[English]Kurze Frage in die Runde der Administratoren, die Windows Terminal-Server in Verbindung mit Securepoint Antivirus einsetzen. Ein Blog-Leser hat mich gestern Abend per Mail kontaktiert. Ihm sind zwei virtuelle Maschinen, die als Terminalserver fungieren, grundlos "gestorben". Der Verdacht besteht, dass es mit dem Verwendeten Securepoint Antivirus zusammen hängt, da ein Update zurückgezogen wurde.
Anzeige
Ein Nutzer berichtet Probleme
Ich habe keinen Zugriff auf das SecurePoint-Nutzerportal, und muss mich auf das stützen, was der Leser mir per Mail mitgeteilt hat. In einer sehr kurzen Nachricht schrieb mit der Leser am 18. März 2024 gegen 18:54 Uhr:
Hallo Günter,
heute sind 2 Terminalserver bei uns ohne Grund abgeraucht und fahren auch nicht wieder hoch. Waren VMs.
Das einzige was ich im Eventlog sehen konnte, war das Securepoint einen neuen Antivirus ausgerollt hat.
Mittlerweile haben sie das Update wegen Problemen auf Servern zurückgezogen.
Im Securepoint Statusportal habe ich vom 18. März 2024 nachfolgenden Eintrag gefunden, der die obige Beobachtung bestätigt.
Zum 18. März 2024 heißt es um 13:00 Uhr deutscher Zeit, dass man ein Problem mit dem Antivirus Pro Client Update v3.5.6 auf Server Betriebssystemen feststellen konnte. Daher wurde das Update pausiert, um das Verhalten zu untersuchen.
Inzwischen heißt es seit 19:56 Uhr, dass Securepoint "ein Update vorbereitet, das in den nächsten Stunden verteilt wird." Betroffene Systeme werden automatisch aktualisiert. Der Anbieter empfiehlt, Securepoint Antivirus Pro im Zusammenhang mit dem Update auf korrekte Funktion zu überprüfen.
Frage in die Runde: War jemand aus der Leserschaft betroffen? Ist das Update inzwischen ausgerollt und hat dies betroffene Systeme automatisch repariert?
Securepoint Antivirus Pro
Securepoint Antivirus Pro wird vom Anbieter als "Effektiver Malware-Schutz für Unternehmen" angeboten, der ein zentrales Management aus der Securepoint-Cloud ermöglicht. Administratoren sollen Infektionen von überall und direkt über das Online-Portal bearbeiten können. Der Anbieter wirbt mit einer ressourcenschonenden Systemarchitektur für maximale Endgeräteleistung, sowie mehrfachen Scans für eine mehrfach ausgezeichnete Erkennungsrate. Mehr Details finden sich beispielsweise in dieser Unternehmensdokumentation.
Major Release für UTM-Firewall-Software
Ergänzung: Ich kann es nicht richtig fassen – zum 18.3.2024 hat mir Securepoint noch eine kurze Info zugeschickt, dass ein umfangreiches Major Release für UTM-Firewall-Software freigegeben wurde. Die Version 12.6 enthält laut Hersteller neben einem vollständig überarbeiteten Design der Benutzeroberfläche zahlreiche neue Features. Zusätzliche Highlights des Major Release der UTM-Firewall-Software 12.6 sind:
Anzeige
- IGMP-Proxy: Ermöglicht Netzwerkadministratoren eine präzisere Steuerung und Überwachung des Multicast-Datenverkehrs zur besseren Verfügbarkeit und Qualität von Live-Video-Streams wie IPTV und interaktiven Multimedia-Diensten.
- mDNS-Repeater: Der mDNS-Repeater lässt eine nahtlose Integration von Geräten und Diensten über deren Subnetze hinweg zu, wie zum Beispiel das drahtlose Drucken per Mobiltelefon.
- Bonding über Active Backup oder LACP: Das Feature gestattet es, Schnittstellen zusammenzufassen und gemeinsam zu bearbeiten. Ziel ist eine höhere Verfügbarkeit, das Verhindern von Looping und die Kompatibilität zu fremder Hardware.
- Nutzergesteuerte E-Mail-Filter: Der nutzergesteuerte E-Mail-Filter ermöglicht eine durch den Endanwender individualisierte Kategorisierung von E-Mails. Dazu zählen zum Beispiel Rechnungen oder Newsletter.
- Clusterverwaltung mit der zentralen Managementkonsole: Über die Unified Security Console als zentrales Tool können UTM-Clustersysteme
verwaltet und komplexe Netzwerksicherheitsinfrastrukturen kontrolliert werden. Das gewährleistet die Einheitlichkeit von Sicherheitseinstellungen über verschiedene Geräte und Standorte hinweg. - Cluster-Reports in der zentralen Managementkonsole: Darüber hinaus können in der Unified Security Console Berichte zu Clustersystemen erstellt werden.
Ziel des Upgrades ist ein effizienteres UTM-Firewall-Management für IT-Dienstleister und Systemhäuser. Details finden sich hier oder hier. Dieses Major Release der UTM-Firewall-Software sollte aber nichts mit dem obigen Problem zu tun haben.
Ergänzung: Julian hat mir auf Facebook in einer privaten Nachricht noch folgendes zur Behebung des Problems geschrieben (danke dafür).
Meine Lösung war über die Eingabeaufforderung beim Starten in den Computerreparaturoptionen die Datei ntguard.sys über ren umzubenennen. Danach hat der Server sauber gestartet und der Virenschutz hat die Datei ntguard.sys neu erstellt. Seit diesem Zeitpunkt läuft der Server sauber. Die Datei liegt übrigens unter C:\windows\system32\drivers
Der gleiche Lösungsansatz wird auch nachfolgend in den Kommentaren beschrieben.
2015
Hallo,
das ist ein sehr ungewöhnliches Problem und im Forum ist, soweit ich das gesehen habe, kein Thema dazu eröffnet worden.
Die Lösung hier ist natürlich recht simpel VM aus backup oder Snapshot wiederherstellen. Da Securepoint das Update zurückgezogen hat wird die sich nicht wieder updaten.
Auf unseren VMs sind allerdings keine Probleme aufgetaucht könnte ein sehr spezieller Fall sein.
Moin,
hier laufen die VMs fehlerfrei.
Hallo Zusammen,
bei uns und unseren Kunden gab es ebenfalls keinerlei Probleme, was nicht bedeutet das da nichts gewesen wäre. Es würde mich Interessieren was genau da los war.
Mit anderen AVs hatten wir in der Vergangenheit da auch schon so unsere Erfahrungen gemacht.
Hallo zusammen,
bei uns hat es einen Exchange Server (Win2019 – Exch 2019) damit erwischt.
Der Server musste aus einem Backup wiederhergestellt werden.
Bei anderen Servern ist der GuardX Dienst nicht mehr am Starten.
Bei wieder anderen Servern ist alles in Ordnung.
Schaut nach einem stufenweisen Update aus.
Hallo Zusammen,
bei uns sind insgesamt 4 Server down gegangen. 2 x VM mit Server 2016. 1 x physikalischer Server 2016 und eine Server 2019 VM.
Endlosschleifen BSOD.
Und das Einzige was ich an den Servern sehen konnte, war das Securepoint-Update. Platten in Ordnung. Keine Windows-Updates. Nichts anderes auffälliges im Eventlog.
Alle Systeme ohne Securepoint laufen ohne Probleme.
Hallo Zusammen,
bei uns sind einige Maschinen die ein Update geladen haben Defekt bzw. wir sind am Recovern. Problem tritt erst nach Neustart mit einem Stopfehler auf: SYSTEM SERVICE EXCEPTION
Hier einige Logs von Corrupten AVs ohne Neustart. Der Dienst lässt sich nicht starten. guardx. Desweiteren sind es nicht nur RDS Server. Wir konnten bei unseren VMs durch das Monitoring die Kunden eingrenzen. Vermehrt Windows Server 2016
[19.03.2024 08:44:09.403][03D2C]alert Error opening driver (0x80070002): Das System kann die angegebene Datei nicht finden.
[19.03.2024 08:44:09.404][03D2C]alert can't init driver -> aborting 3
[19.03.2024 08:44:02.910]info Local versions (file): Updater (x86): 3.0.7 Updater (x64): 3.0.13 Product: 3.5.10 Engine: 6.3.11 VDB: 106888
[19.03.2024 08:44:06.030]info New versions (remote): Updater (x86): 2.1.14 Updater (x64): 3.0.13 Product: 3.5.10 Engine: 6.3.11 VDB: 106888
[19.03.2024 08:44:06.030]info No module needs to be updated.
[19.03.2024 08:44:06.032]warn Driver not ready. Commencing repair.
[19.03.2024 08:44:06.103]alert DiInstallDriver failed!
[19.03.2024 08:44:06.103]alert Error code: -536870654
[19.03.2024 08:44:06.103]alert Driver could not be installed. Repair failed!
[19.03.2024 08:44:06.103]info Guardxservice is not running. Starting it now.
[19.03.2024 08:44:46.299]info **** UPDATE PROCESS FINISHED ****
Hier glücklicherweise keine Probleme mit Securepoint AV auf Windows Terminal Server 2016 und 2019. Selbst wenn, wäre das natürlich höchst unschön, aber für uns kein Grund, sich von Securepoint abzuwenden. Der Laden ist sehr rege und engagiert – und mal ehrlich, wie viele Alternativen zu riesigen Security-Unternehmen, die in 5-Eyes-Staaten sitzen, gibt es schon?
Bis auf gelegentliche Fehlalarme rennt Securepoint AV weitgehend sauber – wir sind froh, mit Avast, Sophos & Co. nichts mehr am Hut haben zu müssen.
OK, vermutlich hatten wir einfach Schwein: Auf den Systemen läuft noch Version 3.4.49, das mutmaßlich problematische Update wurde also nicht ausgerollt. Bin mal auf Details gespannt.
Offenbar gibt es immer noch und weiter Probleme, gerade eben hat sich der Status wieder geändert.
Gerade mit dem Support telefoniert. Die sind hier noch an der Fehleranlyse warum einige AVs sich nicht Updaten bzw. Rollbacken lassen. In einigen Fällen soll es geholfen haben die NTGuard.sys umzubenennen und der Dienst startete. Betroffen sind derzeit nur Windows Server 2016 Maschinen.
[19.03.2024 10:52:45][10E0]alert Error opening driver (0x80070002): Das System kann die angegebene Datei nicht finden.
[19.03.2024 10:52:45][10E0]alert can't init driver -> aborting 3
Lösung vom Support:
Damit der Server wieder startet muss die ntguard.sys Datei in dem Verzeichnis "C:\Windows\System32\drivers" umbenannt werden. Danach sollte der Server wieder hochfahren.
Laut Status-Änderung ist die Ursache identifiziert und man arbeitet an einem Update. In dringenden Fällen soll an sich an den Support wenden.
Hallo zusammen,
gestern war es der Exchange und heute der PDC, selbe Umgebung…
Der Fix C:\Windows\System32\drivers\ntguard.sys -> ntguard_old.sys hat funktioniert.
Sind die Server mit SecurePoint jetzt tickende Zeitbomben?
Vergisst nicht eure lokalen Admins zu kontrollieren..
Laut Status-Update von gestern Nachmittag/Abend wird ein neues Update verteilt und die Ursache sei behoben. Man Analysiere den Vorfall weiter um so etwas in Zukunft vermeiden zu können. Falls noch was sein sollte, kann man sich an den Support wenden.
Rückmeldung eines Lesers: Seit dem 19.3.2024, Nachmittags ist wohl ein Securepoint-Update freigegeben, der das Problem fixen soll. Mitteilung des Lesers:
Wir hatten auch Server auf denen der Guard-Dienst nicht lief. Dies war nach einem Neustart behoben. Andere hingen in der BSOD-Schleife fest.
Server 2016 sollten jetzt Version 3.5.10 haben. Der Rest sollte auf 3.5.6 oder 3.4.49 sein.