Leitfaden für die Migration von KEA zu KES, für EDR (KATA)

Ab Version 12.1 enthält Kaspersky Endpoint Security für Windows einen integrierten Agenten zur Verwaltung der Komponente Kaspersky Endpoint Detection and Response als Teil der Lösung Kaspersky Anti Targeted Attack Platform. Sie benötigen Kaspersky Endpoint Agent nicht mehr als separate Anwendung, um mit EDR (KATA) zu arbeiten. Alle Funktionen von Kaspersky Endpoint Agent werden von Kaspersky Endpoint Security ausgeführt. Die Auslastung der Kaspersky Anti Targeted Attack Platform-Server bleibt gleich.

Wenn Sie Kaspersky Endpoint Security auf Computern bereitstellen, auf denen Kaspersky Endpoint Agent installiert ist, funktioniert die Lösung Kaspersky Anti Targeted Attack Platform (EDR) weiterhin mit Kaspersky Endpoint Security. Außerdem wird Kaspersky Endpoint Agent vom Computer entfernt. Das System verhält sich gleich, wenn Sie Kaspersky Endpoint Security auf Version 12.1 oder höher aktualisieren.

Kaspersky Endpoint Security ist nicht mit Kaspersky Endpoint Agent kompatibel. Sie können diese beiden Apps nicht mehr auf demselben Computer installieren.

Damit Kaspersky Endpoint Security als Teil von Endpoint Detection and Response (KATA) funktioniert, müssen die folgenden Bedingungen erfüllt sein:

• Kaspersky Anti Targeted Attack Platform Version 4.1 oder höher.
• Kaspersky Security Center Version 13.2 oder höher (einschließlich Administrationsagent) In älteren Versionen von Kaspersky Security Center kann die Funktion „Endpoint Detection and Response“ (KATA) nicht aktiviert werden.

Schritte für die Migration der Konfiguration [KES KEA] zu [KES+built-in agent] für EDR (KATA)

1. Upgrade des Verwaltungs-Plug-ins für Kaspersky Endpoint Security

   Die Komponente EDR (KATA) kann mit dem Verwaltungs-Plug-in von Kaspersky Endpoint Security Version 12.1 oder höher verwaltet werden. Je nachdem, welchen Konsolentyp von Kaspersky Security Center sie verwenden, aktualisieren Sie das Verwaltungs-Plug-in in der Verwaltungskonsole (MMC) oder das Web-Plug-in in der Web Console.

2. Migration von Richtlinien und Aufgaben

   Übertragen Sie die Einstellungen von Kaspersky Endpoint Agent nach Kaspersky Endpoint Security für Windows. Folgende Varianten stehen zur Auswahl:

   • Ein Assistent für die Migration von Kaspersky Endpoint Agent zu Kaspersky Endpoint Security. Der Assistent für die Migration von Kaspersky Endpoint Agent zu Kaspersky Endpoint Security funktioniert nur in Web Console

     So migrieren Sie Richtlinien- und Aufgabeneinstellungen von Kaspersky Endpoint Agent nach Kaspersky Endpoint Security über die Web Console

     Wählen Sie im „Web Console“-Hauptfenster den Punkt Vorgänge → Migration von Kaspersky Endpoint Agent.

     Dadurch wird der Migrations-Assistent für Richtlinien und Aufgaben ausgeführt. Folgen Sie den Anweisungen.

     Schritt 1. Migration der Richtlinien

     Der Migrationsassistent erstellt eine neue Richtlinie, die die Einstellungen der Richtlinien von Kaspersky Endpoint Security und Kaspersky Endpoint Agent zusammenführt. Wählen Sie in der Richtlinienliste jene Richtlinien von Kaspersky Endpoint Agent aus, deren Einstellungen Sie mit der Richtlinie von Kaspersky Endpoint Security zusammenführen möchten. Klicken Sie auf eine Richtlinie von Kaspersky Endpoint Agent, um die Richtlinie von Kaspersky Endpoint Security auszuwählen, mit der Sie die Einstellungen zusammenführen möchten. Stellen Sie sicher, dass Sie die korrekten Richtlinien ausgewählt haben, und gehen Sie weiter zum nächsten Schritt

     Schritt 2. Aufgabenmigration

     Der Migrations-Assistent unterstützt keine Aufgaben von EDR (KATA). Überspringen Sie diesen Schritt.

     Schritt 3. Assistent abschließen

     Schließen Sie den Assistenten ab. Beim Ausführen des Assistenten wird eine neue Kaspersky Endpoint Security-Richtlinie erstellt. Die Richtlinie führt Einstellungen Kaspersky Endpoint Security und Kaspersky Endpoint Agent zusammen. Die Richtlinie heißt <Kaspersky Endpoint Security-Richtlinienname> & <Kaspersky Endpoint Agent-Richtlinienname>. Die neue Richtlinie hat den Status Inaktiv. Um fortzufahren, ändern Sie den Status der Richtlinien von Kaspersky Endpoint Agent und Kaspersky Endpoint Security in Inaktiv und aktivieren Sie die neue zusammengeführte Richtlinie.

     Der Migrations-Assistent in Web Console überspringt die folgenden Richtlinieneinstellungen und migriert diese nicht:

     • Verbot von Einstellungsänderungen Einstellungen der Verbindung zu KATA-Servern („Schloss“).

       Die Einstellungen können standardmäßig geändert werden (das „Schloss“ ist geöffnet). Die Einstellungen werden daher nicht auf dem Computer übernommen. Sie müssen Einstellungsänderungen verbieten und das „Schloss“ verriegeln.

     • Krypto-Container.

       Wenn Sie die Zwei-Wege-Authentifizierung zur Verbindung mit Central Node-Servern verwenden, müssen Sie den Krypto-Container erneut hinzufügen.

     Da der Migrations-Assistent diese Einstellungen nicht migriert, können beim Verbinden des Computers mit Central Node-Servern Fehler auftreten. Zur Fehlerbehebung müssen Sie zu den Richtlinieneigenschaften gehen und die Verbindungseinstellungen konfigurieren.

   • Assistent für das Massenkonvertieren von standardmäßigen Richtlinien und Aufgaben Der Assistent für das Massenkonvertieren von Richtlinien und Aufgaben ist nur in der Verwaltungskonsole (MMC) verfügbar. Weitere Informationen zum Assistenten für das Massenkonvertieren von Richtlinien und Aufgaben finden Sie in der Hilfe zu Kaspersky Security Center.

   Um das korrekte Funktionieren von Kaspersky Endpoint Security auf den Servern sicherzustellen, wird empfohlen, Dateien, die für das Funktionieren von Servern wichtig sind, der vertrauenswürdigen Zone hinzuzufügen. Für SQL-Server müssen Sie MDF- und LDF-Datenbankdateien hinzufügen. Für Microsoft Exchange-Server müssen Sie CHK-, EDB-, JRS-, LOG- und JSL-Dateien hinzufügen. Sie können Masken verwenden, z. B. C:\Program Files (x86)\Microsoft SQL Server\*.mdf.

   Ausnahmen der EDR-Telemetrie werden nicht aus der Kaspersky Endpoint Agent-Richtlinie in die Kaspersky Endpoint Security-Richtlinie migriert. Kaspersky Endpoint Security verfügt über eigene Tools für Ausnahmen und vertrauenswürdige Anwendungen. Der Betrieb von Kaspersky Endpoint Security ist optimiert. Wenn einzelne EDR-Telemetrie-Ausnahmen fehlen, verursacht dies keine zusätzliche Belastung Ihres Computers im Vergleich zu Kaspersky Endpoint Agent. Kaspersky Endpoint Security verwendet Telemetrie nicht nur für EDR (KATA), sondern auch für den Betrieb der App-Schutzkomponenten. Daher ist es nicht notwendig, einzelne EDR-Telemetrie-Ausnahmen zu übertragen. Wenn Sie feststellen, das die Computerleistung sinkt, überprüfen Sie den Betrieb der App (siehe Schritt 7, Überprüfung der Leistung).

3. Lizenzierung der Funktionalität von EDR (KATA)

   Um Kaspersky Endpoint Security als Teil der Lösung Kaspersky Anti Targeted Attack Platform zu aktivieren, benötigen Sie eine separate Lizenz für das Add-on von Kaspersky Endpoint Detection and Response (KATA). Sie können den Schlüssel mithilfe der Aufgabe Schlüssel hinzufügen hinzufügen. Dadurch werden der Anwendung zwei Schlüssel hinzugefügt: Kaspersky Endpoint Security und Kaspersky Endpoint Detection and Response (KATA).

   Bei der Lizenzierung des Add-ons für Kaspersky Endpoint Detection and Response (KATA) auf Computern mit bereits aktivierten EDR Optimum- oder EDR Expert-Funktionen müssen Sie die folgenden Punkte beachten:

   • Wenn Sie eine Schlüsseldatei für die Lizenzierung von Kaspersky Endpoint Security mit EDR Optimum- oder EDR Expert-Funktionen verwenden, können Sie keinen separaten Schlüssel für das Add-on von Kaspersky Endpoint Detection and Response (KATA) hinzufügen. Sie können entweder auf die Verwendung eines Aktivierungscodes für die Lizenzierung umsteigen oder bei Ihrem Dienstanbieter eine neue Schlüsseldatei zur Aktivierung der Kaspersky Endpoint Security- und EDR-Funktionen anfordern. Für die Lizenzierung stellt der Dienstanbieter eine oder mehrere Schlüsseldateien zur Verfügung.
   • Wenn Sie eine Schlüsseldatei für die Lizenzierung von Kaspersky Endpoint Security ohne EDR Optimum- oder EDR Expert-Funktionen verwenden, können Sie einen separaten Schlüssel für das Add-on von Kaspersky Endpoint Detection and Response (KATA) hinzufügen, ohne neue Schlüsseldateien anzufordern.
   • Wenn Sie eine Aktivierungscode für die Lizenzierung verwenden, stellt der Kaspersky-Aktivierungsserver die Schlüssel automatisch neu aus und die EDR-Funktionen (KATA) werden automatisch verfügbar. In diesem Fall werden EDR Optimum und EDR Expert deaktiviert.
   • Mit Kaspersky Endpoint Security können Sie maximal zwei aktive Schlüssel hinzufügen: einen Kaspersky Endpoint Security-Schlüssel und einen Schlüssel des Typs „Add-on“. Sie können auch maximal zwei Reserveschlüssel hinzufügen. Einen Reserveschlüssel für Kaspersky Endpoint Security und einen Reserveschlüssel des Typs „Add-on“.
4. Installation und Upgrade von Kaspersky Endpoint Security

   Um die Funktionalität von EDR (KATA) während einer Installation oder eines Upgrades der App zu migrieren, sollten Sie die Aufgabe zur Remote-Installation verwenden. Beim Erstellen einer Aufgabe zur Remote-Installation müssen Sie die Komponente EDR (KATA) in den Einstellungen des Installationspakets auswählen.

   Sie können das Programm auch mit den folgenden Methoden upgraden:

   • Verwendung des Kaspersky-Update-Dienstes.
   • Lokal mithilfe des Installationsassistenten für das Programm.

   Kaspersky Endpoint Security unterstützt die automatische Komponentenauswahl, wenn ein Programm-Upgrade auf einem Computer ausgeführt wird, auf dem das Programm „Kaspersky Endpoint Agent“ installiert ist. Die automatische Komponentenauswahl ist abhängig von den Berechtigungen des Benutzerkontos, unter dem das Programm upgegradet wird.

   Wenn Sie Kaspersky Endpoint Security mithilfe der EXE- oder MSI-Datei unter dem Systemkonto (SYSTEM) upgraden, erhält Kaspersky Endpoint Security Zugriff auf die aktuellen Lizenzen für Kaspersky-Lösungen. Ist auf dem Computer Kaspersky Endpoint Agent installiert und die EDR (KATA)-Lösung aktiviert, so konfiguriert das Kaspersky Endpoint Security-Installationsprogramm automatisch die Komponentenauswahl und wählt die Komponente EDR (KATA) aus. Dadurch wechselt Kaspersky Endpoint Security zur Verwendung des integrierten Agenten und entfernt Kaspersky Endpoint Agent. Gewöhnlich wird das MSI-Installationsprogramm unter dem Systemkonto (SYSTEM) ausgeführt, wenn ein Upgrade über den Kaspersky-Update-Dienst erfolgt oder wenn ein Installationspaket über Kaspersky Security Center bereitgestellt wird.

   Wenn Sie Kaspersky Endpoint Security mithilfe einer MSI-Datei unter einem Benutzerkonto ohne Administratorrechte upgraden, hat Kaspersky Endpoint Security keinen Zugriff auf die aktuellen Lizenzen für Kaspersky-Lösungen. In diesem Fall wählt Kaspersky Endpoint Security automatisch die Komponenten aus und berücksichtigt dabei die Komponentenauswahl von Kaspersky Endpoint Agent. Anschließend wechselt Kaspersky Endpoint Security zur Verwendung des integrierten Agenten und entfernt Kaspersky Endpoint Agent.

   Kaspersky Endpoint Security unterstützt ein Upgrade ohne Neustart des Computers. Sie können den Modus für das App-Upgrade in den Richtlinieneigenschaften auswählen.

5. Überprüfung des App-Betriebs

   Falls der Computer nach der App-Installation oder dem Upgrade in der Konsole von Kaspersky Security Center den Status Kritisch anzeigt:

   • Stellen Sie sicher, dass auf dem Computer der Administrationsagent Version 13.2 oder höher installiert ist.
   • Überprüfen Sie den Betriebsstatus des integrierten Agenten anhand des Berichts über den Status der App-Komponenten. Wenn eine Komponente den Status Nicht installiert hat, installieren Sie die Komponente mithilfe der Aufgabe Auswahl der Programmkomponenten ändern. Falls eine Komponente den Status Nicht durch Lizenz abgedeckt hat, stellen Sie sicher, dass Sie die Funktionalität des integrierten Agenten aktiviert haben.
   • Vergessen Sie nicht, die Erklärung zu Kaspersky Security Network in der neuen Richtlinie für Kaspersky Endpoint Security für Windows zu akzeptieren.
6. Überprüfung der Verbindung zum Kaspersky Anti Targeted Attack Platform-Server

   Überprüfen Sie die Verbindung zum Server von Kaspersky Anti Targeted Attack Platform. Gehen Sie dazu folgendermaßen vor:

   1. Überprüfen Sie, ob Sie über ein gültiges Zertifikat verfügen.
   2. Überprüfen Sie die Einstellungen der Serververbindung.
   3. Überprüfen Sie das Ereignisprotokoll.

      Wenn eine Verbindung zum Server hergestellt wird, sendet die App das Ereignis Erfolgreiche Verbindung mit dem "Kaspersky Anti Targeted Attack Platform"-Server. Wenn es kein Ereignis über eine erfolgreiche Verbindung gibt und keine Ereignisse mit Verbindungsfehlern vorliegen, überprüfen Sie die Einstellungen der Ereignisprotokollierung und aktivieren Sie das Senden von Ereignissen für Endpoint Detection and Response (KATA).

   Der Status der Serververbindung hat keinen Einfluss auf den Computerstatus in der Kaspersky Security Center-Konsole. Wenn also keine Verbindung zum Server besteht, kann der Computer trotzdem den Status OK haben. Sehen Sie im Ereignisprotokoll nach, um die Verbindung zum Server zu überprüfen.

7. Überprüfung der Leistung

   Wenn die Leistung Ihres Computers nach der Installation oder dem Update einer Anwendung sinkt, können Sie die Datenübertragung optimieren. Gehen Sie dazu folgendermaßen vor:

   1. Deaktivieren Sie die EDR (KATA)-Komponente und überprüfen Sie, ob der Leistungsabfall auf EDR (KATA) zurückzuführen ist.
   2. Deaktivieren Sie für vertrauenswürdige Anwendungen die Telemetrie-Erfassung bei Konsoleneingabevorgängen (standardmäßig aktiviert).
   3. Fügen Sie Anwendungen, die die Computerleistung beeinträchtigen, zur Liste vertrauenswürdiger Anwendungen hinzu.
   4. Kontaktieren Sie den Technischen Support von Kaspersky. Unsere Support-Experten unterstützen Sie bei der Konfiguration der Telemetriefilterung in Kaspersky Anti Targeted Attack Platform. Dadurch wird der Datenverkehr reduziert. Wenn die Leistung Ihres Computers durch eine bestimmte Anwendung beeinträchtigt wird, fügen Sie der Anfrage das Verteilungspaket dieser Anwendung bei.