Richtlinie Kasp. 10.01 für Win Server / Protokoll der Aufgabenausführung

[Zimbo73]

Wir haben in der RL für Kasp. 10.01 für Win Server in der Netzwerküberwachung, den Schutz für Netzwerkverschlüsselung im Modus "protokollieren" laufen. Laut Hilfe werden die Ereignisse im "Protokoll der Aufgabenausführung" dokumentiert. Wo finde ich dieses Protokoll? Werden die Informatiomnen zentral für alle Server zusammengetragen, oder auf jedem Server auf dem Kasp für Win Server installiert ist? In der Win Ereignisanzeige finde ich 2 Protokolle von Kaspersky (Event Log und Security). Im Protokoll Security tauchen Meldungen auf die besagen das PC mit IP xxx.xxx.xxx.xxx zur Liste nicht vertrauenswürdiger Komputer hinzugefügt wurde. Warum das passiet ist, und wo genau das herkommt, steht da allerdings nicht. Als Aufgabenbezeichnung steht da die Zahl 10. Hat die Meldung damit was zu tun? Ich müsste den Schutz vor Verschlüsselung scharf schalten, muß aber sicher gehen das nicht eventuell irgendwelche Zahlungsaufträge (die ja vershlüsselt werden bevor sie an die Bank gehen) fehlschlagen.

[alexcad]

... im "Protokoll der Aufgabenausführung" dokumentiert. Wo finde ich dieses Protokoll?

Hallo Zimbo73, diese Protokolle bzw. Informationen kannst du zentral über das KSC auslesen. Zum einen finden sich auch die Ereignisse des Moduls "Schutz vor Verschlüsselung" im Ereignisprotokoll des entsprechenden Servers: Zum anderen kannst du dir im KSC auch nur die Informationen einzelner Aufgaben/Module über "Eigenschaften" - "Aufgaben" anzeigen lassen: Hier finden sich dann auch die von dir gesuchten Informationen, die dann z. B. für die Erstellung von Ausnahmen bei einem Fehlalarm genutzt werden können. Ich würde dir dringend empfehlen bei diesem Ereignis eine Mail an den Admin schicken zu lassen, dann bekommst du das sofort mit: Grüße Alex

[Zimbo73]

Danke, das passt.

[Zimbo73]

Ich muss diesen Beitrag doch nochmal reaktivieren. Nachdem ich nun erfolgreich feststellen kann wann, und wo Verschlüsselungsversuche festgestellt wurden, möchte ich entsprechende Ausnahmen festlegen. Leider stoße ich auch hier an meine Grenzen. Es funktioniert einfach nicht. Ich setze den Haken bei "Listeneinträge vom Schutz ausschließen, klicke auf "hinzufügen" und suche nach den Ordnern, welche ich ausschließen möchte. Als Ergebnis erhalte ich einen Listeneintrag nach folgendem Schema: \\server\c$\ordner\unterordner Im Unterordner befinden sich weitere Unterordner, da für jeden Benutzer automatisch ein solcher angelegt wird. Es soll also der gesamte Unterordner inclusive aller weiteren Unterordner vom Schutz ausgenommen werden. Das funktioniert so aber nicht. Zumindest zeigt das Protokoll im Modus „nur protokollieren“ weiter Verschlüsselungsversuche. Die erfolgen hier auch, sind aber so gewollt.

[alexcad]

... erhalte ich einen Listeneintrag nach folgendem Schema: \\server\c$\ordner\unterordner

Hier musst du lokale Pfade eingeben. Die Richtlinie greift auf den Servern und wir dort vom Schutz lokal ausgewertet. Anti-Cryptor überwacht nur lokale Ordner. Die Pfadangaben können auch manuell eingegeben werden und dürfen Maskensymbole enthalten, siehe https://support.kaspersky.com/de/8244 Die aktuellen Produkte unterstützen auch einen Doppelstern (**) für eine beliebige Ordnerstruktur, z. B.: D:\daten1\**\IT-Abteilung\ Grüße Alex

[Zimbo73]

Klingt schlüssig, und scheint auch bzu funktionieren. Aber was wäre dann z.B. wenn ich auf einem Server das komplette Laufwerk C: ausschließen will. Die Angabe C:\ als Pfad würde ja dann dazu führen, das auf allen Servern der Ausschluß greift? Irgendwie undurchdacht !?! Da wäre ja dann die einzige Alternative die Richtlinie zu deaktivieren, und die Aufgaben lokal zu konfigurieren.

[alexcad]

... wenn ich auf einem Server das komplette Laufwerk C: ausschließen will.

Du hast recht: solche Ausnahmen sollte man nicht setzen. Nach meiner Erfahrung lässt sich aber immer eine weniger allgemeine Ausnahme finden, z. B. auf die Datei-Endung: C:\**\*.zbs (Und das wäre mir fast schon zu allgemein) Sollte es je doch erforderlich sein auf einem Server ein ganzes Laufwerk auszuschließen: Erstelle zwei (Unter-)Gruppen mit zwei (untergeordneten) Richtlinien und setze abweichende Ausnahmen. Wenn du hier mit einer Master-Richtlinie und zwei untergeordneten Richtlinien arbeitest, muss das Schloss bei den Ausnahmen in der Master-Richtlinie offen sein, damit du hier in den untergeordneten Richtlinien abweichende Einstellungen setzen kannst. Grüße Alex

[Zimbo73]

... wenn ich auf einem Server das komplette Laufwerk C: ausschließen will.

Du hast recht: solche Ausnahmen sollte man nicht setzen. Nach meiner Erfahrung lässt sich aber immer eine weniger allgemeine Ausnahme finden, z. B. auf die Datei-Endung: C:\**\*.zbs (Und das wäre mir fast schon zu allgemein) Sollte es je doch erforderlich sein auf einem Server ein ganzes Laufwerk auszuschließen: Erstelle zwei (Unter-)Gruppen mit zwei (untergeordneten) Richtlinien und setze abweichende Ausnahmen. Wenn du hier mit einer Master-Richtlinie und zwei untergeordneten Richtlinien arbeitest, muss das Schloss bei den Ausnahmen in der Master-Richtlinie offen sein, damit du hier in den untergeordneten Richtlinien abweichende Einstellungen setzen kannst. Grüße Alex

Naja, war ja eher ein fiktives Szenario. Hier wären Richtlinienprofile cool. Aber die gibts wohl bei Serverrichtlinien noch nicht :-). Trotzdem nochmal danke. Ich denke jetzt wirds klappen.