Kaspersky auf Server: Dateien per Befehl untersuchen

[purpendicular]

Guten Tag,

 

wir nuten das KSC zur Administration unserer Server. Auf den Servern ist KES für Windows Server installiert. Nun fehlt mir die Funktion, wie ich als User einzelne Ordner untersuchen kann. Gibt es das nicht?

 

Zudem werden gefundene Viren nicht in Quarantäne oder Backup veschoben. Ich bekommen nur per email eine Meldung. Ich habe es mit dem EICAR getestet. Leider konnte ich keine Einstellung dazu finden. Wo kann ich dies einstellen.

 

Zudem wird immer wieder eine log-Datei von Exchange als mögliche Bedrohung gemeldet. Wie kann ich diese ausschließen? Gibt es auch eine Möglichkeit diese an Kaspersky zur Überprüfung zu senden?

[alexcad]

Hallo purpendicular,

 

kannst du bitte noch angeben, welche Produkt- (inkl. Patchlevel) und OS-Versionen du im Einsatz hast bzw. betroffen sind?

Generell sollte man auf Windows Servern “Kaspersky Security für Windows Server” einsetzen, nicht die KES.
Infos zu KS4WS findest du hier:
https://community.kaspersky.com/b2b-deutschsprachiges-benutzer-forum-65/infos-zu-ks4ws-kaspersky-security-fuer-windows-server-7831 

https://support.kaspersky.com/de/ksws10#downloads

 

Grüße
Alex

[purpendicular]

Hallo,

 

hier die Infos:

• Kaspersky Security Center 11.0.0.1131
• Kaspersky Security 10.1.2 für Windows Server
• Lizenz: Kaspersky Select
• Server: Windows Server 2019 (Datenserver, Terminalserver, ExchangeServer und Server mit SQL-Datenbank)

[alexcad]

OK, KS4WS ist also schon in der aktuellen Version installiert. 

Nun fehlt mir die Funktion, wie ich als User einzelne Ordner untersuchen kann. Gibt es das nicht?

Nein, das geht mit KS4WS nicht. Dieses Produkt kommt gänzlich ohne grafische Benutzeroberfläche und ohne Scannen aus dem Kontextmenü. Bei Bedarf kann man eine lokale Management-Konsole installieren, würde ich aber für einen Terminalserver auf keinen Fall empfehlen. 
Frage ist ja auch: warum sollen Benutzer auf einem Server irgendwas scannen dürfen?  Terminalserver sollten entsprechend gehärtet und im besten Fall nicht persistent sein. Hier empfiehlt sich der Einsatz der Advanced-Lizenzierung, die gerade bzgl. Härtung mehr Funktionen bietet, siehe https://support.kaspersky.com/de/12784  

In diesem Zusammenhang macht mich diese Aussage stutzig:
Server: Windows Server 2019 (Datenserver, Terminalserver, ExchangeServer und Server mit SQL-Datenbank)

Sind diese Rollen wirklich alle auf einem System vereint? Dann bitte ganz dringend ändern. Das ist weder von Microsoft supportet, noch aus Security-Sicht vertretbar.

Zudem werden gefundene Viren nicht in Quarantäne oder Backup veschoben. Ich bekommen nur per email eine Meldung.

Das ist bei KS4WS tatsächlich so und auch gewollt. Auf Servern wird nur reportet und der Zugriff gesperrt. Die Ereignisse müssen manuell abgearbeitet werden. Nur für die Scan-Aufgabe per Shell-Befehl gibt es entsprechende Schalter, um das Löschen zu erzwingen, siehe S. 587ff   https://products.s.kaspersky-labs.com/file_servers/kswinserver10/10.1.2.996/german-0.1.0/8ae2b703/ks4ws_admin_guide_de.pdf

 

Wie kann ich diese ausschließen?

In der Richtlinie:
 

Gibt es auch eine Möglichkeit diese an Kaspersky zur Überprüfung zu senden?
Ja, das geht zum einen über den Company-Account (Ticket-System des Supports) https://companyaccount.kaspersky.com/account/login

… zum anderen gibt es noch die Möglichkeit über Open-TIP https://opentip.kaspersky.com/

Grüße
Alex

[purpendicular]

Danke und sorry für die (urlaubsbedingte) späte Rückmeldung. Es sind vier physische Server ;)

[purpendicular]

Eine Frage noch:

Kann man die Lizenz auf “Advanced” Upgraden?

 

[alexcad]

… Kann man die Lizenz auf “Advanced” Upgraden?

 

Ja, das ist kein Problem. Lizenz-Upgrade und -Erweiterung sind bei Kaspersky (fast) jederzeit während der Laufzeit möglich.
Je nach Restlaufzeit der bestehenden Lizenzen wird der Restwert verrechnet oder die Laufzeit der neuen Lizenzen entsprechend verlängert.

Das “fast” von oben erklärt sich folgendermaßen: 
Max. 3 Monate vor Ablauf der Lizenzen ist man Renewal-berechtigt. Sollten die bestehenden Lizenzen also nur noch 3 Monate oder weniger gültig sein bietet sich ein Upgrade im Zuge eines vorzeitigen Renewals an. Vorteil: man bezahlt “Advanced” dann erst ab dem eigentlich Renewal-Stichtag, bekommt die Lizenzen aber sofort und kann die Advanced-Funktionen entsprechend sofort nutzen.

Dies bzgl. kann dir der Kaspersky-Partner deines Vertrauens weiter helfen.

Grüße
Alex

[purpendicular]

Noch eine Frage zum Unterschied Select vs. Advanced. Lt. unserem EDV´ler ist Select ausreichend (Haben ca. 30 User auf dem Server). Was uns aber stutzig macht, ist die Angabe des Leistungsumfangs. Ich habe hier im Forum einmal eine Tabelle als Antwort zu einem Thema erhalten, auf welchem steht, dass es keinen Web-Anti-Virus-Schutz gibt (vgl. Anlage). Hier ist jedoch angegeben, dass es eine Web-Kontrolle gibt (https://www.kaspersky.de/small-to-medium-business-security/endpoint-select).

 

Wie ist nun der Stand der Dinge? Haben wir einen Web-Schutz?
Wo kann ich diesen einstellen?

Auch steht im aktuellen Datenblatt, dass es einen “Web and Mail Threat Protection” gibt.

Ein Outlook-Plugin haben wir mit Select ja definitv nicht.

Bin nun etwas unsicher bezüglich des Unterschieds…

[alexcad]

Aufpassen: Die Beschreibung, die unter dem Link zu finden ist bezieht sich auf KES. Hier sind bei Select alle Schutzmodule enthalten, bis auf die “Adaptive Kontrolle von Anomalien”

Für das Serverschutzprodukt KS4WS ist die beigefügte Matrix gültig, d. h.: Kein Web-AV und kein Mail-AV mit Select - dafür ist Advanced erforderlich.

Durch Advanced wird weiterhin u. a. die Verschlüsselung und das Patchmanagement frei geschaltet. Für mich zwei wichtige Argumente für Advanced. 
Die aktive Suche nach Schwachstellen und die Möglichkeit diese dann automatisiert zu schließen erhöht den Schutz vor Angriffen wesentlich.

Grüße
Alex

[purpendicular]

OK,…. mir ist aber leider der Unterschied KES und KS4WS nicht klar.

[alexcad]

KES = “Kaspersky Endpoint Security” (für Windows)
Dieses Schutzprodukt lässt sich auf Windows Client- und Server-Betriebssystemen installieren, wobei auf Servern nicht alle Module zur Verfügung stehen., siehe https://support.kaspersky.com/de/14529#block3

KES kommt mit einer grafischen Benutzeroberfläche und ist für den Einsatz auf Clients optimiert.

 

KS4WS=”Kaspersky Security for Windows Server”
Wie der Name schon zum Ausdruck bringt: Dieses Produkt wurde speziell für den Einsatz auf Servern entwickelt. Es ist Ressourcen schonend, benötigt keinen Neustart bei Installation/Upgrade/Deinstallation, ist sehr granular konfigurierbar und auch für speziellere Server-Rollen zertifiziert/geeignet. Es kommt bereits mit einer langen Liste an Standardausnahmen für die meisten Server-Rollen bzw. -Ressourcen (SQL, Exchange, DSF, Citrix, ...) und hat keine grafische Benutzeroberfläche (kann daher z. B. auch auf Core-Installationen laufen).

Grüße
Alex

[purpendicular]

Danke für die Info. Da finde ich die Infos auf der Website von Kaspersky für mich als Endkunden aber mehr als verwirrend…

D.h. wir haben KS4WS. Und das hat kein Web- und Mail-AV. Somit müsste ich dafür auf Advanced upgraden?

Wie läuft im Advanced der Web- und Mail-AV ab? Gibt es hierzu eine Dokumentation oder pdfs?

 

[alexcad]

 

Sämtliche Infos zu (fast) allen produkten findest du auf der Support-Seite https://support.kaspersky.com/de/corporate

 

Entsprechend auch das Admin-Handbuch für KS4WS   https://support.kaspersky.com/de/ksws10#downloads

 

Für die aktuellen Produkte stehen in der Regel schon Online-Hilfen zur Verfügung, die sich besser durchsuchen lassen - KS4WS hinkt da noch hinterher, aber v11 soll ja bald kommen.

Infos zum Modul “Schutz des Datenverkehrs” findest du im Admin-Handbuch ab Seite 317.
Allerdings ist es nicht ganz einfach zu verstehen. Vielleicht wendest du dich lieber an den Kaspersky-Partner deines Vertrauens und sprichst das mit dem durch. In der regel kann er dir das in einer Demo-Umgebung live zeigen.

Gerne kannst du dich auch hier nochmal melden.

Grüße
Alex

[purpendicular]

Vielen Dank für die Infos.

[purpendicular]

Hallo,

 

ich muss mich nochmal mit einer Rückfrage melden. Wir haben 4 physische Server mit Windows Server 2019. Für diese Server ist Select ausreichend, da es sich um Daten oder Domänencontroller handelt. F+r einen Server jedoch (der Terminalserver) wäre der Web und Email Schutz sinnvoll. Wir haben jedoch 50 Lizenzen. Ein Upgrade auf Advanced sehr teuer. Kann auch nur für einen Server eine spezielle Lizenz erworben werden?

Was empfehlt ihr für einen Exchange Server?

Oder gäbe es eine Add-on Lösung, so dass ich nicht mit komplett allen Lizenzen auf Advanced wechseln muss.

KES auf dem Terminalserver hätte ja eingetlich alle funktionen. Hier wird die installation von euch aber nicht empfohlen...

[alexcad]

Einzelne Lizenzen auf Advanced zu bringen oder zu ergänzen ist leider nicht möglich - das geht immer nur für das gesamte Lizenzpaket.
Mit Advanced könntest du allerdings für deine Windows-Workstations mit KES auch das Modul “Adaptive Kontrolle von Anomalien” nutzen. Weiterhin steht dir mit Advanced die Verschlüsselung und Patchmanagement zur Verfügung.

KES ist auch keine Option: Auf Servern stehen nicht alle Module zur Verfügung, siehe
https://support.kaspersky.com/de/14529#block3

KS4WS empfiehlt sich auch auf einem Exchange-Servern, wobei hiermit nicht die Exchange-Rolle geschützt wird. Dafür ist “Kaspersky Security für Mailserver” erforderlich https://support.kaspersky.com/de/kse9

Grüße
Alex​​​​​​​