Application Control 6.2 已知问题
技术文章 ID:
KB76457
上次修改时间: 2021-01-27 09:30:17 Etc/GMT
上次修改时间: 2021-01-27 09:30:17 Etc/GMT
环境
McAfee Application Control (MAC) 6.2
摘要
本文包含有关本版产品中未解决的中高评级已知问题的重要信息。 如果在发行后发现新的问题,或者如果有其他信息可用,将更新本文。 要阅读发行说明,请参阅: PD25626。
MAC 6.2 目前已进入 RTS 阶段。请参阅 KB51560 了解有关发行周期的详细信息。
托管发布 (RTS):2015 年 3 月 5 日
全球发布 (RTW):TBA
已知问题
严重问题:目前尚无已知的严重问题。
非严重问题:
Solidcore 扩展:
参考 | 文章 | 说明 |
608618 | 问题:有时,当您在 Microsoft Internet Explorer (IE) 中尝试将 Windows Solidcore Agent 部署包(约 100 MB)上传到 ePolicy Orchestrator (ePO) 时,如果网络上传速度很慢,文件上传可能就会超时。 解决方法:如果此错误出现在 IE 6 中,请尝试使用 IE 7 或更高版本。如果在 IE 7 或更高版本中遇到此错误,请将 Solidcore Agent 部署包复制到 ePO 服务器上的本地目录,打开 ePO 服务器上的浏览器窗口进入 ePO UI,然后从本地路径上载文件。然后将从 ePO 服务器上载到 ePO,这样可避免网络延迟。 |
|
607452 | 问题:卸载 Solidcore 扩展后,ePO 4.6 报告和信息显示板条目未删除。 解决方法:如果您要卸载并重新安装 Solidcore 扩展,请在卸载之后、重新安装之前手动删除报告和信息显示板。 |
|
607517 | 问题:如果报告的记录超过 50,000 条,则 PDF 报告会出现轻微的数据显示和格式问题。 | |
608347 | 问题:无论平台上启用了多少 SKU,Solidcore: 按系统显示策略分配报告都会显示从根目录获取的所有策略。 | |
609304 | 问题:无法从报告、Solidcore 事件页面导出数据。 解决方法:请使用“查询”(报告 > 查询)导出事件数据。 |
|
636769 | 问题:如果您从 ePO 5.1.0 升级到 5.1.1(或更高版本),“Solidcore 事件”表中的现有 Solidcore 事件不会迁移到“ePO 事件”表中。 | |
636352 | 问题:删除 Solidcore 扩展后,所有与 Solidcore 相关的事件都保留在 ePO 表中。当您查看威胁事件日志中的事件时,有些字段可能会显示垃圾数据。 | |
607554 | 问题:由于确定按钮处于禁用状态,无法使用策略详细信息页面复制 Solidcore 策略。 解决方法:请使用策略目录页面来复制策略。 |
|
643854 | 问题:在 ePO 4.6 控制台上使用引导式配置页面时,对 Solidcore 策略进行更改期间无法启用保存策略按钮。 解决方法:请使用“策略目录”而不是“引导式配置”来编辑策略。 |
|
608374 | 问题:在尝试启用已启用的 Solidcore Agent 时,显示的错误未翻译。 | |
607908 | 问题:无法从任何表格或报告中导出 50,000 条以上记录。 | |
608025 | 问题:即使 SKU 的许可证并未添加到系统中,仍会列出所有 SKU 的报告、任务和策略。 | |
609911 | 问题:无法从 ePO 服务器上打开的 IE 中导出规则组。 解决方法:在另一台计算机上使用 IE 来导出规则组。 |
|
610303 | 问题:如果使用 Mozilla Firefox 3.0 版,ePO 中的“服务器任务”页面可能无法正常工作。 解决方法:如果遇到问题,Intel Security 建议您使用 Mozilla Firefox 3.6(或更高版本)或 IE 6.0(或更高版本)。 |
|
608753 | 问题:如果客户端系统是 AD 域的一部分,有些情况下无法使用 ePO 中报告的事件的用户名字段作为受信任的用户。这是因为事件中报告的域名不是完整的 AD 域。 解决方法:使用 AD 客户端的环境变量 USERDNSDOMAIN 作为域名。或者,查看我的电脑图标的属性,确定可指定为受信任用户的完整用户名。 |
|
608759 | 问题:如果 ePO 安装在日文版 Windows 中,并且生成的 HTML 文件名包含数字,则将信息显示板数据导出为 HTML 格式时会失败。 | |
609220 | 问题:保存作为 McAfee Default 策略副本的 Application Control 策略的速度非常慢。 解决方法:由于 Application Control 策略是多插槽策略,Intel Security 建议您创建新的空白策略并将新规则添加到其中,而不要复制和修改 McAfee Default 策略。 |
|
656518 | 问题:如果您在现有 ePO 4.5 系统上安装 Solidcore 5.1.2 扩展,然后升级至 ePO 4.6 版 FIPS 模式,事件解析器将停止工作。 解决方法:运行以下命令升级所需的 DLL:https://<ePO IP 地址:端口>/remote/scor.upgradeEventParser.do |
|
607950 | 问题:只有当端点重新启动后才能在端点上解析策略中用户定义的系统变量。 | |
707486 | 问题:使用 ePO 4.6 控制台时,通过事件和清单页面快速导航会将用户注销。 | |
714176 | 问题:对于 ePO 4.6 补丁 1 或补丁 2,如果创建“运行命令”客户端任务时在该任务中添加多个命令,稍后将无法从保存的该客户端任务中删除这些命令。 | |
719796 |
问题:不支持对 Active Directory (AD) 组进行全局目录搜索。
解决方法:不要使用“全局目录”,而是在特定的 AD 服务器中搜索组。 添加特定的组:
|
|
722045 | 问题:通过单击操作、选择列、不合规的 Solidcore Agent 为端点添加新列(例如 Solidcore 状态和固定状态),部分端点的值可能不会显示。这是因为“不合规的 Solidcore Agent”部分只包含不合规的代理属性。 解决方法:为端点添加新列时,请单击操作、选择列、Solidcore 客户端属性,而不要单击“操作”、“选择列”、“不合规的 Solidcore Agent”。 |
|
812003 | 问题:自批准页面会针对基于 .MSI 的应用程序显示链接,当深入浏览该链接时,将会显示一个空列表。 | |
890978 | 问题:卸载 Solidcore 扩展后,未从 ePO 中删除 GTI 云服务器条目。 | |
926122 | 问题:在“映像偏差”页面中,导出的文件缺少“文件偏差”详细信息。 | |
950063 | 问题:少数字符串未以英文以外的其他语言正确本地化。 | |
1033281 |
|
问题:从 Solidcore 扩展 6.1.2 之前的版本执行升级期间,重新启动该扩展之后,升级到 6.2.0 可能会立即失败。 |
985336 |
|
问题:如果使用 Mozilla Firefox 3.5 版,ePO 中的事件页面可能无法正常工作。 解决方法:如果遇到问题,Intel Security 建议您使用 Mozilla Firefox 3.6(或更高版本)或 IE 6.0(或更高版本)。 |
939528 |
|
问题:具有大型清单的计算机无法将清单数据发送到 ePO 服务器,且相应的日志会在 6 小时后记录到服务器任务日志中。 |
987715 |
|
问题:对于 Application Control 选项 (Windows) 策略,从早于 6.2.0 的扩展中导入策略将会导致“清单 AEF”选项卡填入其默认值。在您进行某些更改并保存策略之后,才会保存这些默认值。 |
1043052 |
|
问题:您无法从先前版本的 Solidcore 帮助扩展升级到 6.2。 解决方法:卸载旧的帮助扩展,然后安装新扩展。 |
1050955 |
|
问题:对于 ePO 5.x,如果使用代理服务器,使用 Kerberos 身份验证进行 GTI 通信将会失败。 |
Windows(所有版本)
参考 |
文章 |
说明 |
KB79201 | 问题:对于 JAR 文件,Java 解释器能够从任何扩展运行 JAR 文件。如果将某有效的 JAR 文件重命名为使用其他扩展名的文件,仍允许执行该文件。 解决方法:请参阅知识库文章了解详细信息。 |
|
801531 |
|
问题:如果启用 Driver Verifier (verifier.exe),MAC/MCC 可能无法如预期般工作。 |
608418 |
|
问题:事件中报告的原始用户名与用户名相同。 |
600805 |
|
问题:在资源管理器中打开写保护网络共享时,会显示几个拒绝写入错误。 |
603747 |
|
问题:对于挂载了文件夹的卷,受信任、已固定和写保护的功能无法正常工作。 解决方法:如果安装程序使用挂载文件夹的卷,请联系技术支持获取帮助。 |
608036 |
|
问题:无法在远程用户/ePO 发出的命令中使用映射驱动器名称。 |
595570 |
|
问题:以下应用程序与 Solidcore Agent for Windows 不兼容。请联系技术支持获取更多帮助。
|
594579 |
|
问题:在已固定的系统上使用 MS-DOS 命令提示符无法复制未固定的脚本。由配置用于未固定脚本的脚本解析器对该脚本进行的任何读取访问均会被拒绝。此操作会生成未经授权的执行事件。使用 Windows 资源管理器执行文件操作可避免此类问题。 |
601158 |
|
问题:Runtime Control 模块使用 MP-CASP 作为默认的内存保护技术。如果您需要启用 MP-VASR,请联系技术支持。 |
608647 |
|
问题:在 64 位系统上,执行未经授权的二进制文件时可能会生成多个事件,这是因为 Windows 操作系统会多次尝试使用缩减的属性集运行二进制文件,直到最终失败。 |
608745 |
|
问题:无法固定用户已设置读保护(通过“sadmin read-protect”命令)的文件。 |
624015 |
问题:如果 64 位计算机上启用了内存保护功能,该功能会阻止安装 ActiveX。 解决方法:在 ePO 控制台上,完成以下步骤将 IE 可执行文件 (iexplore.exe) 添加至内存保护绕过列表。
|
|
643688 |
问题:如果您在启用 ActiveX 功能前尝试安装 ActiveX,并在启用 ActiveX 功能后再次尝试安装,ActiveX 可能无法正确安装。 解决方法:如果 ActiveX 安装失败,请删除端点上 <系统驱动器>\windows\downloaded program files 目录中的所有文件,并删除 temporary internet files 中的所有 .cab 文件。随后便可在端点上安装 ActiveX 控件。 |
|
602194 | 问题:包控制功能无法停止某些应用程序(例如 Gvim 和 Winrar)的安装。 | |
616147 | 问题:如果在装有 Oracle 的端点上进行独立的 Solidcore Agent 安装(即不是通过 ePO 完成的安装),必须在端点上手动运行 finetune.bat 才能应用 Oracle 特定规则。 |
|
599348 | 问题:在查看本地驱动器上的文件的属性时,系统会分别为已固定和未固定的文件生成拒绝写入和拒绝执行事件。 | |
601126 |
|
问题:将已固定的文件复制到可重写的 CD 时,尽管文件复制成功,系统仍会记录拒绝写入错误。 |
601427 |
|
问题:在 64 位平台上,子注册表项中的枚举或性能会绕过 Solidcore Agent 保护。因此,当您删除子注册表项中包含“枚举”或“性能”的写保护注册表项时,删除操作可能只能完成一部分。 |
616089 |
|
问题:在 sadmin diag 命令的西班牙区域设置输出中,将“actualizadores agregar”解读为“updaters add”。 例如,下列输出: * actualizadores agregar -t DIAG: cmd.exe -p explorer.exe ""cmd.exe"" 应该理解为:* updaters add -t DIAG: cmd.exe -p explorer.exe ""cmd.exe"" |
600748 |
|
问题:系统可能会对单个拒绝写入操作生成多个拒绝写入事件。 示例:在使用 Windows 资源管理器删除文件时,系统报告的文件删除事件多达 8 个。这是因为当应用程序拒绝删除文件时,Windows 资源管理器会尝试多种其他方法以删除文件,从而导致为每次尝试都生成了事件。 |
695246 |
|
问题:尽管 Solidcore NX 保护基于系统 DEP,某些应用程序可与系统 DEP 配合使用,但无法与 Solidcore NX 配合使用。在此类情况下,如果将进程添加到 Solidcore NX 绕过列表,则会启用进程的系统 DEP 保护。 |
720663 |
|
问题:在 Application Control 策略中为现有的受信任发布程序编辑更新程序标签失败。尽管 ePO 控制台中的标签更改,但更改未在端点上反映出来。 |
713989 |
|
问题:如果 Application Control 和 Spector 安装在一个端点上,并启用了 MP-CASP,IE 将会崩溃。 |
652602 |
|
问题:如果您在任何 Windows(64 位)操作系统上禁用了 deny-exec-exes 功能,当您将某个 exe 的扩展名更改为 .sys 并尝试运行该 .sys 文件时,系统将阻止您执行该 .sys 文件。或者,如果您将文件扩展名更改为 dll,即使启用 deny-exex-dlls 功能,您也能运行文件。 |
607574 |
|
问题:打开网络共享(对于运行 Windows Vista、Windows 7、Windows 2008 的系统)时,系统会为网络共享上的二进制文件生成拒绝写入和拒绝执行事件。出现此问题是因为 Windows 资源管理器尝试为网络共享上存储的文件提取图标。 |
768708 |
问题:无法在 attr 命令中将 fs-passthru 'p' 和 vasr forced reloc 'v' 标记与额外的信息标记 'o' 一起设置。 |
|
770362 |
问题:无法将多个 dll 设置成绕过 VASR forced reloc。 |
|
794445 |
问题:使用另一个批处理文件复制固定的批处理文件失败。 | |
803731 |
问题:禁用网络跟踪后,自批准功能对网络共享不起作用。 |
|
803948 |
问题:如果在 64 位体系结构上禁用网络跟踪,系统会对脚本文件报告拒绝执行事件。 |
|
808857 |
问题:如果文件打开时标注了执行标记,那么即使文件实际并未执行,自批准弹出窗口也会显示。 |
|
808964 |
问题:如果通过自批准允许,不会正确添加用于更改文件进程的身份验证规则。 |
|
812964 |
问题:如果删除证书规则的更新程序标记,证书在端点上仍会列为更新程序。 |
|
816108 | 问题:从网络共享运行通过校验和授权的文件时,执行被拒绝。 | |
810072 | 问题:在启用自批准的情况下运行 16 位可执行文件时,文件类型列为脚本。 | |
819876 | 问题:当通过按校验和授权将更新程序配置为更新程序时,进程无法运行。 解决方法:按名称将进程配置为更新程序。 |
|
888634 |
|
问题:pkg-ctrl-allow-uninstall 启用后,无法将 Adobe Flash Player 卸载干净。 解决方法:sadmin updaters add "C: \WINDOWS\system32\Macromed\Flash\FlashUtil32_11_6_602_180_ActiveX.exe"。 |
888632 |
|
问题:修复 .NET 3.5 失败。 解决方法:添加以下更新程序规则:
|
885091 |
|
问题:无法通过更新程序安装 Visual Studio 2010 Ultimate。 解决方法:请参阅知识库文章了解详细信息。 |
887965 |
|
问题:即使 pkg-ctrl-allow-uninstallation 功能已禁用,也不会阻止卸载应用程序。 解决方法:每次安装应用程序后都运行 sadmin clg 命令以阻止卸载。此命令会从系统中清除所有高速缓存的 GUID。 |
888878 |
|
问题:卸载或修复 Visual Studio 2010 时,您会看到多个包控制预防事件。 解决方法:将“<安装目录>\Microsoft SDKs\Windows\v7.0A\Bin”添加至受信任的路径:“sadmin trusted -u "<安装目录>\Microsoft SDKs\Windows\v7.0A\Bin”。 |
884396 |
|
问题:当 pkg-ctrl-bypass 功能已启用时,您无法安装 Adobe Flash Player 11。 解决方法:sadmin updaters add InstallAX_11_6_602_180.exe。 |
883381 |
|
问题:针对用户会话的“自批准”弹出窗口显示在控制台会话上,而不是用户会话上。 解决方法:从命令行运行以下 Solidcore 命令: sc config AeLookupSvc type= own |
915562 |
KB79517 | 问题:在观察模式下,将 McAfee Solidifer 6.1.1 升级到 6.1.2 失败。 解决方法:请参阅知识库文章了解详细信息。 |
910080 |
|
问题:如果某应用程序的卸载字符串中包含 ctor.dll,随后另一个应用程序使用 ctor.dll,则在 pkg-ctrl-allow-uninstall 已禁用的情况下,将不会安装 Package Control。 解决方法:针对此包控制模式 1 问题的解决方法是,用户可以使用完整路径(例如,C:\Program Files (x86)\Common Files\InstallShield\Professional\RunTime\11\50\Intel32\ctor.dll)将 ctor.dll 设成更新程序。有关包控制模式的信息,请参阅 PD24669。 |
916640 |
|
问题:删除跳跃列表 -v 标记之后,如果不重新启动,则不会对驱动器跳过“拒绝执行”。 解决方法:需要重新启动才会正常运作。 |
910485 |
KB79658 | 问题:对于 Package Control,如果为特定用户安装某应用程序,使用“添加/删除程序”卸载该应用程序将会失败。 解决方法:请参阅知识库文章了解详细信息。 |
901147 |
|
问题:安装程序 (Auto-IT) 起初显示为脚本类型,但在复制到其他位置后显示为 pe32-exe。 |
911678 |
|
问题:如果 Visual Studio 2010 Ultimate 是在更新模式下安装的,则 Package Control 无法进行修复。 |
903914 |
|
问题:通过双击运行某些标记为更新程序的可执行文件时,会显示“文件写入被拒绝”事件。 |
919300 |
|
问题:如果在本地安装为网络共享的本地共享上执行“受信任的路径”操作,该操作将会失败。 |
923302 |
|
问题:在启用模式下,对于最初列入白名单后复制到系统上的文件,将会生成多个观察。 |
920568 |
KB79987 | 问题:端点升级后,ePO 服务器和 McTray 关于框中的升级版本未更新。 解决方法:请参阅知识库文章了解详细信息。 |
941675 |
问题:升级时,对跳跃列表和脚本授权的预定义规则的任何修改都不会应用。 | |
940286 |
|
问题:在 MAC 升级期间,生成 Pkg-modification-prevented 事件。 |
948349 |
|
问题:从网络下载文件后,当执行 putty.exe 完成时,针对该进程的“自批准”弹出窗口记录多个拒绝写入事件。 |
961454 |
|
问题:即使安装了更新版本并替换了新版本中的一些 .DLL 文件,系统仍会运行较旧版本的部署任务。 |
940085 | KB73484 | 问题:McAfee Application Control 和 SafeNet ProtectFile 之间存在已知的不兼容:文件加密和保护软件。 |
1045046 |
|
问题:如果在计算机上安装众多驱动程序且您尝试从网络位置运行文件或从网络位置复制可执行文件,则该计算机可能会停止响应。 |
953257 |
|
问题:脚本文件可从系统上未固定的驱动器执行。 |
1020973 |
问题:Adobe32 停止使用 MPCompat。
解决方法:请使用下列其中一种解决方法来解决此问题:
|
|
1027687 |
|
问题:为端点升级到 Application Control 或 Change Control 6.2 失败。 解决方法:请参阅知识库文章了解详细信息。 |
988624 |
|
问题:Application Control 清单生成达到调节阈值限制后,可能需要 24 小时以上的时间才能恢复。 解决方法:请参阅知识库文章了解详细信息。 |
1026279 |
|
问题:将 Perl 与 Application Control 搭配运行需要其他规则。 解决方法:请参阅知识库文章了解详细信息。 |
1017933 |
|
问题:无法应用具有包含环境变量的受信任路径的 Application Control 策略。 解决方法:请参阅知识库文章了解详细信息。 |
1045414 | 问题:启动期间写入注册表时,系统事件查看器日志会记录“Microsoft-Windows-Kernel-General”错误消息。 |
Windows 8
参考 | 文章 | 说明 |
959413 | 问题:在更新或启用模式下,无法在 x86 上安装基于 MSI 的包。 | |
947775 |
|
问题:在 32 位系统上安装 Solidifier 后,Windows 的“开始”屏幕图标消失不见。 |
946092 | 问题:在具有 vsepflt 驱动程序的 Windows Embedded 8 64 位平台上,sadmin 命令可能无响应。 |
Windows XP
参考 |
文章 |
说明 |
604834 |
|
问题:在 Windows XP 平台上,仅在为卷而非文件夹创建连接时才支持 NTFS 连接点。 |
701065 |
|
问题:如果您在 Windows XP SP1 操作系统上以启用模式使用 Application Control,大部分进程都会增加虚拟内存使用率。 解决方法:升级至 Windows XP Service Pack 2。 |
793102 |
问题:如果指定了 DLL 的完整路径,DLL 重新设定基址无法正常运作。 |
|
809646 |
问题:从桌面运行非白名单二进制文件时,“自批准”弹出窗口可能会挂起。 |
Windows 2003
参考 | 文章 | 说明 |
607361 |
问题:在 64 位系统上,部分基于 Java 的应用程序可能会失败,且“事件查看器”日志显示 javaw.exe 进程被劫持。
解决方法:使用 -n 选项将 javaw.exe 添加到属性列表: sadmin attr add -n javaw.exe |
|
892432 |
|
问题:在 Windows 2003 上,Windows 更新会显示针对 .Net 文件的“拒绝执行”和“拒绝写入”事件。 解决方法:在启用继承的情况下,按名称将 Netfxupdate.exe 添加为更新程序,以成功安装 .NET 的 Windows 更新。 |
832241 |
问题:在 Windows 2003 (x64) 上,非受信任的用户可以使用 runas CLI 执行未固定的批处理文件。这是一个间歇性问题。
解决方法:使用以下命令: sc config wuauserv type= own |
Windows 2008 R2(64 位)
参考 | 文章 | 说明 |
608636 | 问题:在 Windows 2008 R2(64 位)平台上手动安装 Solidcore Agent 期间,系统会对 msiexec.exe 和 kernelbase.dll 文件显示 Windows 安装程序遇到验证错误。 解决方法:单击错误弹出窗口中的忽略一次或始终忽略以继续安装。 |
Windows 2008(64 位)
参考 | 文章 | 说明 |
609780 | 问题:在 Windows 2008(64 位)平台上,如果通过“添加/删除程序”卸载某应用程序(该应用程序最初是使用 SetupInstallFromInfSection() 函数安装的),rundll32.exe 文件将会崩溃。 |
Windows 2008/Vista(32 位和 64 位)、Windows XP/Windows 7/Windows 2008 R2(64 位)
参考 | 文章 | 说明 |
609757 | 问题:在启用模式下,如果您尝试通过资源管理器访问包含未固定文件的文件夹,系统会针对文件夹中的文件生成拒绝执行事件。 |
Windows Vista
参考 | 文章 | 说明 |
607541 | 问题:对于 Windows Vista 及更高版本的平台,Solidcore Agent 配置会将 Windows Modules Installer (TrustedInstaller.exe) 服务标记为更新程序。这样做是为了使 Windows Update 能够正常工作。即使已启用 pkg-ctrl 功能,此服务仍可安装和删除 Windows 组件。 |
相关信息
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。