Khappa

Hia Alex, thx👌 Gruß Khappa

Hallo Alex, da mit der Exchange Extended Protection das Aufbrechen der SSL Verbindung ( Exchange - Outlook Traffic) von KES nicht mehr erlaubt ist, hätte ich 2 Fragen: - was ist die genaue Folge, wenn man die Exchange Server als vertrauenswürdige Adressen einträgt & für diese die geschützten Verbindungen nicht mehr untersuchen lässt ? Nach meinem Verständnis wird ja lediglich auf das Aufbrechen = Scan des Inhalts der SSL Streams verzichtet. Die Komponente "Schutz vor E-Mail Bedrohungen" ist aber dennoch aktiv & grätscht rein, wenn eine Schad-Mail in Outlook ankommt. Dazu greift die Komponente "Schutz vor bedrohlichen Dateien" im RAM ja auch ein, sobald eine Datei / Mail geöffnet wird. Sehe ich das so richtig, dass es quasi kein Sicherheitsrisiko ist, die SSL-Verbindungen zum Exchange nicht mehr aufbrechen zu lassen ( Domäne wird dann je nach Konfig automatisch in die Ausnahmeliste hinzugefügt) ? - KES bricht die SSL Verbindung ja auf -> scannt -> sendet dann verschlüsselt mit seinem eigenen Zertifikat / (oder ohne ? also SSL Offloading) ?. Wäre es denkbar, der KES ein SSL Bridging ausführen zu lassen ? Also die SSL Verbindung aufbrechen -> Scan -> verschlüsseln wieder mit dem ursprünglichen Zertifikat. Dieses müsste man halt dann im KSC irgendwo importieren können wie z. B. auf einem ReverseProxy. Danke für deine Antwort, Gruß Khappa

Hallo Alex, 2 Fragen hätte ich. 1. Beim Export einer Policy von KSC12 -> Import KSC14läuft alles sauber, bis auf die Tatsache, dass die Kennwort Option ignoriert wird. Egal was man macht ( neues KW setzen, Haken /Schloss ändern, andere User mit Rechten eintragen, etc.) -> diese Einstellung wird vom KES 11.11 Client einfach konsequent ignoriert. Es hilft lediglich, eine Policy im KSC14 komplett neu zu erstellen & NICHT die importierten Einstellungen von der KSC12 Policy zu übernehmen, sondern alles manuell zu setzen. Kennst du das Phänomen? 2. Wie empfohlen läuft nun in meiner Entwicklungsumgebung testweise ne kleine Serverfarm mit 3 W2016er & KES11.11 um das Verhalten im Cluster zu testen. Traurigerweise ist KES11.11 aber der Meinung, dass der "Schutz vor Web-Bedrohungen" nicht mit der Lizenz abgedeckt sei.-> siehe Anlage. Bei diesem Feature handelt es sich doch aber um eine grundlegende Schutzfunktion, weil was soll eine Malwareschutzlösung wenn der Web-Schutz extra gekauft werden müsste? Bei unseren 11.11 Clients mit der gleichen Lizenz wird übrigens alles sauber akzeptiert. Ist dies nur ein Anzeigefehler wenn man KES11.11 auf Windows Server nutzt? Wir haben übrigens die entsprechende Business Lizenz "Kaspersky Endpoint Security for Business - Select European Edition. Kaspersky Security for WS and FS", da ist ja die Web-Schutzkomponente eigentlich dabei. Weisst du da ne Lösung? Danke & Gruß Khappa

Hallo Alex, wirklich vielen Dank für diese ausführliche Beschreibung. ? Mit Monitoring meine ich in erster Linie die E-Mail Zustellung über kritsiche bzw. von mir definierte Vorfälle, über die ich via Mail informiert werden möchte. Aber das neu zu erstellen ist nicht besonders zeitaufwendig. Grüße Khappa

Hallo, ich habe ein, zwei Fragen. Ich plane derzeit von KSC12 auf KSC 14 zu switchen. KSC 14 wird auf einer eigenen, neuen VM laufen. In der Vergangenheit musste ich bei jedem neuen KSC Server immer sehr zeitaufwendig alle Richtlinien, Monitoring, etc. manuell für jede Gruppe einrichten. - Gibt es inzwischen eine Art Export Tool, mit welchem ich meine Groups, Tasks, Policies, Monitoring, etc. von KSC12 exportieren & dann in KSC 14 importieren kann? - In einem Kommentar hat Alexcad mal geschrieben, dass die KS4WS nicht mehr verwendet werden soll, sondern die Server künftig mit KES betrieben werden sollen. Ist das noch korrekt ( inzwischen gibt es ja die KS4WS 11.0.1.897) bzw. gibt es Erfahrungen auf Server mit der KES 11.11. ? - welche Empfehlung gibt es ( Reihenfolge) um KS4WS von unseren Servern zu deinstallieren ? Also GUI oder Commandzeile msiexec.exe /x {DEBE0A18-36BD-47E9-9B7B-FC67B67D7F66} UNLOCK_PASSWORD=*** /qn und in welcher Reihenfolge ? Erst KS4WS runter -> dann Agent 12 runter -> Agent 14 drauf -> KES 11.11 drauf -> macht das manchmal Probleme bzw. auf was muss ich achten ? ( ich möchte nicht unsere DC's schiessen). Vielen Dank schon mal im voraus ? Gruß Khappa

Danke Dir ! 👍

Hallo Alex, Danke für deine schnelle Hilfe. Ohne den Haken für die SSL Prüfung geht es. Ist zumindest ein Workaround ohne die komplette Komponente temp. deaktivieren zu müssen. Kannst du mir verraten, wo ich generell genauere Logs der Komponenten sehe ( um die exakte Ziel - URL als Ausnahme definieren zu können welche geblockt wird)? Oder muss man für derartige Auswertungen vor einem gewünschten Vorgang erst ein Kaspersky Logging Modul oder ähnliches starten? VG

Hallo, Umgebung ist KSC12 Server mit KES11_6 Clients. Die Komponente “Schutz vor Web Bedrohungen” ist überall aktiv. Wir wissen wie man Ausnahmen setzt → das funktioniert auch. Eine Spezialanwendung mit PKI Zertifikaten wird allerdings auch nach Aufnahme der Ziel - Site weiterhin von o. g. Komponente geblockt. Wenn wir “Schutz vor Web Bedrohungen” temporär abschalten funktioniert die Anwendung. Frage: In den “Berichten” & “Ereignissen” können wir weder im KSC, noch direkt am Client sehen warum Kaspersky diese / eine Site blockt welche Site Kaspersky blockt.Um die Anwendung am Laufen zu halten müssen wir also wissen, welche Site geblockt wird. Wo kann man sich im Kaspersky das EXAKTE Logfile oder ggf. Berichte ansehen, welche einem Admin die geblockten Adressen anzeigen / verraten? Vielen Dank für Ihre Hilfe, VG