Schutz vor Verschlüsselung der Serverfreigaben

[Zimbo73]

Kasp. Sec. 10.1.2 für Windows Server, KSC 11.0.0.1133

Wenn ein Verschlüsselungsversuch erkannt wird, wird der Rechner, von dem die Aktion ausging für 30 Min gesperrt (zur Liste nicht vertrauenswürdiger Geräte hinzugefügt). Leider passiert das häufig fälschlicherweise, obwohl die Analysestärke schon auf “oberflächlich” runtergeschraubt ist.. Die betreffenden Kollegen sind dann jedesmal für 30 min arbeitsunfähig.

Gibt es eine Möglichkeit die Sperrung zu vermeiden, die Sperrzeit zu verringern, oder wenigstens die Sperrung manuell aufzuheben?

[alexcad]

Hallo Zimbo73,

zuerst solltest du den aktuellen CriticalFix für KS4WS 10.1.2 einspielen - nach meinem Infostand ist das CF7.  Dadurch reduziert sich die Fehlalarm-Quote in der Regel deutlich. CF7 muss beim Support angefordert werden oder du wendest dich an deinen Kaspersky-Partner.

Oft lassen sich passende Ausnahmen definieren. Anti-Cryptor schlägt z. B. oft bei Banking-/Buchhaltungs-Software an, z. B. bei Sfirm. Aber auch CAD-Anwendungen, wie MicroStation verursachen beim Speichern oft einen Fehlalarm.
Hier kann man Abhilfe schaffen, indem man Ordnerpfade, Datei-Endungen oder eine Kombination daraus im Anti-Cryptor-Modul als Ausnahme definiert: 
 

Wichtig und leider auch verwirrend dabei ist: Das Anti-Cryptor-Modul übernimmt nicht die allgemein gesetzten Ausnahmen - die müssen speziell in diesem Modul im oben gezeigten Menü konfiguriert werden. 
​​​Infos zu Ausnahme-Masken und Platzhaltern findest du hier: https://support.kaspersky.com/de/15251
Der Artikel bezieht sich zwar auf KES11, ist aber im Großen und Ganzen auch für KS4WS gültig - z. B. was die Verwendung des Doppel-Sterns (**) angeht.

Sofern die Richtlinie wie im Screenshot zu sehen konfiguriert ist, solltest du blockierte Rechner im KSC sehen und freigeben können ...
 

… nur dass der Ordner im KSC inzwischen die Bezeichnung “Aktive Bedrohungen” hat.
 

Was schon in den Vorgängerversionen ging, aber total umständlich ist: In die Eigenschaften des betroffenen Servers (nicht Client) gehen, die Programmeigenschaften des Schutzproduktes öffnen und unter “Speicher der blockierten Hosts” die blockierten Clients aus der Liste löschen.
(Welches Kellerkind hat sich das ausgedacht?).
 

Dritte Möglichkei​​t einen blockierten Rechner frei zu bekommen: Reboot des Clients:

Grüße
Alex