Jump to content

KES 11.10 blockiert schreiben von msi Datei auf Netzwerkshare über einen AD User


Go to solution Solved by alexcad,

Recommended Posts

Posted

Hallo zusammen,

auf einem Build Server wird automatisiert Software auf einen Netzlaufwerk geschrieben. KES 11.10 blockiert dies nun. Welche Exclusion muss ich dafür in der Richtlinie setzen? Anbei einmal das zugehörige Ereignis.

image.thumb.png.c74e3bcefc4fd17efe396094be0d2601.png

 

Danke & Viele Grüße


Dennis

  • 2 weeks later...
  • Solution
Posted

Hallo Dennis,

willkommen im Forum - und entschuldige die späte Rückmeldung, war im Urlaub.

Um hier eine präzise Empfehlung aussprechen zu können liegen nicht genug Informationen vor. 
Du sprichst von Netzlaufwerken? Wichtig hierbei: Die Ausnahme ist in der Regel auf den lokalen Pfad des Endpoints, der angeschlagen hat am sinnvollsten.
In der KES-Richtlinie lassen sich Ausnahmen auf Ordner/Dateien oder/und Objektname (Schadcode-Name bzw. -Klasse) setzen. Je präziser und passender die Angaben sind, desto kleiner das Loch, das du mit der Ausnahme schaffst. Von zu allgemeingültigen Ausnahmen (z. B. auf Laufwerksbuchstaben) ist abzuraten.
Gerade die logische Verknüpfung von Ordner- bzw. Dateiname und Objektname hilft die Ausnahme zu präzisieren.
Des weiteren lassen sich die Schutz-Module eingrenzen, für welche diese Ausnahme gültig sein soll. Wenn nicht unbedingt erforderlich, würde ich die Verhaltensanalyse immer aktiv lassen, also in der Ausnahme nicht mit angeben.

image.thumb.png.dafebe4185fd1420a25f3184d6a0fbef.png

 

Manchmal bietet es sich auch an den erzeugenden Prozess als vertrauenswürdig einzustufen und damit die Events zu vermeiden.

Eine weitere Möglichkeit der möglichst zielgerichteten Konfiguration von Ausnahmen ist das über Richtlinienprofile nur für bestimmte Endpoints zu setzen.

Melde dich, wenn du dazu noch Fragen hast.

Grüße
Alex

  • 2 weeks later...
Posted

Hallo Alex,

 

danke für die Rückmeldung. Ich habe soeben die Ausnahme gesetzt, mal schauen ob die nächsten Tage Kaspersky erneut blockiert.

 

Auf einem anderem Build Server wird noch folgender Prozess geblockt. Der läuft in einem Docker Container:

Event: Object not processed
User: NT AUTHORITY\SYSTEM
User type: System user
Application name: dotnet.exe
Application path: \\?\Volume{357bafbd-4a0f-48ae-9419-edc7bd4f3048}\Program Files\dotnet
Component: File Threat Protection
Result description: Not processed
Object type: File
Object name: censored_Inventory_Agent.msi
Object path: \\?\Volume{357bafbd-4a0f-48ae-9419-edc7bd4f3048}\censored.UserUI.build\bin\Contrib\InventoryAgent\Windows
Reason: Size

 

Solche Meldungen haben wir mehrfach mit immer unterschiedlichen Application Paths. Kann ich den Pfad \\?\Volume{357bafbd-4a0f-48ae-9419-edc7bd4f3048}\Program Files\* genauso in den Richtlinien als Ausnahme setzen?

Danke & Viele Grüße


Dennis

 

Posted

Hallo Dennis,

Container unter Windows ist eher ungewöhnlich - da bietet sich eigentlich eher Linux an.
Tatsächlich kann nur das Kaspersky Schutzprodukt für Linux richtig mit Containern umgehen, siehe https://support.kaspersky.com/de/kes11linux

Tatsächlich besagt die von dir gezeigte Meldung nur, dass dieser Vorgang vom Schutzprodukt (KES) nicht verarbeitet wurde:
image.png.d817963fcce5e5dd9a7aeaf2f577fa33.png
image.png.e986baef8964f981fd4b4d900c51b396.png

Weiter sollte da nichts passiert sein - also kein Blockieren oder Löschen, etc.
Oder könnt ihr eine Störung feststellen?

Bei Docker konnte ich bzgl. der empfohlenen Ausnahmen nur das finden:
https://docs.docker.com/engine/security/antivirus/

Passt aber nicht zu den Objekten in der gezeigten Fehlermeldung und ich bin jetzt nicht der Docker-Spezialist.

Meine Empfehlung: Ein Docker-Spezialist und ein Kaspersky-Admin sollten sich abstimmen und eine Lösung ausarbeiten.

Grüße
Alex



 

  • 5 weeks later...
Posted

Hallo, würde für das Upgrade einen Zwischenschritt mit Version 1.1.2.12 benign, wo fined ich dienes als Download?

Posted

Hallo Rubel,

willkommen im Forum.

Bitte bei einer neuen Frage immer ein neues Topic erstellen - nicht willkürlich an andere Topics anhängen, in denen ein komplett anderes Thema diskutiert wird.

Wenn du zu deiner Frage ein neues Topic erstellst: Bitte mache genauere Angaben zu den eingesetzten/betroffenen Produkten. Mit der genannten Versionsnummer kann ich z. B. wenig anfangen.

Grüße
Alex

  • Like 1
Thomas Becker
Posted
Am 13.10.2022 um 17:47 schrieb Rubel Ahamed:

Hallo, würde für das Upgrade einen Zwischenschritt mit Version 1.1.2.12 benign, wo fined ich dienes als Download?

Hallo,
anhand der Versionsnummer denke ich, dass es sich um die KSMG handelt. Hier gibt es folgende ktgz-Dateien für das Zwischenupgrade:

1.1.1.24 -> 1.1.2.12
https://box.kaspersky.com/f/ff5c4fc58c5847569b33/

1.1.2.12 -> 1.1.2.30
https://products.s.kaspersky-labs.com/email_gateways/ksmg/1.1.2.30/multilanguage-INT-1.1.2.30/3236323532387c44454c7c4e554c4c/upgrade_1.1.2.12_1.1.2-30.ktgz

Generell ist zu beachten, dass bei einem Wechsel von 1.x auf 2.x neu installiert werden muss, da man "nur" Einstellungen übernehmen kann:
https://support.kaspersky.com/KSMG/2.0/de-DE/225150.htm

Und, bitte wie von AlexCAD geschrieben künftig ein neues Thema öffnen. Danke ?

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...