ak01

There is a setting within the KSWS policy to hide the tray icon. I use that setting and do not have the kavtray.exe. Maybe that settings helps in your case as well?

Maybe it helps when you add the exact executable into the trusted applications (2nd tab beside exclusions). You could disable one component after the other to see which KES components blocks it or you could check the reports (locally at KES GUI). Normally, this gets blocked by host intrusion, which has its own exclusion or “trusted appl” categorization (however a global trusted app should also work here).

It is difficult to investigate that remotely. Maybe you start wireshark to see if and how it communicates and what comes back. It could be a firewall which blocks or ssl intercepts the connection, it could be a (transparent) http proxy or a temporary server problem (maybe a server reboot fixes it?).

maybe a MS bug (especially on servers): https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#2772

Have you tried to reboot one affected server and try an update again?

As far as I know when you shutdown win10/11, is just stops all services and just suspends (in order to boot up faster afterwards). A reboot does a real OS shutdown and startup (e.g. for windows update installation). Maybe that behavior causes that fault?

Do you have an ssl intercepting firewall or proxy? What error message is shown under “view results”?

I am not familiar with agent on Linux but TCP port 14000 is the unencrypted port, you should use 13000 (I am not sure if 14000 is still alive). see Link

Kaspersky hat auch eine Liste von Windows Updates/Fixes in seine ursprüngliche Meldung hinzugefügt: https://support.kaspersky.com/de/15819 Es sieht so aus, als ob das ein Resultat eines Sicherheitslochs (im Windows Installer) ist (aber ist nur eine Vermutung): https://www.heise.de/news/Update-wirkungslos-Zero-Day-Luecke-erlaubt-lokale-Rechteausweitung-6274893.html

lt. den M$ Infos zu dem Problem (danke FrankB) gibt es offenbar nun ein Update: Resolution: This issue was resolved in KB5007253. This update should prevent the issue from occurring again, but you might need to reinstall affected apps, if they will not open. Auf der Detailseite zu dem KB ist aber keine Info mehr, dass das Problem gelöst wäre: Vorschau vom 22. November 2021 – KB5007253 (BS-Builds 19041.1387, 19042.1387, 19043.1387 und 19044.1387) https://support.microsoft.com/de-de/topic/vorschau-vom-22-november-2021-kb5007253-bs-builds-19041-1387-19042-1387-19043-1387-und-19044-1387-d1847be9-46c1-49fc-bf56-1d469fc1b3af

I am not familiar with agent on Linux but TCP port 14000 is the unencrypted port, you should use 13000 (I am not sure if 14000 is still alive).

Which version of KES11 do you use? Only KES11.7 (the latest) is supported on win11.

Wenn ich das richitg lese, muss/will Microsoft irgendwann einen Fix liefern: https://www.heise.de/news/Nach-Microsoft-Patch-repariert-Windows-manche-Anwendungen-kaputt-6272492.html Lt. den Meldungen (auch von Kaspersky) dürfte es aber nur beim Update (z.B. von 11.6 auf 11.7) oder beim Ändern von Komponenten auftreten?! Ich haber derzeit ein paar Rechner mit dem jew. KB und derzeit läuft der Schutz dort.

When someone forwards these messages to a SIEM product, it also detects these (probably high amount of) messages (which are not always legitimate in the current implementation).

I experienced the same behavior. The same thing happens sometimes, when a computer gets turned off or is suspended (laptop), KSC shows that the computer state is “security application is not running” or “protection is disabled” for a short time (I guess until KSC recognizes that the computer is offline). It would be interesting to postpone the detection of such states in such behavior so that the message only gets logged when the state is really reached. The network agent could detect (for example) when the computer gets turned off and send that information to KSC (so that it does not detect the states “security application is not running” or “protection is disabled” for a few minutes after receipt of that information) or KSC could wait a few minutes after boot up of a computer until it logs “databases are outdated”.

normally, KSC server logs error messages (e.g. if it does not start, cannot access DB...) to microsoft eventlog into special categories (see “Applications and Services Logs”):

hast Du schon mal bei einem Client in die Ereignisse geschaut, welche Fehler er loggt, wenn er keine Lizenz bekommt? Jedes Event kann man auch per Mail verschicken (siehe KES Richtlinie), somit müsste es (theoretisch) möglich sein, eine Nachricht zu schicken, wenn ein Client keine Lizenz bekommt. z.B.:

I suggest to uninstall/reboot/install KES on these computers. KES might malfunction.

check the event log (special kaspersky categories)….

hat es Dir geholfen? Stimmen die Zahlen unter “Lizenzen” (besser) bzw. konntest Du das Problem finden, warum die Lizenz voll ist?

Hallo ich weiß nur, die saubere Variante ist Deinstallation/Neustart/Installation, vlt. hilft mal ein komplettes Entfernen des Schutzes?

normally, it takes some time (a few minutes) until the ksc (console) is useable (especially after an upgrade)

right klick on task and stop.

Hallo nach meiner Erfahrung zeigt KSC bei der jew. Lizenz alle Geräte an, sprich unter: Die Spalte “aktiv auf” zeigt bei der jew. Lizenz die tatsächliche, vergebene Zahl (anders als im Bericht) bzw. sieht man bei den Geräten in der jew. Lizenz die Computer (wenn die Gruppe = der Domainname ist, sind dies die nicht zugeordneten Rechner): Am besten wäre, durch Bereinigung der “nicht zugeordneten Geräte” (Rechner, die es nicht mehr gibt, löschen) zu schaun, dass die “aktiv auf” Anzahl immer geringer ist als die Beschränkung der Lizenz. Ansonten hilft nur ein Lizenzupgrade (mehr Computer abgedeckt).

When I start the gui, I have the same task manager entries than you (two processes, the service avp.exe and a second one, avpui.exe). What happens when you right click on the process -> properties (where are the processes located on the disk, are they all located at C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows)?