На некоторых компьютерах тип запуска службы Kaspersky Endpoint Security Service выставляется "Вручную" [MOVED]

[ianicale]

Здравствуйте. В нашей сети используется Kaspersky Security Center 12.0.0.7734, с которого на клиентские устройства Windows 7 и 10 разворачивается Агент администрирования Kaspersky Security Center 12.0.0.7734 и Kaspersky Endpoint Security 11.3.0.773, 11.4.0.233.

На компьютерах, как с Windows 7, так и с Windows 10 тип запуска службы Kaspersky Endpoint Security Service выставляется "Вручную", при этом Kaspersky Endpoint Security как 11.3, так и 11.4 не всегда запускается после перезагрузки на некоторых компьютерах, и его можно запустить вручную. Мы пробовали ставить тип запуска службы - автоматически, но после перезагрузки она возвращается на запуск вручную. На компьютерах с более старыми версиями KES - к примеру 10.5, тип запуска данной службы выставлен “Автоматически”. 
Исходя из этого, мы предполагаем, что в KES 11.* запуск управляется агентом.

Как добиться того, чтобы KES 11.* запускался автоматически на всех управляемых компьютерах без исключения?

[altera]

Проверьте, что существует политика для Kaspersky Endpoint Security 11, распространяется и применяется на проблемных ПК. А в ней Общие параметры - Параметры программы - Запускать KES при включении компьютера (отмечен крыжиком и замок закрыт)

[ianicale]

Проверьте, что существует политика для Kaspersky Endpoint Security 11, распространяется и применяется на проблемных ПК. А в ней Общие параметры - Параметры программы - Запускать KES при включении компьютера (отмечен крыжиком и замок закрыт)

Здравствуйте. Политика применяется, галочка политикой выставлена - это отображается даже в клиенте. При этом автоматически 11.3 и 11.4 на некоторых конкретных компьютерах запускаться не хотят. После запуска вручную - видно что политика применяется и должен запускаться при включении компьютера.

 

[tyazhelnikov]

День добрый.

Проверьте действительно ли она применялась в KSC

 

[ianicale]

День добрый.

Проверьте действительно ли она применялась в KSC

 

Здравствуйте.
Да, в результатах применения политики на самом KSC компьютер фигурирует со статусом применена.
В разделе защита на сервере KSC про этот компьютер вот так:

Просто защита выключена, без пояснений. Иногда после перезагрузки запускается, иногда - нет. И так на многих компах, каждый раз разный набор машин - как на Win7, так и на Win10. Позавчера максимум не запустился на 26 из 101, вчера не запустился только на 2 машинах, а сегодня на 5. В общем пока понять не можем. KES 10.3 (в начале поста я опечатался, указав 10.5) распространяемый с этого же KSC запускается стабильно.

[tyazhelnikov]

День добрый.

Дампы на проблемных машинах не создаются? Если включить самозащиту поведение такое же?

[Chikabom]

@ianicale Привет.  Если у вас в статусе устройства стоит информация о том, что защита не включена или(и) программа безопасности не запущена, это не значит, что KES на конечном устройстве не запущен. В таком случае, проверьте сначала, что агент администрирования функционирует. ПКМ - внешние инструменты - удалённая диагностика. Если же подключиться не удалось, значит проблема в агенте, не в KES. Для начала пожалуйста проверьте, что соединение с устройством есть

[altera]

@Chikabom Там так-то у ТС скрин не только с KSC, но с интерфейса KES на клиенте, который автоматически не запустился и его пришлось запускать вручную. 

[Chikabom]

@altera К сожалению, если вы имеете ввиду первый скрин, то нельзя с уверенностью сказать, что его запустили именно вручную

[altera]

После запуска вручную - видно что политика применяется и должен запускаться при включении компьютера.

 

[Chikabom]

@altera Если KES когда то подтянул политику с KSC, а потом из-за агента администрирования не подключится к серверу администрирования, политика в этом случае всё равно применяется

[Chikabom]

Я предлагаю автору проверить, что это действительно именно из-за KES, поэтому, предложил проверить агента

[ianicale]

@ianicale Привет.  Если у вас в статусе устройства стоит информация о том, что защита не включена или(и) программа безопасности не запущена, это не значит, что KES на конечном устройстве не запущен. В таком случае, проверьте сначала, что агент администрирования функционирует. ПКМ - внешние инструменты - удалённая диагностика. Если же подключиться не удалось, значит проблема в агенте, не в KES. Для начала пожалуйста проверьте, что соединение с устройством есть

 

Да вроде работает, инфу собирает. Видно что агент запущен, а KES остановлен. Это кстати после ночи - KES просто выключился. Комп на ночь не выключался, а только блокировался.

В журнале событий последнее из интересного - успешное обновление программных модулей:
 

 

[ianicale]

День добрый.

Дампы на проблемных машинах не создаются? Если включить самозащиту поведение такое же?

Здравствуйте. На машинах запись дампов включена, защита файлов дампов и трассировки включена.
Включил политикой самозащиту, перезагрузил проблемную машину - KES не запустился. Запустил вручную - галочка Включить самозащиту в настройках KES проставилась т.е. применилась по политике.

Есть там еще рядом интересная галка - Выключить внешнее управление системными службами, она включена. В справке по ней ничего понятного не написано, но может из за нее сбрасывается тип запуска службы KES Service ?

[ianicale]

В общем я выключил опцию “Выключить внешнее управление системными службами” через политику (общие параметры-> параметры программы-> самозащита). После применения политики и запуска KES на проблемной машине, тип запуска службы Kaspersky Endpoint Security Service сам выставляется в Автоматически, до этого руками ее изменить не получалось - нет доступа. После этого сделал 5 перезагрузок - каспер запускается нормально. Эта служба запускается от имени локальной системы, может он считает это внешним управлением? Хотя агент тоже запускается от локальной системы, но всегда запускается нормально.
В политике для KES10 такая галочка тоже есть, но его служба запускается в автомате.

[ianicale]

upd. На других проблемных машинах настройка сработала аналогично. При этом тип запуска службы пользователь сменить не может, т.е. угрозы выключения KES пользователем вроде как нет. Даже под локальным и доменным администратором не меняется. Так что пока оставлю так и буду наблюдать.