Jo_Sch

Gleiches Problem hier. Dank der Info zur Problemlösung, ist der Fehler nun weg. Danke dafür :-) Ergänzend sei noch erwähnt, dass hier noch unter “Erweitert” der Anmeldenamen “KLAdmin” und das dazugehörige Passwort eingetragen werden muss.

Habe ich ausprobiert. Klappt aber dennoch nicht. Habe ein Ticket beim Support eröffnet. Ergebnis: Die neue Version 12.2 soll den Fehler beheben. Werde ich später mal testen.

Hat wunderbar funktioniert. Ich muss wohl noch eine Inventarisierung laufen lassen und irgendwo ein Häkchen setzen, dass die Daten auch an der Server übermittelt werden können. Recht herzlichen Dank für Deine Unterstützung. Josh EDIT: Jetzt wollte ich auf “Best answer” klicken und die Seite baute sich noch auf und dadurch habe ich meinen Betrag erwischt. Kann ich das irgendwie korrigieren? Oder kann der Admin das machen?

Hallo zusammen! Es gab heute ein Update von unserem 3CX-Windows-Client. Dieser wurde dann vom KES11.4 bei jedem PC in der Programmkontrolle als “schwach beschränkt” eingestuft. Ich kann zwar bei jedem PC die Software manuell als “vertrauenswürdig” einstufen, aber das ist recht viel Aufwand. Aber das muss doch auch global über das KSC12 einzustellen sein. Habe das aber nicht gefunden oder halt nicht kapiert. Kann mir bitte jemand kurz unter die Arme greifen? Gruß Josh

1. Dienst "kladminserver" beenden 2. Bibliotheksdatei "klcssrv.dll" umbenennen %programfile(x86)%\Kaspersky Lab\Kaspersky Security Center\ 3. Modifizierte DLL-Datei "klcssrv" einfügen (siehe hArchiv via Download-Link unterhalb) 4. Dienst "kladminserver" restarten

Ich habe gerade mal nachgesehen. Der Fehler ist bei mir das letzte Mal am 14.8. gegen Mittag aufgetreten. Deshlab gehe ich davon aus, dass die DLL-Datei vom Support das Problem jetzt doch gelöst hat. Soll ich Dir diese Datei mal zukommen lassen?

Ich bin seit einiger Zeit mit dem Support dran. Habe eine DLL bekommen, die den Fehler nur noch ganz selten auftreten lässt. Ganz behoben ist er aber noch nicht. Der Fehler ist bei mir jetzt das letzte Mal am 14.8. aufgetreten. Vielleicht schreibst Du den Support auch mal an. Dann sehen sie, dass dieser Fehler bei mehreren Usern auftritt.

Ich muss das Thema jetzt doch nochmal aufgreifen. Zwar schicken die Richtlinien jetzt ihre Emails über die neue Adresse, aber der Administrationsserver hat noch eigene Mails, die über ihn geschickt werden. Es ist nicht der Versand von Mails über Aufgaben gemeint, bei dem man entweder die Maileinstellungen des Administrationsservers überschreiben oder übernehmen kann. Beides geht nicht. Ich habe es jetzt auch mal mit einer privaten Mailadresse ausprobiert. Geht auch nicht. Deshalb schließe ich ein Problem mit einem Zertifikat aus. Es geht nur die aktuell eingestellte Mailadresse mit einem relativ schwachen Passwort, welches ich halt austauschen möchte. Aber jeglliche Änderung an den Maileinstellungen führt zu einem Fehler. Hat noch jemand Ideen? Oder soll ich den Support mal anschreiben?

So, das Problem scheint gelöst zu sein. Die Logs kommen jetzt nicht mehr in der Fülle, wie vorher. Danke für eure Unterstützung. Gruß Jo_Sch

OK, den Testmodus habe ich nun verstanden. Aber jetztz kommt’s: Wie ich oben schon geschrieben habe, habe ich unter den Richtlinien der jeweiligen Gruppen Allgemeine Einstellungen / Benutzeroberfläche / Meldungen / Einstellungen /Programmkontrolle die beiden Häkchen in der Rubrik “In lokalem Bericht speichern” Der Programmstart wurde im Testmodus verboten Der Programmstart wurde im Testmodus erlaubtentfernt. Trotzdem kommen weiterhin zu Hauf die Logs, die ich eingangs beschrieben habe. OK, dann einfach das Modul “Programmüberwachung” deaktiviert, dann dürften die Log ja nicht mehr kommen. Weit gefehlt. Die Logs kommen weiterhin. Kann sich jemand darauf einen Reim machen? Wo kommen die ver****ten Logs her? Hier nochmal ein Beispiel: Ereignistyp: Der Programmstart wurde im Testmodus erlaubt. Objekt\Dateiname: backgroundTaskHost.exe Objekt\Dateiversion: 10.0.19041.1 (WinBuild.160101.0800) Objekt\Programmname: Microsoft® Windows® Operating System Objekt\Dateipfad: C:\Windows\System32\backgroundTaskHost.exe Objekt\Quelle: C:\Windows\System32\backgroundTaskHost.exe Objekt\Hersteller: Microsoft Corporation Objekt\Hash: <irgendeinHash> KL-Kategorie\Name: Golden Image\Operating Systems & Utilities\OS Components KL-Kategorie\Quelle: Lokale Datenbanken Regel\Kategorie: Standardmäßiges Verbot Regel\Regeltyp: Test Ausgewählte Ereignisse: Eigenschaften Programm: Kaspersky Endpoint Security für Windows (11.4.0) Version: 11.4.0.233 Gerät: Gerätename Gruppe: Gruppenname Uhrzeit: Montag, 10. August 2020 09:16:33 Aufgabe: Programmkontrolle EDIT: Habe jetzt auch unter Eigenschaften der Gruppe / Konfiguration von Ereignissen / Information / “Der Programmstart wurde im Testmodus erlaubt” auf “nicht gespeichert” gesetzt. Also kein Logging dieses Ereignisses. Trotzdem gibt es weiterhin diese Logs. Muss man den Administrationsserver einmal neu starten, damit diese Änderungen wirksam werden? Es ist wirklich zum Verzweifeln… EDIT2: Jetzt kommen die Ereignisse seit ca. 20 min. nicht mehr. Vielleicht brauchte es etwas Zeit, bis die neue Einstellung sich durchgesetzt hat?!!? Ich beobachte mal weiter.

Ja, die Meldungen kommen vom KES12. Unter In der Endpoint Richtline unter Allgemeine Einstellungen / Benutzeroberfläche / Meldungen im Unterpunkt “Programmkontrolle” ist halt bei mir “Der Programmstart wurde im Testmodus verboten/erlaubt” angehakt gewesen. Habe das jetzt mal raus gemacht. Jetzt sollten weniger Logs kommen. Die anderen Optionen überprüfe ich auch mal. Ob ich da irgendwann mal etwas zu euphorisch beim Häkchen setzen war?!?!?!!? Was ist denn überhaupt dieser Testmodus? Ich werde mir die verlinkte Anleitung mal antun. Danke dafür und auch für Deine Unterstützung, auch in dem anderen Thread. Jetzt ist auf jeden Fall Licht ins Dunkel gekommen :-)

Um die Verwirrung noch perfekter zu machen, habe ich unter Eigenschaften der jeweiligen Gruppenrichtlinie / Allgemeine Einstellungen / Benutzeroberfläche / Medlungen / E-Mail-Benachrichtigungen anpassen die Möglichkeit gefunden die Einstellungen für den Mailserver zu ändern. Jetzt kommen alle Mails vom Server auf die neue Emailadresse. Jetzt stellt sich mir natürlich die Frage, was man unter Eigenschaten des Administrationsservers / Benachrichtigung / Einstellungen überhautp einstellt. Ich vermute, dass die Einstellungen, die ich dort irgendwann mal mit der alten Mailadresse vorgenommen habe, nie funktioniert hat. Kann sich da jemand einen Reim drauf machen?

Die Logs bekomme ich hier: KSC / Administrationsserver / Ereignisse / Informative Ereignisse / Auswahl starten Dort werden halt alle (?) Programme, die auf einem Client gestartet werden im Testmodus gestartet? Die Frage ist halt, ob das immer so ist, oder ich ich da eine unglückliche Konfiguration vorgenommen habe?!!?!?! Unter 1. ist lediglich der Haken “In der Administrationsserver-DB speichern für 30 Tage” drin. Ich lasse mir bei 6 Warnungen zusätzlich Mails schicken. Unter 2. ist fast alles bei “In lokalem Bericht speichern” angehakt. Ich denke, dass hier noch etwas optimiert werden könnte. Gibt es Standardeinstellungen oder Empfehlungen? Es sind schließlich “endlos” Optionen. *puh*

Hallo zusammen! Eben ist mir aufgefallen, dass ohne Ende Info-Logs (mehrere pro Sekunde) durch die Programm-Überwachung ausgelöst werden. Ich behaupte einfach mal, dass jedes Mal wenn ein User auf einem Endgerät ein Programm startet, diese Logs erstellt werden. Und zwar nicht ein Log pro Programm, sondern 10-fach und mehr. Ist das normal oder kann man die Logeinträge irgendwie beschränken? Hier ein Beispiel: Ereignistyp: Die Komponente Programm-Überwachung wurde ausgelöst. Programm: PROGRAMMNAME / WEITEREINFOS Programm\Name: programm.exe Programm\Pfad: C:\Program Files (x86)\ORDNER Programm\Prozess-ID: 1234 Benutzer: NETZ\username (Aktiver Benutzer) Komponente: Programm-Überwachung Ergebnis\Beschreibung: Erlaubt Ergebnis\Typ: Zugriff auf Registrierung Ergebnis\Name: Services_ImagePath Ergebnis\Bedrohungsstufe: Niedrig Ergebnis\Genauigkeit: Genau Aktion: Erstellen Objekt: hklm\SYSTEM\ControlSet001\Services\Tcpip\Parameters\ImagePath Objekt\Typ: Registrierungsschlüssel Objekt\Pfad: hklm\SYSTEM\ControlSet001\Services\Tcpip\Parameters\ImagePath Objekt\Name: ImagePath Grund: Services_ImagePath

Danke für Deine Rückmeldung. Ja, der Server ist virtuell. Ich könnte also ein Snapshot machen. Habe ich noch gar nicht dran gedacht… :-/ Ich hatte bereits eine extra Emailadresse dafür erstellt. Hatte halt nicht funktioniert. Werde, wenn ich ein wenig Ruhe habe, mich darum mal kümmern. Das mit dem Zertifikat versuche ich als erstes :-)