Jump to content

Migration KSC 12 -> KSC 14


Go to solution Solved by alexcad,

Recommended Posts

Posted

Hallo,

ich habe ein, zwei Fragen.

Ich plane derzeit von KSC12 auf KSC 14 zu switchen. KSC 14 wird auf einer eigenen, neuen VM laufen.

In der Vergangenheit musste ich bei jedem neuen KSC Server immer sehr zeitaufwendig alle Richtlinien, Monitoring, etc. manuell für jede Gruppe einrichten.

- Gibt es inzwischen eine Art Export Tool, mit welchem ich meine Groups, Tasks, Policies, Monitoring, etc. von KSC12 exportieren & dann in KSC 14 importieren kann?

- In einem Kommentar hat Alexcad mal geschrieben, dass die KS4WS nicht mehr verwendet werden soll, sondern die Server künftig mit KES betrieben werden sollen.

Ist das noch korrekt ( inzwischen gibt es ja die KS4WS 11.0.1.897) bzw.  gibt es Erfahrungen auf Server mit der KES 11.11. ?

- welche Empfehlung gibt es ( Reihenfolge) um KS4WS von unseren Servern zu deinstallieren ? Also GUI oder Commandzeile

msiexec.exe /x {DEBE0A18-36BD-47E9-9B7B-FC67B67D7F66} UNLOCK_PASSWORD=*** /qn

 

und in welcher Reihenfolge ? Erst KS4WS runter -> dann Agent 12 runter -> Agent 14 drauf -> KES 11.11 drauf

 -> macht das manchmal Probleme bzw. auf was muss ich achten ? ( ich möchte nicht unsere DC's schiessen).

Vielen Dank schon mal im voraus ?

Gruß Khappa

  • Solution
Posted

Hallo Khappa,

gute Fragen - das treibt sicher auch den einen oder anderen um - ich versuche mal alles so umfassend wie möglich zu beantworten. 

1.) Export Tool? 

Richtlinien und Aufgaben lassen sich exportieren und importieren ...

image.thumb.png.43287f20b5688582d203dcba38ad73f7.png
 

... wobei bei den Aufgaben die Export-Funktion im Kontextmenü in der Untergruppe "Alle Aufgaben" zu finden ist - warum auch immer.

image.thumb.png.f6f4086840fdd00301aac50ec8aef870.png

 

Bei "Monitoring" müsstest du nochmal genauer definieren, was du darunter verstehst.

Was sich noch exportieren und importieren lässt sind die Geräteselektionen (Geräteauswahl). 

image.png.ed1b7dcb0e8a006e8a30b6fec7c34898.png

Der Export ist allerdings etwas tricky - dazu muss die jeweilige Auswahl aufgerufen (Auswahl starten) werden:

image.png.fa52199f155192a85d7d63040139cb4a.png


Die Gruppenstruktur lässt sich leider nicht exportieren. Ein Import über eine Textdatei wäre möglich:

image.png.f1622889dc161699ebd3edc14bc21408.png


Allerdings: Ich nutze die Gelegenheit eines Umzuges auf einen neuen Server -gerade im Zuge eines Versionsupgrade- ganz gerne, um die Gruppenstruktur und die Konfiguration zu konsolidieren und zu überarbeiten (Vereinfachen, geänderte Best Practice). 
Stichworte sind hierbei u. A.:
- Untergeordnete Admin-Server werden durch Verteilungspunkte ersetzt.
- Verteilungspunkte werden dynamisch auf Basis von Verbindungsprofilen zugewiesen, nicht mehr statisch auf Gruppenzugehörigkeit.
- Auch dazu ist es sinnvoll die IP-Netze global zu pflegen:

   image.png.ad71960ced5eb5a6293855058a96d7d9.png

 - Konsolidierung der Richtlinien und darüber Vereinfachung des Managements. Differenzierung erfolgt nicht mehr über weitere (untergeordnete) Richtlinien, sondern (im Optimalfall) innerhalb einer Richtlinie über Richtlinienprofile - hat viele Vorteile, füllt aber ein eigenes Thema - vielleicht schreibe ich da mal einen Beitrag:

   image.png.2f8a4b97e4751797f7f0ea9d1a62419d.png


Teilweise verzichte ich auch auf den Import alter Aufgaben und Richtlinien um hier konsequent Altlasten über Bord zu werfen und mit neuen, sauberen Konfigurationen nach aktueller Best Practice zu starten.
Nach Bedarf lassen sich ja auch nur die Ausnahmen oder/und Whitelist-Einträge (Gerätekontrolle) exportieren und importieren (auch selektiv möglich):


image.png.a2088dcf716a69f49ee903e159478bfb.png

 


2.) Reihenfolge

Ich empfehle folgende Abfolge:
- Neuen Admin-Server hochziehen und Konfigurieren.
- Pilotgruppe verwalteter Systeme per Aufgabe (alter Admin-Server) auf den neuen Admin-Server binden:
   
image.png.4823398416286d35fc1d41de56a0983a.png

- Geräteauswahl für die alten Agentversionen erstellen (Server und Clients) und darauf eine Installationsaufgabe für den neuen Agent laufen lassen (inline-Upgrade, automatisiert nach Zeitplan).
- Geräteauswahl für Systeme mit neuem Agent und alten Schutzprodukten erstellen (nur Clients) und darauf eine Installationsaufgabe für das neue Schutzprodukt laufen lassen (inline-Upgrade, automatisiert nach Zeitplan).

Das alles inkl. der neuen Richtlinien und Aufgaben ausgiebig in einer Pilotgruppe testen und ggf. noch nachschärfen.
Was manchmal erforderlich ist: inline-Upgrade des Schutzproduktes schlägt ganz gerne mal fehl, z. B. wenn die Systeme schon mehrfach aktualisiert wurden. Dann sollte man die Vorgehensweise umstellen und die Migration aufteilen: Zuerst Deinstallationsaufgabe und dann Neuinstallation nach Reboot. Auch diese Aufgaben lasse ich nach Zeitplan auf entsprechende Geräteselektionen los.


3.) KS4WS:

Ja, muss abgelöst werden, ist abgekündigt. Es wird nach der aktuellen Version 11.0.1.897 (vom 24 Mai 2021) keine neue Version geben. Allerdings hat Kaspersky den vollständigen Support nochmal um ein Jahr, bis zum 31.12.2023 verlängert.   https://support.kaspersky.com/de/corporate/lifecycle#b2b.block1.ksws11
Der Druck ist also erstmal nicht mehr so groß, aber ein Wechsel ist auch aus Security-Sicht dringend zu empfehlen. Der KS4WS fehlen inzwischen einfach ein paar wichtige Module/Funktionen.

Kaspersky hat mit KES 11.8 begonnen die Besonderheiten der KS4WS auf die KES zu übertragen. Mit der KES 11.12 soll dieser Prozess abgeschlossen sein - wobei eigentlich nur noch der versprochene Migrations-Assistent fehlt, den man eigentlich nicht benötigt. Die aktuelle KES 11.11 funktioniert aus meiner Erfahrung sehr gut auch auf Servern.
Auch hier gilt: Neues Schutzprodukt, neue Funktionen - alte Einstellungen inkl. der Ausnahmen haben keine Gültigkeit mehr.
Auch hier meine Empfehlung: Umstellung in einer Pilotgruppe testen und ggf. Nachschärfen.

Da in der Regel kein Neustart erforderlich ist empfehle ich:
- KS4WS über eine KSC-Aufgabe deinstallieren.
- Geräteauswahl "Server ohne Schutz" erstellen und darauf eine Installationsaufgabe "KES für Server" laufen lassen oder das über eine manuelle Aufgabe bedienen.

Anmerkungen bzgl. Installationspaket:
- Die Module "Protokollanalyse" und "Überwachung der Datei-Integrität" stehen nur mit speziellen Lizenzen zur Verfügung - ich nehme die Module schon im Installationspaket raus.
- Leider steht die "Adaptive Kontrolle von Anomalien" noch nicht für Server zur Verfügung, obwohl es sich im Paket so nicht erkennen lässt. Das soll tatsächlich mit KES 11.12 kommen. Für dieses Modul ist mind. Advanced-Lizenzierung erforderlich.

image.thumb.png.2697dd4845111a106dacdae3aa0e8cb7.png

 

macht das manchmal Probleme bzw. auf was muss ich achten ? 

Tatsächlich gibt es einen wichtigen Punkt zu beachten: Die KES verhält sich auf Clustern wesentlich kritischer. Hier ist es unbedingt erforderlich vorher die Cluster-Nodes und ggf. auch die Witness-Server aus der Netzwerküberwachung raus zu nehmen. 

image.thumb.png.76f76e3fc3be0a1249dd637ec2928e4e.png

Für besonders kritische Cluster erstelle ich teilweise auch eigene Installationspakete ohne die Netzwerk-Schutzmodule. 
Sonst sind mir keine generellen Störungen bekannt. Ich habe durchweg gute Erfahrungen mit der KES auf Servern sammeln können.

Grüße
Alex

  • Thanks 1
Posted

Hallo Alex,

wirklich vielen Dank für diese ausführliche Beschreibung. ?

Mit Monitoring meine ich in erster Linie die E-Mail Zustellung über kritsiche bzw. von mir definierte Vorfälle, über die ich via Mail informiert werden möchte. Aber das neu zu erstellen ist nicht besonders zeitaufwendig.

Grüße Khappa

Posted

Hallo Khappa,

die Mailbenachrichtigungen sollten eigentlich in den jeweiligen Richtlinien hinterlegt und damit per Export/Import übertragbar sein.

Wobei auch hier eine Überarbeitung der Einstellungen erforderlich ist: Es gibt inzwischen so viele neue Funktionen/Module und entsprechend auch eine große Anzahl an neuen Events.

Grüße
Alex

  • 1 month later...
Posted

Hallo Alex,

2 Fragen hätte ich.

1. Beim Export einer Policy von KSC12 -> Import KSC14läuft alles sauber, bis auf die Tatsache, dass die Kennwort Option ignoriert wird. Egal was man macht ( neues KW setzen, Haken /Schloss ändern, andere User mit Rechten eintragen, etc.) -> diese Einstellung wird vom KES 11.11 Client einfach konsequent ignoriert.

Es hilft lediglich, eine  Policy im KSC14 komplett neu zu erstellen & NICHT die importierten Einstellungen von der KSC12 Policy zu übernehmen, sondern alles manuell zu setzen.

Kennst du das Phänomen?

2. Wie empfohlen läuft nun in meiner Entwicklungsumgebung testweise ne kleine Serverfarm mit 3 W2016er & KES11.11  um das Verhalten im Cluster zu testen. Traurigerweise ist KES11.11 aber der Meinung, dass der "Schutz vor Web-Bedrohungen" nicht mit der Lizenz abgedeckt sei.-> siehe Anlage.

Lizenzanzeige.thumb.png.7879c5b5bbfb3eeae8580e0c70d4a730.png

Bei diesem Feature handelt es sich doch aber um eine grundlegende Schutzfunktion, weil was soll eine Malwareschutzlösung wenn der Web-Schutz extra gekauft werden müsste? Bei unseren 11.11 Clients mit der gleichen Lizenz wird übrigens alles sauber akzeptiert. Ist dies nur ein Anzeigefehler  wenn man KES11.11 auf Windows Server nutzt?

Wir haben übrigens die entsprechende Business Lizenz "Kaspersky Endpoint Security for Business - Select European Edition. Kaspersky Security for WS and FS", da ist ja die Web-Schutzkomponente eigentlich dabei.

Weisst du da ne Lösung?

Danke & Gruß Khappa

Posted

Hallo Khappa,

zu Frage 1.) fällt mir leider nichts ein, hatte ich noch nie. Da müsstest du dich an den Support wenden.
Tatsächlich nutze ich eine Migration mit einem neuen Admin-Server immer, um mich von Altlasten zu befreien und lege neue Richtlinien nach aktueller Best-Practice an. Wenn, dann übertrage ich nur bestimmte Ausnahmen oder die Geräte-Whitelist.
Was du ausprobieren könntest:
Exportiere die Einstellungen an einem Client, der die Richtlinie übernommen hat in eine Konfig-Datei. Lege auf Basis dieser Konfig-Datei eine neue Richtlinie an - kann sein, dass du erstmal im Assistenten ein paar Schritte vor und dann wieder zurück musst, damit du diese Dialog siehst:

image.thumb.png.2b8b0bacff53efb74212bc52c95be00f.png

image.thumb.png.ed8c65379e521a027bf2db434456ef1b.png

 

2.) Liegt an der Select-Lizenz. Tatsächlich hat Kaspersky die Lizenzierung der Module bzgl. KSWS auf die KES für Server übertragen - finde ich auch nicht glücklich, aber ist so. Dadurch ergeben sich Unterschiede für Clients und Server in den verfügbaren Modulen. War aber schon immer so, wenn du KES auf einem Server installiert hast.
Mit Select stehen die Module Web-Anti-Virus, Web-Kontrolle, Schutz vor E-Mail-Bedrohungen, Gerätekontrolle und Kontrolle des Programmstarts auf Servern nicht zur Verfügung. Dazu ist Advanced-Lizenzierung erforderlich.
Siehe https://support.kaspersky.com/de/ksws10/key/12784

Allerdings gibt es durchaus auch andere Gründe ein Upgrade auf Advanced durchzuführen - Select ist eigentlich nicht mehr zeitgemäß. Neben den Themen Patchmanagement und Verschlüsselung wird dadurch auch das Modul "Adaptive Kontrolle von Anomalien" frei geschaltet.

Für uns ist eigentlich sogar KEDRO (Kaspersky Endpoint Detection and Response Optimum, KEDRO = KES4B-Advanced + EDR) der Standard, auf den wir beraten. EDR ist für KRITIS-Unternehmen Pflicht und wird von allen Versicherungen und einigen Banken (bei Finanzierungen) gefordert.

Grüße
Alex

  • Thanks 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...