Überprüfen, ob GTI-Datei-Reputation ordnungsgemäß installiert ist und ob die Endpunkte mit dem GTI-Server kommunizieren können
Technische Artikel ID:
KB53733
Zuletzt geändert am: 2023-03-01 19:21:22 Etc/GMT
Umgebung
McAfee Global Threat Intelligence-Datei-Reputation
McAfee SaaS Endpoint Protection 6.0, 5.4
McAfee VirusScan Enterprise 8.x
Zusammenfassung
Sie sollten unbedingt darauf achten, dass Ihre Produkte immer durch die aktuellen Virenschutzdefinitionen geschützt sind. Stellen Sie mithilfe der Informationen in diesem Artikel sicher, dass Global Threat Intelligence (GTI)-Datei-Reputation aktuell und ordnungsgemäß installiert ist und dass die Endpunkte mit dem GTI-Server kommunizieren können.
Lösung
1
Testprogramm ArtemisTest.exe
Testen Sie mithilfe der kennwortgeschützten Datei ArtemisTest.zip, die an diesen Artikel angehängt ist, die GTI-Funktionen.
HINWEISE:
Nach dem Extrahieren von ArtemisTest.exe können Sie einen On-Access-Scan-Test und einen On-Demand-Scan-Test mit dieser Datei durchführen.
- On-Access-Scan-Test
- Überprüfen Sie, ob VirusScan Enterprise (VSE) oder SaaS Endpoint Protection ausgeführt wird.
- Starten Sie Windows Explorer, und navigieren Sie zu dem Ordner, der das Test-Dienstprogramm enthält.
- Doppelklicken Sie auf ArtemisTest.exe, um das Programm zu starten.
Wenn GTI-Datei-Reputation in VSE oder SaaS Endpoint Protection aktiviert ist, wird der Zugriff verweigert, und die Datei kann nicht ausgeführt werden.
- Überprüfen Sie den Inhalt des DNS-Clients über die Befehlszeile, und überprüfen Sie, ob die Testdatei an den GTI-Server weitergeleitet wurde:
- Klicken Sie auf Start und dann auf Ausführen, geben Sie cmd ein, und drücken Sie die EINGABETASTE.
- Doppelklicken Sie auf die Datei ArtemisTest.exe, um den On-Access-Scan-Test erneut durchzuführen.
- Geben Sie an der Befehlszeile ipconfig /displaydns ein, und drücken Sie die EINGABETASTE.
- On-Demand-Scan-Test
- Überprüfen Sie, ob VSE oder SaaS Endpoint Protection ausgeführt wird.
- Starten Sie Windows Explorer, und navigieren Sie zu dem Ordner, der das Test-Dienstprogramm enthält.
- Klicken Sie auf Start, auf Programme und dann auf McAfee.
- Klicken Sie auf On-Demand-Scan und dann auf Start.
Wenn GTI ordnungsgemäß ausgeführt wird, wird im Dialogfeld Nachrichten vom Scannen bei Zugriff angezeigt, dass ArtemisTest.exe erkannt wurde. Je nach den konfigurierten Einstellungen wird das Installationsüberprüfungsprogramm gelöscht oder als Malware in Quarantäne verschoben.
HINWEIS: ArtemisTest.exe ist gutartig und öffnet nur ein Dialogfeld, das in etwa wie folgt aussieht:
Nachrichten vom Scannen bei Zugriff |
Nachricht
|
VirusScan-Warnung!
|
Name:
|
x:\Pfad\Artemistest.exe
|
Entdeckt als:
|
Artemis5DB32A316F07
|
Status: |
Gelöscht |
Lösung
2
GTI-Verbindungstest
Für die GTI-Datei-Reputation muss der Computer mit dem GTI-Server direkt über das Internet oder indirekt über einen internen GTI-Proxy-Server kommunizieren. Überprüfen Sie unbedingt, ob Ihre Endpunkte mit einem GTI-aktivierten Produkt mit dem GTI-Server kommunizieren können, damit sie immer auf dem aktuellen Stand gehalten werden.
Überprüfen Sie mithilfe von nslookup, ob der GTI-Server von Ihrem Computer erkannt wird.
- Klicken Sie auf Start und dann auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
- Geben oder fügen Sie nslookup sfqpit75pjh525siewar2dtgt5.avts.mcafee.com ein, und drücken Sie die EINGABETASTE.
Die daraufhin angezeigte Antwort sieht etwa wie folgt aus:
Server: <mylocaldnsserver.org>
Adresse: 161.69.135.201
Name: 4z9p5tjmcbnblehp4557z1d136.avts.mcafee.com
Adresse: 127.0.0.8
Beispiel für eine fehlgeschlagene Verbindung:
Verwendeter Befehl:
nslookup sfqpit75pjh525siewar2dtgt5.avts.mcafee.com
Ergebnis:
Server: exampleserver.your.domain.org
Adresse: xxx.xx.xxx.xxx
*** exampleserver.your.domain.org kann sfqpit75pjh525siewar2dtgt5.avts.mss nicht finden
mcafee.com: Nicht vorhandene Domäne
McAfee-Produkte, die die VSCore-Version 14.4.0.354.17 oder höher verwenden, senden die GTI-Datei-Reputations-Anfragen an eine andere Domäne: avts.mcafee.com.
Früher verwendet: avqs.mcafee.com
Dazu gehören die folgenden:
- VirusScan Enterprise: VSE 8.8 Patch 1 und VSE 8.7 Patch 5
- Privatanwenderprodukte: Platinum und Emerald (14.5 und 15.0)
- SaaS Endpoint Protection 5.4, 6.0
- Zukünftige Produkte, die auf McAfee GTI File Reputation basieren
Alle anderen McAfee-Produkte, darunter auch GTI Proxy, senden die GTI-Datei-Reputationsabfragen weiterhin an avqs.mcafee.com.
Weitere Informationen zu Global Threat Intelligence-Verbindungen und Split-DNS finden Sie in KB53782.
Lösung
3
PDF-Suchtest
Testen Sie mithilfe der kennwortgeschützten Datei ArtemisPDF_test.pdf, die an diesen Artikel angehängt ist, die GTI-Funktionen.
HINWEISE:
Damit eine GTI-Suche nach PDF-Dateien erfolgen kann, müssen die folgenden Bedingungen erfüllt sein:
- Die VSE-Einstellung für die GTI-Datei-Reputation muss auf MITTEL oder höher eingestellt sein. Eine entsprechende Anleitung finden Sie in KB70130.
- Suchen sind auf PDF-Dateien begrenzt, die über einen Web-Browser- oder E-Mail-Client gelesen oder auf die Festplatte geschrieben wurden.
McAfee Labs hat PDF-Suchen zunächst auf die oben genannten Bedingungen eingeschränkt, um die erhöhte Anzahl an GTI-Datei-Reputations-Suchen zu untersuchen, und wird die Suchkriterien bei Bedarf erweitern.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
|