Frage zur "Liste der nicht vertrauenswürdigen Hosts"

[SecAdmin]

Hallo,

immer wieder wird ein Client beim Zugriff auf einen Server ohne erkennbaren Grund zur Liste der nicht vertrauenswürdigen Hosts hinzugefügt. Im Log wird aber nicht angezeigt, welche Aufgabe dafür verantwortlich ist. War es “Echtzeitschutz für Dateien”, “Schutz vor Netzwerkbedrohungen” oder “Schutz vor Verschlüsselung”? Also kann ich auch keine Ausnahme erstellen.

 

 

[Grodomin]

Guten Morgen @SecAdmin ,

 

Auslöser sollte dafür der “Schutz vor Verschlüsselung der KS4WS” sein. Wenn du die Email-Benachrichtigungen dazu aktivierst, bekommst du teilweise informativere Meldungen zurück.

Die besten Informationen bekommst du, wenn du dich auf das Gerät aufschaltest, wo der Schutz zugeschlagen hat - allerdings benötigst du dazu das MMC-Plugin aus dem Installationspaket des Serverschutzes;

Die Ausnahme kannst du im Administrationsserver in der geltenden Richtlinie definieren:

Ich hoffe damit kommst du weiter - wenn nicht, einfach nochmal melden!

MfG

 

PS: du kannst den Schutz auch in den “Lernmodus schalten”. Quasi nur melden, aber nichts blocken - das gibt dir Zeit mögliche Ausnahmen zu setzen, bevor man zB. Buchhaltung, Konstruktion oder die Personalabteilung aussperrt ;-)

[SecAdmin]

Hallo,

 

danke für die Antwort. Die Aufgabe “Schutz vor Verschlüsselung” läuft schon im “nur Statistik” Modus. Der Auslöser muss also eine Andere Aufgabe sein.

[Grodomin]

Guten Morgen nochmal,

 

okay - bist du dir sicher, dass in den Richtlinien dazu das “Schloss-Symbol” zu ist und damit die Vererbung auf die Endgeräte eingeschaltet ist?

Ansonsten würde ich nur noch eine mögliche Komponente sehen, den “Schutz vor Netzwerkbedrohungen”:

Hatte mal bei einem Kunden die Situation, dass größere Solidworks-Bauteile, geöffnet aus einem DataVault, zu einer Sperrung führte. Grund dafür war extrem viele Anfragen in kurzer Zeit.

 

Alternativ gib mir mal die genauen Versionen von KSC, Agent und KS4WS - falls du möchtest kannst du mir deine Richtline exportieren und als PM schicken.

MfG

[SecAdmin]

Hallo,

ich werde das kontrollieren. Bin grad nur ziemlich eingespannt.

[alexcad]

In den Ereignissen des betroffenen Servers bzw. der Schutzanwendung des Servers findet sich auch die Info, welche Aufgabe bzw. welches Modul das Ereignis ausgelöst hat.
 

Grüße
Alex

[SecAdmin]

Hallo,

das Feld “Aufgabe” ist bei diesem Ereignis bei mir komischerweise leer. Aber ich hab vorher auf dem auslösenden Fileserver in den “Speicher für blockierte Hosts” geschaut. Da stand als Quelle “Schutz vor Netzwerkbedrohungen”. Diese Aufgabe habe jetzt mal auf “nur informieren” gesetzt weil eine Ausnahme der IP-Adresse des Clients auch nichts gebracht hat. Is jetzt halt blöd, da die Aufgabe keinen Schutz mehr gewährleistet.

 

Gruß Thomas

[alexcad]

Welche Version hast du denn im Einsatz?
Momentan würde ich noch KS4WS 10.1.2.996 mit min. CF11 empfehlen. Zusammen mit KSC/Agent 12.2 solltest du.

• weniger Fehlalarme haben.
• auch die Infos zur Aufgabe sehen.

Wenn auch mit CF11 der Schutz noch anschlägt - und das sollten dann vermutlich nur einzelne Systeme sein:

• Ursache klären und ausräumen.
• ggf. Ausnahme für diese Clients erstellen, falls eine Klärung nicht möglich ist.

Grüße
Alex

[SecAdmin]

Hier mal unsere Versionen:

• KSC Security Server: 12.2.0.4376
• Agent: 12.2.0.4376
• KES Clients: 11.6.0.394
• Sec. für Windows Server: 11.0.0.480

Der Auslöser ist die SolidCAM Software (mit der mechanischen Konstruktion hat man ja eh viele Probleme, was Virenscanner angeht)

Aber eine Ausnahme der Client-IP Adresse hat auch nix gebracht.

[alexcad]

… mit der mechanischen Konstruktion hat man ja eh viele Probleme, was Virenscanner angeht)..

 

Da kann ich nur zustimmen - das und Maschinensteuerungen. Diese handgestrickten Tools mit dem Charme der 1990er … 😁

Zum Thema:
Mein letzter Stand bzgl. Patchlevel KS4WS 11.0 ist CF4 - ist aber schon eine Weile her, dass ich beim Support zuletzt angefragt habe.

Aufgrund der Problematik mit den Microsoft Updates mit Windows Server 2016 wollte ich auf jeden Fall auf die Version 11.1 warten - laut Support tritt damit dieser Fehler nicht mehr auf.
 

Link

CF4 oder/und Downgrade auf 10.1.2_CF11 wäre in meinen Augen einen Versuch wert.
Wir haben einige Kunden mit SolidCAM, aber eigentlich keine Probleme dieser Art.

Grüße
Alex

[SecAdmin]

Für die Windows Updates haben wir eine eigene Lösung.

Hier ist das Statement von SolidCAM zu Kaspersky:

 

[alexcad]

Kenn ich - ist aber eine viel zu platte Aussage (oder nennen wir es “Ausrede”).

Bei unseren Kunden konnten wir das nach einer kurzen Testphase mit entsprechenden Ausnahmen fassen. Kaspersky und SolidCAM ist nicht per se ein Widerspruch.

Bei manchen Herstellern ist leider die Bereitschaft nicht sehr entwickelt, sich mit dem Thema EndpointSecurity auseinander zu setzen und die Produkte entsprechend zu designen und supporten. Und sei es nur, dass man Informationen zur Programmarchitektur bzw. den erforderlichen  Ausnahmen liefert.

Grüße
Alex

[SecAdmin]

Kann ich dir voll zustimmen.

Aber zurück zum eigentlichen Problem. Das in der Ereignisanzeige die auslösende Aufgabe nicht angezeigt wird scheint ja wohl ein Bug zu sein?

 

Gruß

Thomas

[alexcad]

Da hast du vermutlich recht. Meine Empfehlung wäre:
Downgrade auf KS4WS 10.1.2_CF11

Da man hier in der Regel keinen Neustart benötigt, ist das auch relativ einfach durchführbar.

Grüße
Alex

 

[SecAdmin]

Mal schauen. Möchte eigentlich keinen Downgrade machen 🙃

Um den Thread abzuschließen hier nochmal eine Zusammenfassung:

Der Grund für die Sperrung des Clients ist die Anwendung SolidCAM. Es ist aber nicht ersichtlich, welche Aufgabe der Auslöser war (“Echtzeitschutz für Dateien”, “Schutz vor Netzwerkbedrohungen” oder “Schutz vor Verschlüsselung”).

Problem: Wird ein Client in die “Liste der nicht vertrauenswürdigen Hosts” verschoben, wird in der Ereignisanzeige nicht die dafür verantwortliche Aufgabe angezeigt. Nur in der Liste der blockierten Hosts wird die Aufgabe angezeigt. Das ist ein Bug. aber damit kann ich leben.

Jetzt muss ich NUR noch irgendwie Ausnahmen basteln für diese Anwendung.

 

Gruß

Thomas