Schutz der Verbindung zum Administrationsserver
Die Verbindung des Computers mit dem Administrationsserver erfolgt mithilfe der Kaspersky Security Center-Komponente Administrationsagent. Wenn ein Angreifer ausreichende Rechte hat, um die Einstellungen der Serververbindung zu ändern, besteht ein Risiko für die Verbindung des Computers mit einem nicht vertrauenswürdigen Server. Dann könnte der Angreifer seine eigenen Gruppenrichtlinien anwenden und beispielsweise den Selbstschutz der App deaktivieren. Kaspersky Endpoint Security kann eine unerlaubte Wiederverbindung des Computers mit unterschiedlichen Servern verhindern. Zum Schutz der Serververbindung schlägt die App vor, ein Kennwort festzulegen und die PBKDF2-Funktion (Password-Based Key Derivation Function) zu verwenden. Dies hat zur Folge, dass der Zugriff auf die App ohne Kennwort nicht möglich ist.
Um Kaspersky Endpoint Security und den Administrationsagenten umfassend vor unerlaubtem Zugriff zu schützen, empfehlen wir, den zusätzlichen Schutz zu aktivieren. Für Kaspersky Endpoint Security empfehlen wir, den Kennwortschutz zu aktivieren. Für den Schutz der Administrationsagenten zu empfehlen wir, ein Kennwort für die Deinstallation festzulegen. Einzelheiten darüber, wie Sie den Administrationsagenten vor einer Deinstallation schützen, finden Sie in der Hilfe zu Kaspersky Security Center.
Die Verwaltung der Verbindung zwischen dem Computer und dem Administrationsserver erfolgt mithilfe der Aufgabe Verbindung zum Administrationsserver schützen. Mit dieser Aufgabe können Sie die folgenden Aktionen ausführen:
- Ein Kennwort festlegen, um die Serververbindung zu schützen.
- Das Kennwort ändern.
- Den Computer mit einem anderen Server neu verbinden.
- Den Schutz der Serververbindung deaktivieren.
Authentifizierung des Computers bei der Verbindung mit dem Administrationsserver
Nachdem ein Kennwort festgelegt wurde, erstellt die App ein Daten-Array, wobei das Kennwort mithilfe von PBKDF2 umgewandelt wird. Dann verschlüssel die App dieses Daten-Array mithilfe des Schlüssels des Administrationsagenten. Die App verwendet das verschlüsselte Daten-Array, um Rechte und Berechtigungen des Administrationsservers für spätere Verbindungen zu überprüfen.
Wenn künftig versucht wird, den Computer erneut mit dem Administrationsserver zu verbinden, entschlüsselt die App das Daten-Array mithilfe des Administrationsagenten-Schlüssels und vergleicht es mit der lokalen Kopie. Wenn sie nicht übereinstimmen, wird der Zugriff auf die App beschränkt.
Schutz der Verbindung zum Administrationsserver
So legen Sie über die Verwaltungskonsole (MMC) ein Kennwort zum Schutz der Serververbindung fest
- Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
- Wählen Sie in der Konsolenstruktur den Punkt Aufgaben aus.
Die Aufgabenliste wird geöffnet.
- Klicken Sie auf Neue Aufgabe.
Der Assistent für neue Aufgaben wird gestartet. Folgen Sie den Anweisungen.
Schritt 1. Aufgabentyp auswählen
Wählen Sie Kaspersky Endpoint Security für Windows (12.6) → Verbindung zum Administrationsserver schützen aus.
Schritt 2. Schutz der Verbindung mit dem Administrationsserver
Legen Sie ein Kennwort zum Schutz der Verbindung mit dem Administrationsserver fest:
- Wählen Sie unter Verbindung zum Administrationsserver schützen den Punkt Durch Kennwort schützen auswählen.
- Wählen Sie in der Dropdown-Liste Administrationsserver die Option Neuer Server.
- Legen Sie im Feld Kennwort für die Verbindung zum Administrationsserver ein Kennwort für die Verbindung zum Administrationsserver fest und bestätigen Sie es.
Falls Sie das Kennwort vergessen sollten, können Sie es mithilfe einer Aufgabe ändern.
Schritt 3: Das Benutzerkonto zur Ausführung der Aufgabe auswählen
Wählen Sie den Punkt Standardbenutzerkonto. Standardmäßig führt Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (SYSTEM) aus.
Schritt 4. Zeitplan des Aufgabenstarts anpassen
Wählen Sie unter Start nach Zeitplan den Punkt Manuell auswählen.
Schritt 5. Aufgabennamen festlegen
Geben Sie einen Aufgabennamen ein, z. B. Kennwort für Verbindung mit Hauptserver.
Schritt 6. Erstellung der Aufgabe abschließen
Schließen Sie den Assistenten ab. Aktivieren Sie das Kontrollkästchen Aufgabe nach Abschluss des Assistenten starten oder starten Sie die Aufgabe manuell. Den Fortschritt der Aufgabenausführung können Sie in den Aufgabeneigenschaften verfolgen.
So legen Sie über Web Console oder Cloud Console ein Kennwort zum Schutz der Serververbindung fest
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Aufgaben aus.
Die Aufgabenliste wird geöffnet.
- Klicken Sie auf Hinzufügen.
Der Assistent für neue Aufgaben wird gestartet.
- Passen Sie die Einstellungen der Aufgabe an:
- Wählen Sie in der Dropdown-Liste Programm den Punkt Kaspersky Endpoint Security für Windows (12.6) aus.
- Wählen Sie in der Dropdown-Liste Aufgabentyp die Option Verbindung zum Administrationsserver schützen.
- Geben Sie im Feld Aufgabenname eine kurze Beschreibung ein, beispielsweise Kennwort für Verbindung mit Hauptserver.
- Wählen Sie im Block Geräte auswählen, denen die Aufgabe zugewiesen wird den Gültigkeitsbereich der Aufgabe aus.
- Wählen Sie die Geräte aus. Berücksichtigen Sie dabei die ausgewählte Variante für den Gültigkeitsbereich der Aufgabe. Weiter zum nächsten Schritt
- Wählen Sie ein standardmäßiges Benutzerkonto aus. Standardmäßig führt Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (SYSTEM) aus.
- Schließen Sie den Assistenten ab.
Die neue Aufgabe wird in der Aufgabenliste angezeigt.
- Klicken Sie auf die Kaspersky Endpoint Security-Aufgabe Verbindung zum Administrationsserver schützen.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie unter Verbindung zum Administrationsserver schützen den Punkt Durch Kennwort schützen auswählen.
- Wählen Sie in der Dropdown-Liste Verbindung zum Administrationsserver die Option Neues Kennwort.
- Legen Sie im Feld Kennwort ein Kennwort für die Verbindung zum Administrationsserver fest und bestätigen Sie es.
Falls Sie das Kennwort vergessen sollten, können Sie es mithilfe einer Aufgabe ändern.
- Speichern Sie die vorgenommenen Änderungen.
- Aktivieren Sie das Kontrollkästchen neben der Aufgabe.
- Klicken Sie auf Starten.
Sie können den Aufgabenstatus und die Anzahl der Geräte, auf denen die Aufgabe erfolgreich ausgeführt wurde oder fehlgeschlagen ist, einsehen.
Den Computer mit einem anderen Administrationsserver neu verbinden
Eine erneute Verbindung des Computers mit einem anderen Administrationsserver umfasst die folgenden Schritte:
- Führen Sie in der Konsole des aktuellen
[KSC1]-Servers die Aufgabe Administrationsserver wechseln für den Administrationsagenten aus. Nachdem die Aufgabe ausgeführt wurde, wird der Computer mit dem neuen [KSC2]-Server verbunden.
Der Computer wird in der Konsole mit dem Status Kritisch 
angezeigt. Es ist nicht möglich, die App mithilfe von Richtlinien zu konfigurieren oder per Fernzugriff Aufgaben auf dem Computer auszuführen.
- Erstellen Sie in der Konsole des neuen
[KSC2]-Servers einen neue Aufgabe Verbindung zum Administrationsserver schützen für Kaspersky Endpoint Security. Geben Sie in den Aufgabeneigenschaften das Kennwort des vorherigen Servers ein und legen Sie ein Kennwort für den neuen Server fest.So legen Sie in der Verwaltungskonsole (MMC) ein neues Kennwort für die Wiederverbindung mit einem neuen Server fest
- Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
- Wählen Sie in der Konsolenstruktur den Punkt Aufgaben aus.
Die Aufgabenliste wird geöffnet.
- Klicken Sie auf Neue Aufgabe.
Der Assistent für neue Aufgaben wird gestartet. Folgen Sie den Anweisungen.
Schritt 1. Aufgabentyp auswählen
Wählen Sie Kaspersky Endpoint Security für Windows (12.6) → Verbindung zum Administrationsserver schützen aus.
Schritt 2. Schutz der Verbindung mit dem Administrationsserver
Legen Sie ein Kennwort fest, um die Verbindung zum neuen Administrationsserver zu schützen:
- Wählen Sie unter Verbindung zum Administrationsserver schützen den Punkt Durch Kennwort schützen auswählen.
- Wählen Sie in der Dropdown-Liste Administrationsserver die Option Von anderem Server wiederverbinden.
- Geben Sie im Feld Aktuelles Kennwort das Kennwort ein, das für die Verbindung zum zuvor verwendeten vertrauenswürdigen Server festgelegt wurde.
- Legen Sie im Feld Neues Kennwort ein Kennwort für die Verbindung zum neuen Administrationsserver fest und bestätigen Sie das Kennwort.
Falls Sie das Kennwort vergessen sollten, können Sie es mithilfe einer Aufgabe ändern.
Schritt 3: Das Benutzerkonto zur Ausführung der Aufgabe auswählen
Wählen Sie den Punkt Standardbenutzerkonto. Standardmäßig führt Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (SYSTEM) aus.
Schritt 4. Zeitplan des Aufgabenstarts anpassen
Wählen Sie unter Start nach Zeitplan den Punkt Manuell auswählen.
Schritt 5. Aufgabennamen festlegen
Geben Sie einen Aufgabennamen ein, z. B. Kennwort für Verbindung mit Hauptserver.
Schritt 6. Erstellung der Aufgabe abschließen
Schließen Sie den Assistenten ab. Aktivieren Sie das Kontrollkästchen Aufgabe nach Abschluss des Assistenten starten oder starten Sie die Aufgabe manuell. Den Fortschritt der Aufgabenausführung können Sie in den Aufgabeneigenschaften verfolgen.
So legen Sie in Web Console und Cloud Console ein neues Kennwort für die Wiederverbindung mit einem neuen Server fest
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Aufgaben aus.
Die Aufgabenliste wird geöffnet.
- Klicken Sie auf Hinzufügen.
Der Assistent für neue Aufgaben wird gestartet.
- Passen Sie die Einstellungen der Aufgabe an:
- Wählen Sie in der Dropdown-Liste Programm den Punkt Kaspersky Endpoint Security für Windows (12.6) aus.
- Wählen Sie in der Dropdown-Liste Aufgabentyp die Option Verbindung zum Administrationsserver schützen.
- Geben Sie im Feld Aufgabenname eine kurze Beschreibung ein, beispielsweise Kennwort für Verbindung mit Hauptserver.
- Wählen Sie im Block Geräte auswählen, denen die Aufgabe zugewiesen wird den Gültigkeitsbereich der Aufgabe aus.
- Wählen Sie die Geräte aus. Berücksichtigen Sie dabei die ausgewählte Variante für den Gültigkeitsbereich der Aufgabe. Weiter zum nächsten Schritt
- Wählen Sie ein standardmäßiges Benutzerkonto aus. Standardmäßig führt Kaspersky Endpoint Security die Aufgabe unter dem Systembenutzerkonto (SYSTEM) aus.
- Schließen Sie den Assistenten ab.
Die neue Aufgabe wird in der Aufgabenliste angezeigt.
- Klicken Sie auf die Kaspersky Endpoint Security-Aufgabe Verbindung zum Administrationsserver schützen.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie unter Verbindung zum Administrationsserver schützen den Punkt Durch Kennwort schützen auswählen.
- Wählen Sie in der Dropdown-Liste Verbindung zum Administrationsserver die Option Von anderem Server wiederverbinden.
- Geben Sie im Feld Aktuelles Kennwort das Kennwort ein, das für die Verbindung zum zuvor verwendeten vertrauenswürdigen Server festgelegt wurde.
- Legen Sie im Feld Neues Kennwort ein Kennwort für die Verbindung zum neuen Administrationsserver fest und bestätigen Sie das Kennwort.
Falls Sie das Kennwort vergessen sollten, können Sie es mithilfe einer Aufgabe ändern.
- Speichern Sie die vorgenommenen Änderungen.
- Aktivieren Sie das Kontrollkästchen neben der Aufgabe.
- Klicken Sie auf Starten.
Sie können den Aufgabenstatus und die Anzahl der Geräte, auf denen die Aufgabe erfolgreich ausgeführt wurde oder fehlgeschlagen ist, einsehen.
Stellen Sie nach Abschluss der Aufgabe sicher, dass der Computer in der Konsole des neuen [KSC2]-Servers den Status OK 
hat. Testen Sie, ob Sie per Fernzugriff Aufgaben ausführen und die App mithilfe von Richtlinien konfigurieren können.
Kennwort für die Verbindung zum Administrationsserver zurücksetzen
Wenn Sie das Kennwort für die Verbindung zum Administrationsserver vergessen haben oder das Kennwort kompromittiert ist, können Sie das Kennwort in den Aufgabeneigenschaften zurücksetzen. Sie können das Kennwort auch zurücksetzen und ein neues Kennwort für eine Gruppe von Computern festlegen, die unterschiedliche Schutzstatusvarianten für die Verbindung zum Administrationsserver haben. Wenn der Schutz für einige Computer aktiviert und für einige deaktiviert ist, legt die Aufgabe in diesem Fall ein Kennwort für alle Computer fest.
Sie können das Kennwort für die Verbindung zum Administrationsserver nur in der Konsole des Servers zurücksetzen, mit dem der Computer verbunden ist.
So setzen Sie das Kennwort für die Verbindung zum Administrationsserver über die Verwaltungskonsole (MMC) zurück
- Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
- Wählen Sie in der Konsolenstruktur den Punkt Aufgaben aus.
- Wählen Sie die Aufgabe Verbindung zum Administrationsserver schützen aus und öffnen Sie durch Doppelklick das Fenster mit den Aufgabeneigenschaften.
- Wählen Sie im Eigenschaftenfenster der Aufgabe den Abschnitt Einstellungen aus.
- Wählen Sie unter Verbindung zum Administrationsserver schützen den Punkt Schützen und Kennwort ändern auswählen.
- Legen Sie im Feld Kennwort für die Verbindung zum Administrationsserver ein neues Kennwort für die Verbindung zum aktuellen vertrauenswürdigen Server fest und bestätigen Sie das Kennwort.
- Speichern Sie die vorgenommenen Änderungen.
- Führen Sie die Aufgabe aus.
So setzen Sie das Kennwort für die Verbindung zum Administrationsserver über Web Console oder Cloud Console zurück
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Aufgaben aus.
Die Aufgabenliste wird geöffnet.
- Klicken Sie auf die Kaspersky Endpoint Security-Aufgabe Verbindung zum Administrationsserver schützen.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie unter Verbindung zum Administrationsserver schützen den Punkt Schützen und Kennwort ändern auswählen.
- Legen Sie im Feld Kennwort ein neues Kennwort für die Verbindung zum aktuellen vertrauenswürdigen Server fest und bestätigen Sie das Kennwort.
- Speichern Sie die vorgenommenen Änderungen.
- Aktivieren Sie das Kontrollkästchen neben der Aufgabe.
- Klicken Sie auf Starten.
Dies hat zur Folge, dass das Kennwort für die Verbindung zum Administrationsserver nach Abschluss der Aufgabe zurückgesetzt wird.
Schutz der Verbindung zum Administrationsserver deaktivieren
Sie können den Schutz für die Verbindung zum Administrationsserver nur in der Konsole des Servers, mit dem der Computer verbunden ist, per Fernzugriff deaktivieren. Sie können den Schutz auch lokal über die Befehlszeile deaktivieren.
So deaktivieren Sie den Schutz der Serververbindung über die Verwaltungskonsole (MMC)
- Öffnen Sie die Verwaltungskonsole von Kaspersky Security Center.
- Wählen Sie in der Konsolenstruktur den Punkt Aufgaben aus.
- Wählen Sie die Aufgabe Verbindung zum Administrationsserver schützen aus und öffnen Sie durch Doppelklick das Fenster mit den Aufgabeneigenschaften.
- Wählen Sie im Eigenschaftenfenster der Aufgabe den Abschnitt Einstellungen aus.
- Wählen Sie unter Verbindung zum Administrationsserver schützen den Punkt Nicht schützen auswählen.
- Speichern Sie die vorgenommenen Änderungen.
- Führen Sie die Aufgabe aus.
Sie können den Aufgabenstatus und die Anzahl der Geräte, auf denen die Aufgabe erfolgreich ausgeführt wurde oder fehlgeschlagen ist, einsehen.
So deaktivieren Sie den Schutz der Serververbindung über Web Console oder Cloud Console
- Wählen Sie im „Web Console“-Hauptfenster den Punkt Geräte → Aufgaben aus.
Die Aufgabenliste wird geöffnet.
- Klicken Sie auf die Kaspersky Endpoint Security-Aufgabe Verbindung zum Administrationsserver schützen.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
- Wählen Sie die Registerkarte Programmeinstellungen aus.
- Wählen Sie unter Verbindung zum Administrationsserver schützen den Punkt Nicht schützen auswählen.
- Speichern Sie die vorgenommenen Änderungen.
- Aktivieren Sie das Kontrollkästchen neben der Aufgabe.
- Klicken Sie auf Starten.
Sie können den Aufgabenstatus und die Anzahl der Geräte, auf denen die Aufgabe erfolgreich ausgeführt wurde oder fehlgeschlagen ist, einsehen.
So deaktivieren Sie den Schutz für die Serververbindung über die Befehlszeile
- Starten Sie den Befehlszeileninterpreter cmd als Administrator.
- Wechseln Sie zu dem Ordner, in dem sich die ausführbare Datei von Kaspersky Endpoint Security befindet.
- Führen Sie den folgenden Befehl aus:
avp.com SERVERBINDINGDISABLE [/password=<Kennwort>]
wobei <Kennwort> das Kennwort des Benutzerkontos KLAdmin ist oder das Kennwort aus der Aufgabe Verbindung zum Administrationsserver schützen. Wenn der Parameter nicht angegeben ist, werden Sie von Kaspersky Endpoint Security aufgefordert, in der nächsten Zeile ein Kennwort einzugeben.
Damit der Befehl ausgeführt werden kann, muss der Kennwortschutz aktiviert sein.
Beispiel:
avp.com SERVERBINDINGDISABLE /password=!Password1
|