Denschen Posted August 25, 2022 Share Posted August 25, 2022 Hallo zusammen, auf einem Build Server wird automatisiert Software auf einen Netzlaufwerk geschrieben. KES 11.10 blockiert dies nun. Welche Exclusion muss ich dafür in der Richtlinie setzen? Anbei einmal das zugehörige Ereignis. Danke & Viele Grüße Dennis Link to comment Share on other sites More sharing options...
Solution alexcad Posted September 4, 2022 Solution Share Posted September 4, 2022 Hallo Dennis, willkommen im Forum - und entschuldige die späte Rückmeldung, war im Urlaub. Um hier eine präzise Empfehlung aussprechen zu können liegen nicht genug Informationen vor. Du sprichst von Netzlaufwerken? Wichtig hierbei: Die Ausnahme ist in der Regel auf den lokalen Pfad des Endpoints, der angeschlagen hat am sinnvollsten. In der KES-Richtlinie lassen sich Ausnahmen auf Ordner/Dateien oder/und Objektname (Schadcode-Name bzw. -Klasse) setzen. Je präziser und passender die Angaben sind, desto kleiner das Loch, das du mit der Ausnahme schaffst. Von zu allgemeingültigen Ausnahmen (z. B. auf Laufwerksbuchstaben) ist abzuraten. Gerade die logische Verknüpfung von Ordner- bzw. Dateiname und Objektname hilft die Ausnahme zu präzisieren. Des weiteren lassen sich die Schutz-Module eingrenzen, für welche diese Ausnahme gültig sein soll. Wenn nicht unbedingt erforderlich, würde ich die Verhaltensanalyse immer aktiv lassen, also in der Ausnahme nicht mit angeben. Manchmal bietet es sich auch an den erzeugenden Prozess als vertrauenswürdig einzustufen und damit die Events zu vermeiden. Eine weitere Möglichkeit der möglichst zielgerichteten Konfiguration von Ausnahmen ist das über Richtlinienprofile nur für bestimmte Endpoints zu setzen. Melde dich, wenn du dazu noch Fragen hast. Grüße Alex Link to comment Share on other sites More sharing options...
Denschen Posted September 13, 2022 Author Share Posted September 13, 2022 Hallo Alex, danke für die Rückmeldung. Ich habe soeben die Ausnahme gesetzt, mal schauen ob die nächsten Tage Kaspersky erneut blockiert. Auf einem anderem Build Server wird noch folgender Prozess geblockt. Der läuft in einem Docker Container: Event: Object not processed User: NT AUTHORITY\SYSTEM User type: System user Application name: dotnet.exe Application path: \\?\Volume{357bafbd-4a0f-48ae-9419-edc7bd4f3048}\Program Files\dotnet Component: File Threat Protection Result description: Not processed Object type: File Object name: censored_Inventory_Agent.msi Object path: \\?\Volume{357bafbd-4a0f-48ae-9419-edc7bd4f3048}\censored.UserUI.build\bin\Contrib\InventoryAgent\Windows Reason: Size Solche Meldungen haben wir mehrfach mit immer unterschiedlichen Application Paths. Kann ich den Pfad \\?\Volume{357bafbd-4a0f-48ae-9419-edc7bd4f3048}\Program Files\* genauso in den Richtlinien als Ausnahme setzen? Danke & Viele Grüße Dennis Link to comment Share on other sites More sharing options...
alexcad Posted September 13, 2022 Share Posted September 13, 2022 Hallo Dennis, Container unter Windows ist eher ungewöhnlich - da bietet sich eigentlich eher Linux an. Tatsächlich kann nur das Kaspersky Schutzprodukt für Linux richtig mit Containern umgehen, siehe https://support.kaspersky.com/de/kes11linux Tatsächlich besagt die von dir gezeigte Meldung nur, dass dieser Vorgang vom Schutzprodukt (KES) nicht verarbeitet wurde: Weiter sollte da nichts passiert sein - also kein Blockieren oder Löschen, etc. Oder könnt ihr eine Störung feststellen? Bei Docker konnte ich bzgl. der empfohlenen Ausnahmen nur das finden: https://docs.docker.com/engine/security/antivirus/ Passt aber nicht zu den Objekten in der gezeigten Fehlermeldung und ich bin jetzt nicht der Docker-Spezialist. Meine Empfehlung: Ein Docker-Spezialist und ein Kaspersky-Admin sollten sich abstimmen und eine Lösung ausarbeiten. Grüße Alex Link to comment Share on other sites More sharing options...
Rubel Ahamed Posted October 13, 2022 Share Posted October 13, 2022 Hallo, würde für das Upgrade einen Zwischenschritt mit Version 1.1.2.12 benign, wo fined ich dienes als Download? Link to comment Share on other sites More sharing options...
alexcad Posted October 13, 2022 Share Posted October 13, 2022 Hallo Rubel, willkommen im Forum. Bitte bei einer neuen Frage immer ein neues Topic erstellen - nicht willkürlich an andere Topics anhängen, in denen ein komplett anderes Thema diskutiert wird. Wenn du zu deiner Frage ein neues Topic erstellst: Bitte mache genauere Angaben zu den eingesetzten/betroffenen Produkten. Mit der genannten Versionsnummer kann ich z. B. wenig anfangen. Grüße Alex 1 Link to comment Share on other sites More sharing options...
Thomas Becker Posted October 20, 2022 Share Posted October 20, 2022 Am 13.10.2022 um 17:47 schrieb Rubel Ahamed: Hallo, würde für das Upgrade einen Zwischenschritt mit Version 1.1.2.12 benign, wo fined ich dienes als Download? Hallo, anhand der Versionsnummer denke ich, dass es sich um die KSMG handelt. Hier gibt es folgende ktgz-Dateien für das Zwischenupgrade: 1.1.1.24 -> 1.1.2.12 https://box.kaspersky.com/f/ff5c4fc58c5847569b33/ 1.1.2.12 -> 1.1.2.30 https://products.s.kaspersky-labs.com/email_gateways/ksmg/1.1.2.30/multilanguage-INT-1.1.2.30/3236323532387c44454c7c4e554c4c/upgrade_1.1.2.12_1.1.2-30.ktgz Generell ist zu beachten, dass bei einem Wechsel von 1.x auf 2.x neu installiert werden muss, da man "nur" Einstellungen übernehmen kann: https://support.kaspersky.com/KSMG/2.0/de-DE/225150.htm Und, bitte wie von AlexCAD geschrieben künftig ein neues Thema öffnen. Danke ? Link to comment Share on other sites More sharing options...
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now