Jump to content

Kaspersky findet vermeintliche Verschlüsselungsbedrohung


Go to solution Solved by alexcad,

Recommended Posts

Posted (edited)

Moin!

Wir haben ein kleines Konfigurationsproblem:

Domänennetzwerk mit Kas SC 13.2, auf den betreffenden WS ist 11.9 Endpoint Security installiert.

Wenn diese Benutzer Überweisungen mit Profi Cash tätigen, bekommen diese am Ende einen Codebase Error von ProfiCash, weil Kaspersky den Hosts aus dem Netzwerk für 30 Minuten ausschließt. Ist auch soweit klar. (Die Benutzer starten dann ihren Rechner neu und sind wieder im Netzwerk).

Kaspersky meint das wäre ein Verschlüsselungsangriff mit Trojan.multi.genericcryptor.ksws. Das ist aber definitiv eine Falschmeldung. Jetzt haben wir ein Problem, eine Ausnahme dafür für PC 192.168.1.1 (Beispiel) zu setzen. Wir haben im Cryptmodul schon Ausnahmen gesetzt (in der Richtlinie)für (beispiel) 

o:\shares\bank

und

\\File-srv\shares\bank\profi\

selbst die Datei .DR$ haben wir in die Ausnahme gesetzt. Das Problem besteht aber weiterhin.

Wir haben selbst den Prozess wpc.exe in die Vertrauenswürdige Zone eingetragen, Fehler kommt trotzdem.

Wir kommen eigentlich mit Kaspersky gut klar, aber mit Profi Cash ärgert er es jetzt schon länger.

Kann uns jemand ein Tipp geben wo genau wir in der Richtlinie das als Ausnahme definieren müssen ?

 

 

Edited by sudobash
Posted

Ok, folgendes:

Wenn man eine Ausnahme im Anti-Cryptor Modul definiert, ist diese scheinbar dafür nicht zuständig. Deswegen werden weiterhin Hosts blockiert und aus dem Netzwerk gekickt wenn was Verdächtiges Richtung Verschlüsselung gefunden wird.

Stattdessen muss die Aufgabe "Schutz vor Verschlüsselung" die unter Aufgaben der jeweiligen Server stehen bearbeiten. Dort kann man Ausnahmen setzen, die dann auch ziehen.

Wieder was gelernt.

  • Solution
Posted

Hallo sudobash,

entschuldige die späte Rückmeldung, war im Urlaub.

Bei deinen Ausführungen kann was nicht stimmen - daher habe ich mir erlaubt, die Markierung als Lösung zu entfernen.
Das Modul "Anti-Cryptor" bzw. "Schutz vor Verschlüsselung findet sich nur im Produkt "Kaspersky Security für Windows Server". In der KES ist der Schutz vor Verschlüsselung Teil der Verhaltensanalyse.

Für den Server, auf dem das Anti-Cryptor-Modul anschlägt müsstest du daher eine Ausnahme auf den lokalen Pfad der Server-Freigabe in der Richtlinie für KS4WS erstellen.

image.thumb.png.6588b514b8c27f88d46a8be9417f7245.png


Bitte beachte dabei:

- Pfadangaben müssen mit einem Backslash enden.
- Damit die Einstellungen verbindlich sind und auf dem Endpoint übernommen werden muss das Schloss in der Richtlinie zu sein.

Grüße
Alex


PS: KS4WS ist abgekündigt und sollte möglichst zeitnah durch die KES ersetzt werden. Siehe dazu die Hot-Topics und diverse Diskussionen im Forum.

 

  • Thanks 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...