Neuinstallation KSC, KSWS und KES nach Systemwechsel

[Majo71]

Hallo,

ich habe noch KSC 11, KSWS 11 und KES 12 zu laufen und nun ein neues System aufgesetzt. Es ist wieder ein großer Windows-Terminalserver geworden und einige vereinzelte Desktops. Meine Kaspersky Endpoint Security for Business - Select Lizenz läuft noch bis nächstes Jahr. Nun gibt es ja viele neue Produkte, KSWS ist abgekündigt und KSC 14 endet ja auch zum Jahresende. KSC 15 für Windows scheint es nicht mehr zu geben. Was wäre dann in meine Fall zu empfehlen?

Dankeschön und viele Grüße, Mario

 

 

 

[alexcad]

Hallo Mario,

laut Roadmap wird es noch mind. eine weitere KSC-Version für Windows geben - ob das dann Version 15 oder Version 16 sein wird ...?
In Zukunft soll es dann für On-Prem nur noch die Linux-Variante geben. Die aktuelle Version KSC 15.0 für Linux kann meines Wissens noch nicht alle Windows-Produkte vollumfänglich managen. Ehrlich gesagt habe ich mir KSC für Linux noch nicht angesehen und wollte da noch die nächste Version abwarten.

Sprich: Ich würde dir KSC14.2 und KES12.5 empfehlen. 

Allerdings ist Select nicht mehr zeitgemäß. Es fehlt die "Adaptive Kontrolle von Anomalien" und auf Server-Pattformen stehen die Module Web- und Mail-Security nicht zur Verfügung. Mit Advanced oder "Endpoint Detection and Responce" stehen zusätzlich noch Funktionen wie Verschlüsselung und Patchmanagement zur Verfügung. Daneben gibt es noch weitere, vielleicht weniger wichtige Einschränkungen der Select.
Ein Upgrade auf Advanced ist nur noch dieses Jahr möglich. Ab nächstem Jahr greift für Upgrades das neue Lizenzmodell "Kaspersky NEXT" und da wäre die nächste Stufe "Endpoint Detection and Responce Optimum.
EDR-O wäre natürlich sowieso zu empfehlen, ist aber etwas teurer als Advanced.

Grüße
Alex

[Majo71]

Hallo Alex,

Dankeschön für die ausführliche Antwort und so werde ich das dann erstmal machen.

Dankeschön und viele Grüße, Mario

[Majo71]

Hallo,

ich wollte das heute erledigen, aber irgendwie ist diesmal der Wurm drin. Ich habe in einer frischen VM mit 16 GB RAM den SQL Server 2019 Express installiert und anschließend das KSC 14.2. Nach dem Start des KSC sehe ich nur noch, wie der RAM immer voller wird, bis nichts mehr geht. Den kompletten RAM beleg der SQL Server Express, wenn der Administrationsserver läuft. Ich habe alles noch einmal komplett entfernt und neu aufgesetzt, aber das Ergebnis blieb das selbe. Was könnte das sein.

Dankeschön und viele Grüße, Mario

[alexcad]

Hallo Mario,

hast du das beachtet:

Grüße
Alex

[Majo71]

Hallo Alex,

nein, das kannte ich noch gar nicht. Ich habe es gerade neu aufgesetzt und nun läuft es.

Vielen lieben Dank, Mario

[Majo71]

Hallo,

ich habe KES12.5 erstmal auf den Desktops ausgerollt, bevor der Terminalserver dran kommt. Bisher läuft auch soweit alles normal und zufriedenstellend. Ich habe gerade gesehen, dass die letzte Schadsoftware-Untersuchung lange zurückliegt. Sollte ich dafür wieder so eine Untersuchungsaufgabe anlegen oder geht das jetzt anders? Nach der Installation gab es diese Untersuchungsausgabe noch nicht. Wenn diese Aufgabe dann auf dem Terminalserver in allen Profilen gleichzeitig läuft, ist das sicherlich nicht gut. Wie ist diesbezüglich eure Empfehlung?

Dankeschön und viele Grüße, Mario

[alexcad]

Hallo Mario,

es gibt zwei Möglichkeiten damit die Systeme regelmäßig gescannt und nicht als kritisch angezeigt werden:

1.) Du konfigurierst in der Richtlinie die Option "Untersuchung im Hintergrund aktivieren":

 

2.) Du erstellst Scanaufgaben und lässt diese nach Zeitplan ausführen. Der Minimal-Bereich, der gescannt werden muss ist:

%SYSTEMROOT%\ ist die Variable für das Windows-Installationsverzeichnis - hier bitte den Haken bei "Unterordner einschließen" setzen.

Natürlich kannst du auch Vollscans konfigurieren, die dauern dann entsprechend länger.

Eine eindeutige Empfehlung lässt sich hier schwer aussprechen.
Bei den meisten Umgebungen konfiguriere ich den Hintergrundscan (Option 1) für Client-Systeme. Bei Servern arbeite ich dann eher mit Scan-Aufgaben, die lassen sich besser steuern und auswerten.

Bzgl. der Last auf (Terminal-)Servern:

• Die Aufgaben lassen sich ja auf die Nacht oder/und aufs Wochenende planen.
• Kaspersky-Aufgaben laufen immer im Systemkontext, nicht im Benutzerkontext (sofern man nicht explizit einen Benutzer hinterlegt). Pro Server läuft die Scanaufgabe nach Zeitplan nur einmal durch, nicht mehrfach pro angemeldetem Benutzer. 
• Damit nicht alle Server gleichzeitig scannen und ggf. den Storage stark belasten, lässt sich beim Zeitplan ein Intervall konfigurieren. Hier setze ich je nach Umgebung ein relativ großes Intervall, z. B. 4 Stunden. 
  Selbst ein Vollscan ist auf einem DC oder TS in wenigen Minuten durch, dauert aber ggf. auf einem Fileserver länger. Über das große Intervall stelle ich sicher, dass in der Regel nur ein oder zwei Server gleichzeitig auf dem Storage rödeln.

 

Grüße
Alex

PS:

• Für Terminalserver benötigst du ggf. vom Hersteller empfohlene Ausnahmen, z. B. für Citrix oder FSLogix.
• Falls du provisionierte TS hast, z. B. Citrix PVS benötigst du spezielle Einstellungen für den Administrationsagenten.
• Um den Differenzierungsbedarf bzgl. der Ausnahmen in einer Richtlinie abbilden zu können empfehle ich den Einsatz von Richtlinienprofilen:

 

[Majo71]

Guten Morgen Alex,

Dankeschön für deine schnelle Antwort. Ich hatte in der Richtlinie die Hintergrunduntersuchung bereits aktiviert, aber das funktioniert leider nicht. Hast du eine Idee, warum das nicht reicht? Ansonsten werde ich wieder diese Scan-Aufgabe anlegen, die hatte ich auf dem alten System auch.

Viele Grüße, Mario

[alexcad]

Hallo Mario,

die "Untersuchung im Hintergrund" läuft auch nur unter bestimmten Bedingungen. Der Rechner muss inaktiv sein, usw.
Daher aus meiner Sicht für Server nicht der richtige Weg.

Wenn es bei dir mit der "Untersuchung im Hintergrund" nicht funktioniert würde ich tatsächlich den Weg über die geplanten Scanaufgaben gehen. Da gibt es ja auch einige Steuerungsmöglichkeiten.

Grüße
Alex