Kaspersky
Solved

Installationsstruktur PC-basiert


Hi,

 

wie gehe ich vor wenn unabhängig vom User gewisse Regeln auf den PC angewendet werden soll?

Beispiel:

→ User 1 hat PC und Laptop.

  • Auf PC soll der Ordner “C:\ERP-Programm” nicht gescannt werden.
  • Auf dem Laptop soll zusätzlich noch der Ordner “C:\SpezialProgramm” nicht berücksichtigt werden ebenso die Datei “\\192.168.1.200\Freigabe\Programm1\Setup.exe” und alles was zwischen dem Netzlaufwerk “H:\” auf “Port: 8585” läuft soll durchgelassen werden. 

=> Wenn User2 sich am dem PC oder dem Laptop anmeldet sollen die gleichen Regeln greifen.

Ebenfalls ist der Laptop selten im Firmen Netzwerk. Er sollte sich die Update direkt aus dem Internet holen und nicht vom Administrationsagenten. Muss ich dann für den Laptop einen eigenen Agenten installieren um die zu Realisieren?

Kann eine Station mehreren Agenten zugeordnet werden? 

 

Danke im voraus.

icon

Best answer by alexcad 17 March 2021, 18:09

Hallo Freizeit_Admin,

die Möglichkeiten, die du hast sind abhängig von den eingesetzten Lösungen und Versionen.

Kannst du bitte dazu ein paar Informationen liefern?

Generell gilt: Es kann nur einen (Agent) geben.

Aber es lassen sich durchaus dynamische Konfigurationen (regelbasiert) zuweisen. Entweder über die Gruppenzuordnung mit dazugehörigen Richtlinien. Oder über Richtlinienprofilen, die nach bestimmten Regeln abweichende Einstellungen aktiv setzen können.

Eine weitere und einfache Möglichkeit ist die mobile Richtlinie, die aktiv gesetzt wird, wenn der Client den Admin-Server nicht erreichen kann.

Aber oft gibt es gar keinen Differenzierungsbedarf:
Eine Ausnahme muss nicht unbedingt gerätespezifisch sein - wenn das Objekt auf einem anderen Gerät nicht vorhanden ist wird die Ausnahme einfach ignoriert.

Ausnahmen würde ich auch nur setzen, wenn es ohne zu Störungen kommt (Anwendung funktioniert nicht, ist langsam, ...). Und dann so spezifisch wie möglich, um keine großen Löcher in den Schutz zu schneiden.

Das mit der Update-Quelle regelt die Update-Aufgabe eigentlich auch mit Standardeinstellungen:
 


Mobile Arbeitsplätze, die selten im Firmennetz sind und sich auch nicht per VPN-Verbinden lassen sich z.B. über ein Verbindungsgateway anbinden. Damit sind Systeme immer im Management, sofern eine Internetverbindung vorhanden ist (und Port TCP 13.000 raus geht).

Weitere Infos zu mobilen Richtlinien und Verbindungsgateways findest du über die Suche hier im Forum und in den Handbüchern.
Gerne bei Bedarf auch nochmal hier nachfragen.

Grüße
Alex​​​​​​​

View original

23 replies

Userlevel 6
Badge +5

...Unterschied: SQL Server ist ein anderer als der Kasp-Server. Und Somit die Fehlermeldung: 

 

Der Pfad ist erreichbar und kann vom SQL-Server auch Datei drin erstellen.

WO ist der Fehler?


Das Dienste-Konto des SQL-Servers benötigt schreibenden Zugriff auf den Ordner (Backup-Ziel). In der Regel ist das ein lokales System-Konto - dann hilft nur die Freigabe/Berechtigung auf den Backup-Ordner für “jeden” zu setzen.
Wenn SQL nicht auf dem Admin-Server läuft muss das Backup-Ziel auch zwingend als UNC-Pfad angegeben werden.

Grüße
Alex

Hallo,

 

nachdem in der Testumgebung alles zu funktionieren schien bin ich jetzt bei der Real-Installation.

 

Unterschied: SQL Server ist ein anderer als der Kasp-Server. Und Somit die Fehlermeldung: 

 

Der Pfad ist erreichbar und kann vom SQL-Server auch Datei drin erstellen.

WO ist der Fehler?

 

Danke.

Userlevel 6
Badge +5

Kann es sein, dass in der untergeordneten Richtlinie das Schloss auch offen ist und daher die Einstellungen nicht auf dem Client angewendet werden?

Um das mit dem Schloss nochmal auszuführen:

  • Bei der ersten Übernahme der Richtlinie werden alle Einstellungen vom Client übernommen, egal ob Schloss offen oder zu.
  • Anschließend durchgeführte Änderungen werden nur auf dem Client angewendet, wenn die Einstellung verbindlich, also Schloss zu ist.

Bedeutet: Irgendwo muss das Schloss bei jeder Einstellung in den Richtlinien zu sein.

Wenn du mit über- und untergeordneten Richtlinien arbeitest, muss eine Einstellung, die in der übergeordneten Richtlinie offen ist, entsprechend in der untergeordneten Richtlinie (abweichend) konfiguriert und dann hier verbindlich gesetzt werden (Schloss zu).

Ob und welche Einstellungen auf dem Client angewendet werden kannst du auf dem Client über die GUI herausfinden.
 


Entsprechend muss hier auch alles ausgegraut sein.

Und nochmal der Hinweis: Wenn du Ausnahmen sowohl in der übergeordneten, als auch in der untergeordneten Richtlinie ergänzend konfigurieren möchtest muss:

  • in der übergeordneten Richtlinien das Schloss offen sein.
  • in der untergeordneten Richtlinie der Haken bei “Bei Vererbung Werte zusammenführen” gesetzt und das Schloss zu sein.

Noch ein Punkt: Die Ausnahme im zweiten Screenshot enthält keine ausführbare Datei. Müsste eigentlich so aussehen:


Grüße
Alex

Hallo Alex,

 

danke für deine Antwort. Ich habe Es oben nur mit 2 PC’s erläutert…

zu 1. Ähnlich zum Windows AD hätte ich auf eine Kreuzstruktur gehofft. Wenn das Funktionell keinen Sinn macht ist das auch Okey. Im alten AV-Programm hatte ich auch viele Profile (ProgramA, ProgrammA&B, ProgrammB&C,ProgrammA&C) usw…

Zumindest Kann ich mit der Baumstruktur das ein wenig besser Strukutrieren.

 

zu 2.) Danke Schloss gefunden

zu 3.) Weder auf Datei noch auf Ordner Ebene funktioniert der Ausnahmen Mechanismus:

 

 

Was ist bei mir kaputt? Das Programm sagt doch das die Neuerungen Verteilt sind :S...

Userlevel 6
Badge +5
  1. Gruppen kann ich nur in Baumstruktur erstellen richtig?
  2.  Wieso kann ich in der Untergruppe keine Ausnahme definieren?
  3. Wieso greift meine Ausnahmen nicht:

Zum Testen wollte ich eigentlich “Eplan.exe” in der Hauptgruppe definieren und “C:\frg” in der Untergruppe. Somit sollte sich die Wirkung gut testen lassen...


Hallo Robert,
zu deinen Fragen:

1.) Verstehe ich nicht ganz. Oder um die Frage zurück zugeben: Welche alternative Ordnerstruktur zur Baumstruktur wäre für dich denkbar bzw. wünschenswert?

2.) An den ausgegrauten Menüs ist erkennbar, das du in der übergeordneten Richtlinie die Schlösser zu hast. Damit sind diese Einstellungen verbindlich und können weder in einer untergeordneten Richtlinien noch auf dem Client geändert werden. 
Wenn du also einzelne Punkte in einer untergeordneten Richtlinie abweichend konfigurieren möchtest musst du entweder das Schloss in der Masterrichtlinie öffnen oder die Vererbung unterbrechen (auch das ist möglich).
Generell würde ich von beiden Möglichkeiten eher abraten - das erhöht den administrativen Aufwand und das Risiko, dass Einstellungen nicht wie gewünscht bei den Systemen ankommen.

Oft gibt es keinen konkreten Differenzierungsbedarf und der lässt sich in der Regel mit Richtlinienprofilen besser bedienen. 
Im Fall der Ausnahmen wäre eine untergeordnete Richtlinie noch einigermaßen sinnvoll, da sich hier inzwischen die geerbten Ausnahmen zusammenführen lassen - die Einstellungen der untergeordneten Richtline ergänzen die Ausnahmen dann und ersetzen sie nicht mehr, wie früher.

3.) Ordner müssen mit einem Backslash am Ende eingegeben werden, sonst wird der Wert als Dateiname interpretiert.
 

Grüße
Alex

Userlevel 6
Badge +5

Seltsam - ich schau danach.

OK, war als SPAM gewertet, warum auch immer.

??

 

Guten Morgen Allerseits,

 

Tag 4 bricht an. Lizenz wurde aktiviert und EICAR wurde mehrfach gelöscht. Erstmal “funktioniert“ der Schutz.

… wir haben Kaspersky Endpoint Security for Business - Select gekauft und ich möchte das über die Cloud administrieren. Clients sind ausnahmslos W10 1903-20H2.

 

Alternativ zu den Richtlinienprofilen kannst du natürlich auch auf Gruppenbasis mit untergeordneten Richtlinien arbeiten. In diesem Fall funktioniert das Zusammenführen von Ausnahmen auf jeden Fall. 
Über die Platzierung der Geräte in der jeweiligen Unter-Gruppe mit untergeordneter Richtlinie steuerst du relativ einfach, welche Ausnahmen auf dem Gerät greifen.

Grüße
Alex

 

Hier hake ich gerne nochmal nach.

  1. Gruppen kann ich nur in Baumstruktur erstellen richtig?
  2.  Wieso kann ich in der Untergruppe keine Ausnahme definieren?

     

  3. Wieso greift meine Ausnahmen nicht:

    → 

Zum Testen wollte ich eigentlich “Eplan.exe” in der Hauptgruppe definieren und “C:\frg” in der Untergruppe. Somit sollte sich die Wirkung gut testen lassen...

Userlevel 6
Badge +5

… Oder kann ich die Lizenz aus den Testserver in den späteren Realserver verschieben?

Das ist kein Problem. Lizenzen lassen sich beliebig exportieren, aktivieren, etc.

Du kannst eine Lizenz sogar auf mehreren Admin-Servern gleichzeitig einsetzen. Es liegt dann in der Verantwortung des Kunden, das Lizenzkontingent in der Summe einzuhalten.

Grüße
Alex

Ich würde dir empfehlen das sauber aufzusetzen und dann zu testen.

 

Grüße
Alex

 

 

Und genau liegt meine “Problem”. Der zukünftige “K-Admin-Server” ist auch unser Druckerserver. Das heißt wenn ich dort etwas vermurks, kann die ganze Firma nicht drucken… Oder kann ich die Lizenz aus den Testserver in den späteren Realserver verschieben?

 

Grüße Robert

Userlevel 6
Badge +5

...(Erst alten Deinstallieren und dann neu Installieren)…

 

… wäre auch mit klmover.exe gegangen.

Grüße
Alex

Userlevel 6
Badge +5

Ohne Lizenz laufen nicht alle Schutzmodule. 
Wichtig für eine gute Erkennungsrate sind Verhaltensanalyse und KSN.

Weiterhin läuft ohne Lizenz die Update-Aufgabe nicht - das Schutzprodukt bekommt keine Pattern-Updates.

Ich würde dir empfehlen das sauber aufzusetzen und dann zu testen.

Ein Standard-Test ist mit EICAR möglich:

https://www.eicar.org/?page_id=3950

 

Grüße
Alex

→ Mal ne frage zwischen durch. ich habe (zum testen) eine Datei die gemeinhin als bedrohlich gelten sollte (zumindest wurde sie von alten AV-Programm immer direkt in Quarantäne gesteckt) auf den Desktop kopiert. Kaspersky → keine Reaktion. Datei ausgeführt… ebenfalls keine Reaktion. Nun habe ich noch keine Lizenz hinzugefügt, frage mich aber warum Kaspersky nicht anschlägt???

 

 

=> Das lieg vermutlich daran das ich (aktuell?)mit den PCs nicht im Domänennetzwerk bin. Ja die Cloudvariant ist da einfacher, da Internetadresse…

 

Nach Änderung auf “.lan” wird auch der Agent erkannt. (Erst alten Deinstallieren und dann neu Installieren)…

Userlevel 6
Badge +5

Zu deinem Nachtrag:

Der Netzwerkagent kann den Admin-Server nicht erreichen - ich tippe auf ein Konfigurationsproblem, siehe Oben.

Auf dem Client lässt sich die Agent-Kommunikation mit klnagchk.exe prüfen, siehe 


Was mich wundert: Im Screenshot wird der Rechner mit dem FQDN “AAATESTKCL.lan” angezeigt.
Kann eigentlich nicht stimmen. Ein FQDN sollte aus 3 Teilen bestehen:

hostname.domäne.topleveldomäne

Grüße
Alex

Userlevel 6
Badge +5

Hallo Robert,

wenn du die Testmaschinen nachträglich ins AD gehängt hast stimmen vermutlich die Berechtigungen und die Verbindungseinstellungen nicht mehr.
Vor allem letzteres scheint mir ein Problem zu sein, da die Agent-Installation wohl durchläuft, sich der Agent aber nicht meldet - daher hängt die Installation bei 50%, die KES kann nicht installiert werden.
 

 

Vergleiche bitte mal den Verbindungs-Eintrag im Installationspaket mit deiner Testumgebung und prüfe die Namensauflösung.

Wenn ihr Kontakt zu einem Kaspersky-Partner habt besteht sicher auch die Möglichkeit den für eine  begleitete Teststellung ins Boot zu holen. Das hilft Frust zu vermeiden.

Grüße
Alex

Nachtrag. den Server habe ich über ein Autonomes Paket installiert. Der Client wird Zwar gefunden, ABER nicht der Administrationsagent…

 

 

 Hallo,

 

also ich habe jetzt die Test PC’s ins ad gehangen und damit wurden der “client” auch gefunden aber die remote Installation ging trotzdem nicht.:

→ Das ist echt ungünstig, weil dort ja auch gleich die Deinstallation des alten AV-Programms integriert ist… (in der Manuellen Aufgabe habe ich diese Punkt nicht gesehen...)

Dann habe ich versucht den Netzwerkagenten zu installieren. Als autonomes Paket geht es. Remote Installation geht aber weiterhin weder für den Server separat noch für den Client.

 

Dann habe ich es mit Installationsaufgabe probiert. Dort kamen immer wieder Zugriffsfehler bis ich den Domänenbenutzer explizit in die Admin-Gruppe des Clients gesetzt haben (obwohl über die Gruppe Domänen-Admin der Benutzer schon integriert war) UND das Domänen BN-Konto in der Aufgabe explizit eingetragen habe, obwohl ich am Server schon mit dem User angemeldet war.

Und trotzdem bleibt er bei 55% stehen:

 

Es hakt (bei mir?) an alle Ecken und Enden. und das bei Cleanen Windows, was passiert wohl bei den echten Workstations :S.

 

Viele Grüße. 

Userlevel 6
Badge +5

Hallo Robert,

das in deiner Testumgebung das Discovery nicht funktioniert liegt vermutlich am fehlenden AD. 
Auch das Pushen von Installationen über das KSC funktioniert besser, wenn die Systeme Mitglied einer oder mehrerer Domänen sind - in Domänen-Netzen ist die Windows-Firewall bzgl. der erforderlichen Ports und Dienste offen.

Folgende Vorgehensweise bzgl. Rollout würde ich empfehlen:

  • Installation des Netzwerkagenten auf den Systemen, die geschützt werden sollen. Falls das per Push-Installation nicht möglich ist (s. O.) gibt es die Möglichkeit das lokal mit einem “Autonomen Installationspaket” durchführen. Beim Anlegen dieses Paketes wird das gesamte Setup inkl. Konfiguration in eine “installer.exe” gepackt.
  • Wenn sich die Netzwerkagenten beim Security Center melden, sind diese unter “Nicht zugeordnete Systeme” sichtbar und lassen sich, falls gewünscht, mit Verschieberegeln automatisiert Verwaltungsgruppen zuordnen. Geht natürlich auch manuell über das Kontextmenü oder Drag+Drop.

 

  • Die Installation des jeweiligen Schutzproduktes erfolgt dann über eine Installationsaufgabe. Ich arbeite hier gerne mit zwei Methoden:
    • Installationsaufgabe als Poolaufgabe - die starte ich dann über das Kontextmenü “Alle Aufgaben” - Aufgabe starten” auf einzelne oder mehrere Systeme.
    • Installationsaufgabe auf eine Geräteselektion - damit lassen sich Schutzprodukte automatisiert verteilen. 

In beiden Fällen lege ich Installationsaufgaben nicht als Gruppenaufgabe an, sondern hier:
 


Auf Windows Servern ist der Einsatz von KS4WS empfehlenswert, hier sollte nicht die KES installiert werden. Daher trenne ich da bei der Geräteauswahl nach Betriebssystemen.
 


Grüße
Alex​​​​​​​

Hi,

 

Also ich bin echt zu doof ( oder die Anleitungen...) Ich habe als Testumgebung 2 VM’s (Win10 Pro 1909) VM1 hat Internet und auf der 2. Netzwerk-Karte VM-Lan. VM 2 hat nur VM-Lan. Dateifreigabe funktioniert beidseitig. Auf VM1 ist die KSC mit Web console installiert sowie das Kaspersky Endpoint Security for Windows.

Kaspersky findet VM 2 nicht.

Kaspersky schafft es nicht die Remote Installation auf VM1 durchzuführen.

Kaspersky erkennt nicht die Installation auf VM1.

Ein vernünftiges, geschweige denn deutsches, Quickstart kann ich nicht finden

 

Was muss wie in welcher Reihenfolge Passieren damit das einfach funktioniert?

 

Normalerweise kenn ich das so:

  • Verwaltung Installieren
  • Ausnahmen definieren
  • auf den Clients .exe ausführen
  • Client in die Ausnahmen Gruppen

→ Fertig, weiterarbeiten.

 

Stattdessen probiere ich seit 2 Tage eine Minimalkofiguration ans laufen zu kriegen (2 PCs / 2 Ausnahmen).

 

So nachdem ich meinen Frust jetzt mal von der Seele geschrieben habe nochmal von vorne. Was muss ich wie durchführen um die o.g. Schritte erfolgreich abzuschließen?

Danke Robert

 

Userlevel 6
Badge +5

… wir haben Kaspersky Endpoint Security for Business - Select gekauft und ich möchte das über die Cloud administrieren. Clients sind ausnahmslos W10 1903-20H2.

 

KES4B ist eigentlich die On-Prem-Lösung - ab 300 Lizenzen hast du aber die Möglichkeit die Cloud-Konsole einzusetzen

https://support.kaspersky.com/KSC/CloudConsole/de-DE/5022.htm

Wie bereits geschrieben: Auch mit einem On-Prem-Admin-Server lassen sich mobile Arbeitsplätze über Verbindungsprofile (Richtlinie des Netzwerkagenten) permanent ins Management einbinden - dazu wird keine Cloud-Konsole benötigt.

Bzgl. deiner Anforderung an die Differenzierung bei den Ausnahmen:
Würde ich über Richtlinienprofile steuern und diese z. B. an Tags binden https://support.kaspersky.com/KSC/12/de-DE/89258.htm

In meiner Demoumgebung habe ich so z. B. die Festplattenverschlüsselung umgesetzt. Über das Tagging steuere ich, ob aus einem System die Festplatte verschlüsselt bzw. entschlüsselt werden oder unverändert bleiben soll.


 


Im Richtlinienprofil müssen dann nur die abweichenden Werte editiert und die Einstellung mit dem Schloss verbindlich gesetzt werden:
 


Bzgl. der Ausnahmen kann ich dir allerdings nicht sagen, ob der Schalter “Bei Vererbung Werte zusammenführen” greift - also ob die Ausnahmen der Richtlinie beibehalten und durch die Werte des Richtlinienprofils ergänzt werden. Das müsstest du mal testen.

 

Alternativ zu den Richtlinienprofilen kannst du natürlich auch auf Gruppenbasis mit untergeordneten Richtlinien arbeiten. In diesem Fall funktioniert das Zusammenführen von Ausnahmen auf jeden Fall. 
Über die Platzierung der Geräte in der jeweiligen Unter-Gruppe mit untergeordneter Richtlinie steuerst du relativ einfach, welche Ausnahmen auf dem Gerät greifen.

Grüße
Alex

Hi,

 

wir haben Kaspersky Endpoint Security for Business - Select gekauft und ich möchte das über die Cloud administrieren. Clients sind ausnahmslos W10 1903-20H2.

 

Ok für die Latops die keine Kontakt zum Agenten haben die mobile Richtlinie nutzen.

Da ich wir ca. 30 Laptops mit ca. 20 verschieden Programmen haben, möchte ich ungern allen Laptops alle 20 Programme “freischalten”. Ich suche also weiterhin nach einer Computerbasierten Lösung.

 

Danke erstmal. :)

Userlevel 6
Badge +5

Hallo Freizeit_Admin,

die Möglichkeiten, die du hast sind abhängig von den eingesetzten Lösungen und Versionen.

Kannst du bitte dazu ein paar Informationen liefern?

Generell gilt: Es kann nur einen (Agent) geben.

Aber es lassen sich durchaus dynamische Konfigurationen (regelbasiert) zuweisen. Entweder über die Gruppenzuordnung mit dazugehörigen Richtlinien. Oder über Richtlinienprofilen, die nach bestimmten Regeln abweichende Einstellungen aktiv setzen können.

Eine weitere und einfache Möglichkeit ist die mobile Richtlinie, die aktiv gesetzt wird, wenn der Client den Admin-Server nicht erreichen kann.

Aber oft gibt es gar keinen Differenzierungsbedarf:
Eine Ausnahme muss nicht unbedingt gerätespezifisch sein - wenn das Objekt auf einem anderen Gerät nicht vorhanden ist wird die Ausnahme einfach ignoriert.

Ausnahmen würde ich auch nur setzen, wenn es ohne zu Störungen kommt (Anwendung funktioniert nicht, ist langsam, ...). Und dann so spezifisch wie möglich, um keine großen Löcher in den Schutz zu schneiden.

Das mit der Update-Quelle regelt die Update-Aufgabe eigentlich auch mit Standardeinstellungen:
 


Mobile Arbeitsplätze, die selten im Firmennetz sind und sich auch nicht per VPN-Verbinden lassen sich z.B. über ein Verbindungsgateway anbinden. Damit sind Systeme immer im Management, sofern eine Internetverbindung vorhanden ist (und Port TCP 13.000 raus geht).

Weitere Infos zu mobilen Richtlinien und Verbindungsgateways findest du über die Suche hier im Forum und in den Handbüchern.
Gerne bei Bedarf auch nochmal hier nachfragen.

Grüße
Alex​​​​​​​

Reply