Jump to content
Kaspersky Support Forum

Массовое отключение Компьютеров и Серверов через Агент

AlexeyZk

By AlexeyZk
in Kaspersky Security Center

 Share

Recommended Posts

AlexeyZk

AlexeyZk

Posted
Posted

Столкнулись с массовым отключением компьютеров и серверов...
На компьютерах установлен KES 12.8.0.505, на серверах KSWS 11.0.1.897
Отключение техники произошло одновременно, под инцидент попали так же кластер с виртуальными машинам. Так же некоторые компьютеры и сервера отключались повторно.
В логах системы удалось найти только следующие события:

Выключение операционной системы было инициализировано (принудительно=1, перезагрузка=0, PID=10560, путь="C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagent.exe"). KLAGINST::CSendShutdownSignalTimer::~CSendShutdownSignalTimer: TaskId='33a838e0-c329-4114-a686-dd545aec0902', TaskName='KLNAG_TASK_INSTALL_UPDATES'

Процесс C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagent.exe (L314-03) инициировал действие "Завершить работу" для компьютера L314-03 от имени пользователя NT AUTHORITY\СИСТЕМА по причине: Причина на перечислена
 Код причины: 0x80040000
 Тип выключения: Завершить работу
 Комментарий: Kaspersky Security Center shutdown signal.

Подобных задач на установку обновлений в KSC не создавалось, Имеются задачи на закрытие уязвимостей, но без перезагрузки. Как возможно создать задачу с завершением работы компьютера мне не понятно.

 

Tahmeed702

Tahmeed702

Posted
Posted
9 hours ago, AlexeyZk said:

Столкнулись с массовым отключением компьютеров и серверов...
На компьютерах установлен KES 12.8.0.505, на серверах KSWS 11.0.1.897
Отключение техники произошло одновременно, под инцидент попали так же кластер с виртуальными машинам. Так же некоторые компьютеры и сервера отключались повторно.
В логах системы удалось найти только следующие события:

Выключение операционной системы было инициализировано (принудительно=1, перезагрузка=0, PID=10560, путь="C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagent.exe"). KLAGINST::CSendShutdownSignalTimer::~CSendShutdownSignalTimer: TaskId='33a838e0-c329-4114-a686-dd545aec0902', TaskName='KLNAG_TASK_INSTALL_UPDATES'

Процесс C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagent.exe (L314-03) инициировал действие "Завершить работу" для компьютера L314-03 от имени пользователя NT AUTHORITY\СИСТЕМА по причине: Причина на перечислена
 Код причины: 0x80040000
 Тип выключения: Завершить работу
 Комментарий: Kaspersky Security Center shutdown signal.

Подобных задач на установку обновлений в KSC не создавалось, Имеются задачи на закрытие уязвимостей, но без перезагрузки. Как возможно создать задачу с завершением работы компьютера мне не понятно.

 

Please post in here https://forum.kaspersky.com/forum/kaspersky-security-center-198/

Demiad

Demiad

Posted
Posted

Добрый день. Проверьте ещё поведение по умолчанию в параметрах политики Агента администрирования (раздел "Управление перезагрузкой").

AlexeyZk

AlexeyZk

Posted
  • Author
Posted

Продолжение расследования:

Когда загрузил сервера и сервер Касперского, первым делом отключил задания по Закрытию уязвимостей, на которое у меня было подозрение... Была ли выставлена перезагрузка в данном задании, сейчас сказать затруднительно. Но на сколько помню - Было Без перезагрузки ПК (Принудительного выключения - пункта такого вообще там нет!)

После залез в БД касперского, задания в текущей БД с таким id уже не было.  Восстановил копию БД, там нашел данное задание с именно этим id:  TaskId='33a838e0-c329-4114-a686-dd545aec0902', TaskName='KLNAG_TASK_INSTALL_UPDATES'.

То есть задание, которое отключало компьютеры - это Закрытие уязвимостей, в котором устанавливались заплатки от Microsoft.

История дальше: Компьютеры и сервера продолжили отключаться !!! За выходные уже отключились 5 раз!!! В основном отключение происходят через несколько минут после загрузки, но иногда отключением происходят через пол дня примерно... В Логах по прежнему идет ссылка на TaskId='33a838e0-c329-4114-a686-dd545aec0902', хотя замечу, в БД  задания с таким ID уже нету!

Есть подозрение, что Агент тупо закешировал данное задание, и продолжает его упорно исполнять, а на команды сервера ему побоку...

Пока пробую удалить агентов с ПК... В понедельник буду разбираться дальше...

 

QyzgaldaQ

QyzgaldaQ

Posted
Posted
В 23.03.2025 в 22:31, AlexeyZk сказал:

Продолжение расследования:

Когда загрузил сервера и сервер Касперского, первым делом отключил задания по Закрытию уязвимостей, на которое у меня было подозрение... Была ли выставлена перезагрузка в данном задании, сейчас сказать затруднительно. Но на сколько помню - Было Без перезагрузки ПК (Принудительного выключения - пункта такого вообще там нет!)

После залез в БД касперского, задания в текущей БД с таким id уже не было.  Восстановил копию БД, там нашел данное задание с именно этим id:  TaskId='33a838e0-c329-4114-a686-dd545aec0902', TaskName='KLNAG_TASK_INSTALL_UPDATES'.

То есть задание, которое отключало компьютеры - это Закрытие уязвимостей, в котором устанавливались заплатки от Microsoft.

История дальше: Компьютеры и сервера продолжили отключаться !!! За выходные уже отключились 5 раз!!! В основном отключение происходят через несколько минут после загрузки, но иногда отключением происходят через пол дня примерно... В Логах по прежнему идет ссылка на TaskId='33a838e0-c329-4114-a686-dd545aec0902', хотя замечу, в БД  задания с таким ID уже нету!

Есть подозрение, что Агент тупо закешировал данное задание, и продолжает его упорно исполнять, а на команды сервера ему побоку...

Пока пробую удалить агентов с ПК... В понедельник буду разбираться дальше...

 

Нашли решение?

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...