Jump to content

KES 11.10 blockiert schreiben von msi Datei auf Netzwerkshare über einen AD User


Denschen
 Share

Recommended Posts

Hallo zusammen,

auf einem Build Server wird automatisiert Software auf einen Netzlaufwerk geschrieben. KES 11.10 blockiert dies nun. Welche Exclusion muss ich dafür in der Richtlinie setzen? Anbei einmal das zugehörige Ereignis.

image.thumb.png.c74e3bcefc4fd17efe396094be0d2601.png

 

Danke & Viele Grüße


Dennis

Link to comment
Share on other sites

  • 2 weeks later...

Hallo Dennis,

willkommen im Forum - und entschuldige die späte Rückmeldung, war im Urlaub.

Um hier eine präzise Empfehlung aussprechen zu können liegen nicht genug Informationen vor. 
Du sprichst von Netzlaufwerken? Wichtig hierbei: Die Ausnahme ist in der Regel auf den lokalen Pfad des Endpoints, der angeschlagen hat am sinnvollsten.
In der KES-Richtlinie lassen sich Ausnahmen auf Ordner/Dateien oder/und Objektname (Schadcode-Name bzw. -Klasse) setzen. Je präziser und passender die Angaben sind, desto kleiner das Loch, das du mit der Ausnahme schaffst. Von zu allgemeingültigen Ausnahmen (z. B. auf Laufwerksbuchstaben) ist abzuraten.
Gerade die logische Verknüpfung von Ordner- bzw. Dateiname und Objektname hilft die Ausnahme zu präzisieren.
Des weiteren lassen sich die Schutz-Module eingrenzen, für welche diese Ausnahme gültig sein soll. Wenn nicht unbedingt erforderlich, würde ich die Verhaltensanalyse immer aktiv lassen, also in der Ausnahme nicht mit angeben.

image.thumb.png.dafebe4185fd1420a25f3184d6a0fbef.png

 

Manchmal bietet es sich auch an den erzeugenden Prozess als vertrauenswürdig einzustufen und damit die Events zu vermeiden.

Eine weitere Möglichkeit der möglichst zielgerichteten Konfiguration von Ausnahmen ist das über Richtlinienprofile nur für bestimmte Endpoints zu setzen.

Melde dich, wenn du dazu noch Fragen hast.

Grüße
Alex

Link to comment
Share on other sites

  • 2 weeks later...

Hallo Alex,

 

danke für die Rückmeldung. Ich habe soeben die Ausnahme gesetzt, mal schauen ob die nächsten Tage Kaspersky erneut blockiert.

 

Auf einem anderem Build Server wird noch folgender Prozess geblockt. Der läuft in einem Docker Container:

Event: Object not processed
User: NT AUTHORITY\SYSTEM
User type: System user
Application name: dotnet.exe
Application path: \\?\Volume{357bafbd-4a0f-48ae-9419-edc7bd4f3048}\Program Files\dotnet
Component: File Threat Protection
Result description: Not processed
Object type: File
Object name: censored_Inventory_Agent.msi
Object path: \\?\Volume{357bafbd-4a0f-48ae-9419-edc7bd4f3048}\censored.UserUI.build\bin\Contrib\InventoryAgent\Windows
Reason: Size

 

Solche Meldungen haben wir mehrfach mit immer unterschiedlichen Application Paths. Kann ich den Pfad \\?\Volume{357bafbd-4a0f-48ae-9419-edc7bd4f3048}\Program Files\* genauso in den Richtlinien als Ausnahme setzen?

Danke & Viele Grüße


Dennis

 

Link to comment
Share on other sites

Hallo Dennis,

Container unter Windows ist eher ungewöhnlich - da bietet sich eigentlich eher Linux an.
Tatsächlich kann nur das Kaspersky Schutzprodukt für Linux richtig mit Containern umgehen, siehe https://support.kaspersky.com/de/kes11linux

Tatsächlich besagt die von dir gezeigte Meldung nur, dass dieser Vorgang vom Schutzprodukt (KES) nicht verarbeitet wurde:
image.png.d817963fcce5e5dd9a7aeaf2f577fa33.png
image.png.e986baef8964f981fd4b4d900c51b396.png

Weiter sollte da nichts passiert sein - also kein Blockieren oder Löschen, etc.
Oder könnt ihr eine Störung feststellen?

Bei Docker konnte ich bzgl. der empfohlenen Ausnahmen nur das finden:
https://docs.docker.com/engine/security/antivirus/

Passt aber nicht zu den Objekten in der gezeigten Fehlermeldung und ich bin jetzt nicht der Docker-Spezialist.

Meine Empfehlung: Ein Docker-Spezialist und ein Kaspersky-Admin sollten sich abstimmen und eine Lösung ausarbeiten.

Grüße
Alex



 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share



×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.