KSC11 - Mobile Richtlinie - unter welchen Umständen aktiviert sie sich

[KevinRichardson]

Moin zusammen,

 

wir würden gerne die Vorteile der mobilen Richtlinie im KSC nutzen - leider ist mir aber nicht ganz genau klar, unter welchen Voraussetzungen sich die Richtlinie aktiviert.

Das Handbuch sagt dazu nur “Sobald der Client den Perimeter verlässt” bzw. sobald man vom Firmennetzwerk getrennt wird.
Woran genau macht KES das fest?

P.S.: gibts im verwalteten KES die Möglichkeit zu sehen, welche Richtlinie aktuell genutzt wird?

Danke schon mal im Voraus!

VG
Kevin Richardson

[alexcad]

Hallo KevinRichardson,

willkommen im Forum.

Das ist in der Hilfe tatsächlich nicht richtig erklärt:
https://support.kaspersky.com/KESWin/11.4.0/de-DE/176976.htm

Wenn sich in den aktuellen Versionen nichts geändert hat gilt für das Umschalten auf die mobile Richtlinie bzw. in den mobilen Modus:

• Der Agent kann 3mal den Admin-Server nicht erreichen. Standard-Intervall ist hierbei 15 Minuten,  d. h. nach 45 Minuten schaltet KES um.
• Der Agent kann bei Anwendungsstart den Admin-Server nicht erreichen. In diesem Fall ist sofort der mobile Modus aktiv. Der Agent versucht nach wie vor alle 15 Minuten den Admin-Server zu kontaktieren.
• Die Netzwerkeinstellungen ändern sich und der Rechner befindet sich nicht mehr im Firmennetz, z. B. wenn ein Notebook ausgedockt wird. Auch hier prüft der Agent im vorgegebenen Intervall die Erreichbarkeit des Admin-Servers.

Noch ein paar Anmerkungen zur mobilen Richtlinie: Seit einigen Jahren verzichte ich auf die mobile Richtlinie.

• Zum einen sehe ich in den seltensten Fällen den Bedarf zwischen interner und externer Konfiguration zu unterscheiden. Hier waren früher z. B. die Firewall oder der Kennwortschutz (Programmschutz) Punkte mit Differenzierungsbedarf. Aber seit Version 10 ist die Firewall der KES dank KSN nahezu “wartungsfrei” und auf Netzwerksegmente anpassbar. Und seit Version 11 lassen sich mehrere Benutzer mit unterschiedlichen Berechtigungen und Kennwörtern im Programmschutz anlegen. Zudem gibt es seit einiger Zeit die Möglichkeit temporäre Kennwörter zu erzeugen und zum Beispiel an Außendienst-Mitarbeiter raus zugeben.
• Zum anderen versuchen wir auch die mobilen Geräte z. B. über ein Verbindungsgateway in der DMZ und Verbindungsprofile für die Agentenkommunikation dauerhaft an das KSC zu binden. Damit erreichen die Agenten den Admin-Server über das Internet, sofern Kommunikation über Port 13.000 Richtung Internet freigegeben ist. In diesem Fall schalten die Clients aber nicht auf mobilen Modus bzw. man kann das in den Verbindungsprofilen einstellen. Aber somit sind die Systeme jederzeit verwaltbar und im Monitoring, bekommen Richtlinien- und Aufgaben-Änderungen mit.
• Zusätzlich steht mit den Richtlinien-Profilen eine einfachere und flexiblere Möglichkeit zur Verfügung in den Einstellungen zu differenzieren.

Grüße
Alex 

 

[KevinRichardson]

Moin Alexcad,

danke für die ausführliche Rückmeldung!
Es war mir jetzt möglich die mobile Richtlinie zu aktivieren. Es hatte bei uns noch der Haken bei “Den Modus für mobile Benutzer aktivieren, wenn der Adminserver nicht verfügbar ist” gefehlt.

Rückmeldung zur Übernahme:
Egal ob aus dem Netzwerk getrennt oder direkt beim Systemstart - es wird immer 3x versucht sich mit dem Adminserver zu verbinden und erst dann wird die Richtlinie übernommen.

Für unser Usecase ist die mobile Richtlinie genau das richtige.

Grüße
Kevin Richardson

 

[alexcad]

Vielen Dank für die Rückmeldung.

Kannst du bitte die Frage als gelöst markieren indem du die passende Antwort als Lösung wertest? Danke!

Grüße
Alex