei uns intern ohne Probleme funktioniert - Server 2019 DCs
- das ist defninitv so, scheint an dem “EDR 2.0” zu liegen :-/ - aber wir haben fleißig neue erstellt :-)
MfG
-
Funktioniert soweit ganz gut - ebenso die Webconsole.
Auch als “Inplace Update”Allerdings funktioniert dann das EDR nicht mehr -_-
KES 11.7 hilft auch nicht... -
In ziemlich naher Zukunft sollen neue KSC (13.2) und KES (11.7) Versionen rauskommen.
Diesesmal haben sie sich mit den Abständen selbst übertroffen 🤔
-
@Luckysh0t hab mal foglendes gelernt
- 90 % aller Exchange Probleme sind AD-Probleme
- 90 % aller AD-Probleme sind DNS-Probleme
Wenn nur ein einzelnes Gerät im gleichen Subnetz betroffen war, würde ich auf die Namensauflösung tippen :-D
-
Hallo @Luckysh0t
schau mal bitte ob am Client auch der Port 17000 TCP Client in Richtung KSC freigegeben ist.
Der Port fehlte uns immer, wenn etwas keine Lizenz bekam…
MfG
-
Super, wenn das schonmal geholfen hat!
Bitte makiere den Beitrag dann als “gelöst” :-)
Naja, wer weiß ob das Betriebssystem nicht irgendwo manipuliert ist und irgendwo nach China telefoniert… - zumindest in der Theorie könnte da etwas so tief verwurzelt sein, dass Kaspersky da nicht dran kommt :-/
Muss nicht sein, aber wäre durchaus möglich. (ich bin da etwas paranoid) -
Moin Alex,
also ich konnte keine größeren Probleme feststellen.
Die in der englischen Community genannten Benachrichtigsprobleme kann ich ich ebenfalls nicht bestätigen.
Wichtigste Neuerung für mich: die bessere EDR-Integration - das mit “Keine Infokarte zum Vorfall” gab es in der Webconsole vorher leider nicht:
Gefühlt sind da aber wieder ein paar Knöpfe aufgetaucht, die ich so in den ChangeNotes nicht gelesen habe… - mal schauen ob da was bei den LIVE on tour Veranstaltungen gesagt wird.
-
Guten Morgen @Tarzan4711,
grundsätzlich ist dieses 360 AntiVirus ein zweischneidiges Schwert - nach meinem Wissenstand ist das eine kostenfreie Freeware aus China, die Ihren Namen mit Absicht an das Produkt eines Amerkanischen Herstellers anlegt. Einen Uninstaller gibts auch nicht; ein Schelm wer böses dabei denkt ;-)
Damals konnte man den Kram über die Registry entfernen:
- öffne Regedit
- gehe zu HKEY_LOCAL_MACHINE
- weiter unter SOFTWARE
- erweitere WOW6432NODE (auf den Pfeil klicken)
- makiere mit der rechten Maus-Taste 360SCAN (oder so ähnlich) und klick auf löschen
- anschließend den Rechner neustarten
- Kaspersky sollte nun installiert werden können
Ich würde dir jedoch empfehlen eine saubere Neuinstallation mit einem “frischen” Windows-Datenträger durchzuführen. Die günstigen Geräte aus China bezahlt man oft hintenrum mit seinen Daten :-/
-
Yeah - dann bin ich mal gespannt ob damit auch der aktuellste EDR Agent wieder sauber Daten liefert :-D
-
:-D
war nicht O2007 auf 2010 der krasse Sprung?
Wie @alexcad schon sagte - wer mit der MMC aufgewachsen ist, hängt sehr an ihr. Gerade in größeren Umgebungen +500 Nodes ist das Arbeiten damit einfach angenehmer als mit der Web Console.
Ich werde in Zukunft meinen MMC-Fehler im KSC-Dashboard vermissen 😂
(der erfahrene Admin hat eine Kopie von %Username%\AppData\Roaming\Microsoft\MMC\Kaspersky Security Center 13)Aber am Ende ist HTML5 der richtige weg - zusammen mit 2FA und Installation in einer Linux VM (DMZ) geben sich zB. für ManagedSevice- Szenarien deutlich schönere Möglichkeiten, ohne an der Sicherheit zu sparen!
Wie lange Microsoft tatsächlich brauchen wird im die MMC los zu werden steht in den Sternen… ich sag nur Interne Explorer *hust*
MfG
-
Ist wie damals bei der Office-Umstellung damals - vergiss alles was du jemals gelernt hast und dann ist es gut ;-)
-
Moin Alex,
habs in meiner internen Umgebung bereits laufen und bis dato keine größeren Probleme!
Wenn man das englische Forum verfolgt, hatte ich ein wenig Skrupel…Pros:
2-Faktor Authentifizierung für KSC und/oder Webconsole - gerade in Hinblick auf MSP klasse!
Webconsole 13 - gefühlt deutlich performanter und so langsam auch mit den Features, die man braucht
“blockieren häufig auftretender Ereignisse” & “Mitteilungen von Kaspersky” - :-D mal schauen wie nützlich es wirklich sein wird!
CONs:
scheinbar massive Änderungen in Hinblick auf Vererbung mit virtuellen Administrationsservern - eigentlich logisch, aber muss man auch erstmal wissenLizenz-Handling leider immernoch suboptimal für MSPs
Alles in allem ein gutes Update, aber viele Feinheiten muss man erstmal suchen :-/
-
Guten Morgen nochmal,
okay - bist du dir sicher, dass in den Richtlinien dazu das “Schloss-Symbol” zu ist und damit die Vererbung auf die Endgeräte eingeschaltet ist?
Ansonsten würde ich nur noch eine mögliche Komponente sehen, den “Schutz vor Netzwerkbedrohungen”:
Hatte mal bei einem Kunden die Situation, dass größere Solidworks-Bauteile, geöffnet aus einem DataVault, zu einer Sperrung führte. Grund dafür war extrem viele Anfragen in kurzer Zeit.
Alternativ gib mir mal die genauen Versionen von KSC, Agent und KS4WS - falls du möchtest kannst du mir deine Richtline exportieren und als PM schicken.
MfG
-
Guten Morgen @SecAdmin ,
Auslöser sollte dafür der “Schutz vor Verschlüsselung der KS4WS” sein. Wenn du die Email-Benachrichtigungen dazu aktivierst, bekommst du teilweise informativere Meldungen zurück.
Die besten Informationen bekommst du, wenn du dich auf das Gerät aufschaltest, wo der Schutz zugeschlagen hat - allerdings benötigst du dazu das MMC-Plugin aus dem Installationspaket des Serverschutzes;
Die Ausnahme kannst du im Administrationsserver in der geltenden Richtlinie definieren:
Ich hoffe damit kommst du weiter - wenn nicht, einfach nochmal melden!
MfG
PS: du kannst den Schutz auch in den “Lernmodus schalten”. Quasi nur melden, aber nichts blocken - das gibt dir Zeit mögliche Ausnahmen zu setzen, bevor man zB. Buchhaltung, Konstruktion oder die Personalabteilung aussperrt ;-)
-
Update:
die Download-Server sind wieder audgeräumt und du kanst den KS4WS auch wieder herunterladen unter
https://www.kaspersky.de/small-to-medium-business-security/downloads/endpoint
-
Hallo @Hawky ,
willkommen in der Community!
Leider scheint es derzeit tatsächlich einige Probleme mit den Downloadmöglichkeiten zu geben…
- Von der Website: nur englisch
- Aus dem KSC heraus: deutsch möglich
- über die KSC Webconsole: deutsch möglich
Keine Ahnung was da gerade los ist - aber ich hab gerade auch die eigentlich noch nicht releaste Version vom KSC 13 gefunden 🤔
Solltest du keine Web-Console haben, schreib mir gerne eine PM, hab ein Archiv zu vielen Installationspaketen.
MfG
-
Guten Morgen @osc,
und willkommen in der Community!
Bitte gib uns noch die folgenden Parameter:
- Version des Security Centers inkl. Patchlevel
- Version der Networkagents inkl. Patchlevel
- Version der Endpoint Security inkl. Patchlevel
Zusätzlich ist halt spannend zu wissen, welche Windows 10 Version ihr einsetzt.
Für jedes Halbjahres-Update wird quasi eine neue bzw. gepatche EndpointSecurity benötigt.
siehe: https://support.kaspersky.com/de/common/compatibility/13036#20h2
Windows 10 20H2 zb. bertreibe ich ausschließlich mit der KES 11.5
WIr haben vor einiger Zeit mal vereinzelt ähnliche Probleme gehabt.
In der Regel war das immer ein Treiber-Problem… und wir mussten folgendes tun:- Treiber und Firmware-Updates installieren → reboot
- alten AV deinstallieren → reboot
- KES installieren → reboot
Unsere Vermutungen:
Der die alte AV-Software hatte Treiber, die ohne reboot nicht sauber entfernt wurden und sich dann mit Kaspersky nicht vertragen haben.
Oder aber die Windows-10 Treiber (siehe oben) waren inkompatibel zum AV-Produkt. Gerade vom Hersteller vorinstallierte Geräte sind …freundlich ausgedrückt… nicht optimal :-DDu schreibst:
In den Richtlinien ist weder die Gerätekontrolle, noch der Schutz für modifizierte USB-Geräte aktiviert.
Dann würde ich dir empfehlen alle nicht genutzten Programm-Komponenten auch aus dem Installationpaket der KES zu entfernen. Das macht nicht nur das Programm schlanker, es werden auch weniger Kaspersky-Treiber mit installiert, die ggf. stören könnten.
Würde ich an deiner Stelle als erstes mal versuchen…MfG
-
Mahlzeit @reist
und willkommen in der Community.
Kannst du uns vielleicht auch die genauen Programmversionen nennen?- SecurityCenter
- NetworkAgent
- Endpointsecurity
Ganz unrecht hat der Dienstleister nicht, wenn man die Geräte aus dem KSC UND zusätzlich aus den “nicht zugeordneten Geräten” löscht, werden die Einträge alle neu aufgebaut - sobald sich das Gerät wieder neu meldet.
Sollten Agent und KES jedoch zu alt sein, können die Windows 10-Versionen nicht richtig erkannt werden.MfG
-
Mahlzeit @StadtWN,
ich würde vermuten, dass da noch eine weitere Komponente mit reinspielt:
“Untersuchung geschützter Verbindungen”
bricht quasi die SSL-Kette auf und das führt oft zu Problemen.
Zusätzlich gibt es einen eigenen Bereich für Ausnahmen:(habs bei mir an der Stelle mal deaktiviert)
MfG
-
Hallo @Manni09 ,
kurz gesagt - auf Servern immer die KS4WS verwenden, auf Clients die KES - auch wenn eine Installation möglich wäre.
Features der KS4WS siehe:
https://support.kaspersky.com/de/15634
Features der KES siehe:
https://support.kaspersky.com/KESWin/11.5.0/de-DE/181834.htmWie @StadtWN schon geschrieben hat, braucht die KS4WS Version keinen Reboot. Zusätzlich hat sie einen relativ schlanken Fuß, was Ressourcen-Auslastung betrifft und ist für den Einsatz auf RDS-Hosts (Terminalservern) gedacht.
MfG
Kaspersky Server - Schutz vor Verschlüsselung nicht aktiv?
in Für Unternehmen
Posted
Mahlzeit @Antrox
die Einstellungen deiner Richtlinie greifen alle nicht, solange du das Schloss-Symbol nicht zu machst.
So lange das auf der “untersten Ebene” offen ist, kommt nichts am Endgerät an und es gelten die Einstellungen die du lokal am Server setzt.
Gedacht ist das Ganze für zB. Vererbungen wie:
Gruppe Clients = Basisregelwerk, Schloss offen bei Endgeräteverschlüsselung = greift nicht
Unter-Gruppe Notebooks = alles was oben konfiguriert ist = ausgegraut und unveränderbar aktiv - Schloss bei Endgeräte Verschlüsselung zu ---> greift nur in der Gruppe
Also immer am “Ende der Nahrungskette” abschließen, nur so greifen die Parameter!
MfG