I problemi di compatibilità possono verificarsi quando applicazioni di terze parti introducono processi McAfee

Articoli tecnici ID: KB83123
Ultima modifica: 2021-11-30 19:39:57 Etc/GMT

Ambiente

McAfee Agent 5.x
McAfee Endpoint Security 10.x
Modulo McAfee Threat Intelligence Exchange per VirusScan Enterprise 1.x
McAfee VirusScan Enterprise 8.8 Aggiorna 4 hotfix 929019
McAfee VirusScan Enterprise 8.8 Aggiornamento 5 e versioni successive

Tutti i prodotti sopra McAfee utilizzano SysCore. Tutti i prodotti McAfee supportati che utilizzano SysCore ora includono un build successivo di SysCore rispetto alla versione minima di 15.3, in cui è stata introdotta la Autoprotezione.

Le applicazioni di aggancio di terze parti includono¹:

Protezione dei privilegi di Avecto
BeyondTrust

¹ L'elenco verrà aggiornato con l'identificazione di altre applicazioni di hook di terze parti.

Riepilogo

I prodotti McAfee includono meccanismi di autoprotezione per impedire manomissioni di file McAfee, cartelle, processi, voci di registro ed eseguibili. I meccanismi di autoprotezione sono necessari per fornire e mantenere un elevato livello di sicurezza e fiducia nel software, in particolare per proteggersi contro gli attacchi malware.

Alcune applicazioni software di terze parti potrebbero iniettare o "agganciare" i processi McAfee o tentare di, caricando il proprio codice (una DLL) nel processo di McAfee. Le applicazioni di terze parti potrebbero utilizzare tecniche di aggancio come mezzo per fornire ulteriori funzionalità all'utente o all'amministratore. Ma non esiste un motivo legittimo per agganciare i McAfee Servizi a livello di sistema protetti.

Mentre questo comportamento è simile a un attacco malware, dal punto di vista del fornitore di terze parti, l'applicazione di terze parti si sta comportando come previsto. Fornisce funzionalità che supportano lo scopo dell'applicazione di terze parti. I fornitori di terze parti riconoscono che non è necessario associare tutti i processi e molti forniscono un'impostazione di compatibilità che consente di escludere i processi specifici con il relativo codice.

Gli effetti dannosi possono verificarsi quando un codice di terze parti non affidabile inserisce o associa i servizi di McAfee protetti. I problemi noti includono i deadlock di sistema che richiedono remediation manuali.

Problema

I seguenti problemi possono verificarsi quando le applicazioni di terze parti non affidabili inseriscono o agganciano i servizi McAfee protetti:

Il sistema non risponde all'avvio.
Impossibile caricare il desktop Windows.
Si verifica un deadlock dopo l'installazione di McAfee Agent 5.xEndpoint Security 10.xVirusScan Enterprise 8.8 Aggiornare 4 hotfix 929019 o VirusScan Enterprise 8.8 Aggiornamento 5 e versioni successive.
Una modifica della reputazione che si verifica quando si utilizza Threat Intelligence Exchange, potrebbe causare la pulizia non riuscita di un PE in esecuzione (Portable Executable) che è stato considerato dannoso dopo l'esecuzione.
Vi sono scarse prestazioni, ad esempio un'esperienza utente lenta.

Modifica di sistema

È stato installato uno dei seguenti prodotti:

McAfee Agent 5.x
Endpoint Security 10.x
VirusScan Enterprise 8.8 Aggiorna 4 hotfix 929019
VirusScan Enterprise 8.8 Aggiornamento 5 e versioni successive
Modulo Threat Intelligence Exchange per VirusScan Enterprise 1.x

Soluzione 1

McAfee consente di considerare affidabile il certificato digitale di un prodotto di terze parti. Per informazioni e rischi associati a questa azione, consultare la soluzione 1, passaggio 2 "risolvere il problema di applicazione di terze parti (Hook)" in: KB74176-DLL di applicazioni di terze parti non firmata (ID evento 514/516/519).

Soluzione 2

Impedisci l'aggancio dei processi di McAfee consultando il fornitore di terze parti per le opzioni di configurazione disponibili.

I seguenti processi di McAfee non devono essere iniettati. Questo elenco non è all-inclusive. Utilizzare Manager attività per confermare i processi di McAfee in uso nell'ambiente di lavoro.

Processo	Percorso completo
dxlservice.exe	C:\Program Files\McAfee\Data_Exchange_Layer\bin\dxlservice.exe
dxlservicemonitor.exe	C:\Program Files\McAfee\Data_Exchange_Layer\bin\dxlservicemonitor.exe
fcag.exe	C:\Program Files\McAfee\DLP\Agent\fcag.exe
fcags.exe	C:\Program Files\McAfee\DLP\Agent\fcags.exe
fcagte.exe	C:\Program Files\McAfee\DLP\Agent\fcagte.exe
fcagswd.exe	C:\Program Files\McAfee\DLP\Agent\fcagswd.exe
fcagd.exe	C:\Program Files\McAfee\DLP\Agent\fcagd.exe
fcpst.exe	C:\Program Files\McAfee\DLP\Agent\fcpst.exe
fcagd.exe	C:\Program Files\McAfee\DLP\Agent\x86\fcagd.exe
fcpst.exe	C:\Program Files\McAfee\DLP\Agent\x86\fcpst.exe
macmnsvc.exe	C:\Program Files\McAfee\Agent\macmnsvc.exe
macompatsvc	C:\Program Files\McAfee\Agent\x86\macompatsvc.exe
masvc.exe	C:\Program Files\McAfee\Agent\masvc.exe
mcshield.exe	C:\Program Files\Common Files\McAfee\AVSolution\mcshield.exe
mctray.exe	C:\Program Files\McAfee\Agent\x86\mctray.exe
mfeatp.exe	C:\Program Files\McAfee\Endpoint Security\Adaptive Threat Protection\mfeatp.exe
mfeesp.exe	C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\mfeesp.exe
mfefire.exe	C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe
mfefw.exe	C:\Program Files\McAfee\Endpoint Security\Firewall\mfefw.exe
mfemactl.exe	C:\Program Files\McAfee\Agent\x86\mfemactl.exe
mfemms.exe	C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe
mfetp.exe	C:\Program Files\McAfee\Endpoint Security\Threat Prevention\mfetp.exe
mfevtps.exe	C:\Windows\System32\mfevtps.exe
mfewc.exe	C:\Program Files\McAfee\Endpoint Security\Web Control\mfewc.exe
TIEService.exe	C:\Program Files\McAfee\TIEM\TIEService.exe

Soluzione 3

Prodotto di terze parti: Avecto Privilege Guard

Per questo prodotto di terze parti sono disponibili tre opzioni:

Opzione 1: Aggiungere McAfee file binari all'elenco di esclusioni di Avecto Privilege Guard. Ottenuto modificando il registro di sistema sull'endpoint
Opzione 2: Aggiungere McAfee file binari all'elenco di esclusione di Avecto Privilege Guard mediante la modifica del registro di sistema utilizzando un oggetto Criteri di gruppo (GPO) policy
Opzione 3: aggiungere McAfee file binari all'elenco di esclusioni di Avecto Privilege Guard nell'estensione ePO fornita da Avecto

Nota L'opzione 2 e 3 sono in conflitto tra loro se vengono utilizzati entrambi e se le policy sono diverse.

Opzione 1: Aggiungere McAfee file binari all'elenco di esclusioni di Avecto Privilege Guard. Ottenuto modificando il registro di sistema sull'endpoint

ATTENZIONE Questo articolo contiene informazioni sull'apertura o sulla modifica del registro di sistema.

Le informazioni riportate di seguito sono destinate agli amministratori di sistema. Le modifiche del registro di sistema sono irreversibili e possono causare errori di sistema se non effettuate in modo adeguato.
Prima di procedere, l'assistenza tecnica consiglia di eseguire un backup del registro e di acquisire informazioni sulle modalità di ripristino. Per ulteriori informazioni, consultare l'articolo informazioni sul Registro di sistema Microsoft Windows per utenti avanzati.
Non eseguire un file REG non indicato esplicitamente come file di importazione del registro autentico.

Premere Windows + R, digitare regedit, quindi fare clic su Ok.
Accedere al seguente percorso del registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Avecto\Privilege Guard Client\
Fare clic su Modifica, Nuovo, Valore multi-stringa e assegnare un nome alla nuova voce del registro di sistema DriverHookExclusions.
Fare clic con il pulsante destro del mouse DriverHookExclusions e selezionare Modificare.
Nel Dati valore , aggiungere i percorsi di file completi dalla soluzione 2.

Nota Separa i percorsi di file completi con un ritorno a capo; fare non utilizzare le virgole. I percorsi e i processi completi sono distinzione tra maiuscole e minuscole.
Fare clic su Ok.
Ripetere i passaggi da 2 a 6 per il seguente percorso del registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Avecto\Privilege Guard Client\
Riavviare il sistema.

Opzione 2: Aggiungere McAfee file binari all'elenco di esclusione di Avecto Privilege Guard mediante la modifica del registro di sistema mediante un oggetto Criteri di gruppo (GPO) policy

ATTENZIONE Questo articolo contiene informazioni sull'apertura o sulla modifica del registro di sistema.

Le informazioni riportate di seguito sono destinate agli amministratori di sistema. Le modifiche del registro di sistema sono irreversibili e possono causare errori di sistema se non effettuate in modo adeguato.
Prima di procedere, l'assistenza tecnica consiglia di eseguire un backup del registro e di acquisire informazioni sulle modalità di ripristino. Per ulteriori informazioni, consultare l'articolo informazioni sul Registro di sistema Microsoft Windows per utenti avanzati.
Non eseguire un file REG non indicato esplicitamente come file di importazione del registro autentico.

Nella console di gestione di Avecto Privilege, passare a Configurazione del computer, Policy.
Fare clic con il pulsante destro del mouse Impostazioni di protezione dei privilegi e selezionare Impostazioni Agent avanzate.
Selezionare Valori Agent a 64 bit dal Modifica nell'elenco a discesa in basso a sinistra della finestra.
Fare clic su Aggiungi valore e assegnare un nome alla nuova voce del registro di sistema HookExclusions.
Selezionare Multi-stringa Nel Tipo colonna.
Fare doppio clic su Dati valore colonna.
Nel Dati valore , aggiungere i nomi dei processi dalla soluzione 2.

Nota Separare i nomi dei processi con un ritorno a capo; fare non utilizzare le virgole. I nomi dei processi sono maiuscole/minuscole.
Fare clic su Ok.

Questo gruppo policy viene applicato come qualsiasi altro gruppo policy. In primo luogo, la modifica viene replicata in tutti i controller di dominio. Quindi, i client cercano gli aggiornamenti policy ogni 90 minuti. In alternativa, le policy vengono aggiornate dopo un riavvio o un accesso. Per cercare manualmente gli aggiornamenti policy, eseguire gpupdate da un prompt dei comandi. Per forzare un aggiornamento di policy, indipendentemente dal fatto che le policy siano state modificate, eseguire gpupdate /force da un prompt dei comandi.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Prodotti interessati

Lingue:

Questo articolo è disponibile nelle seguenti lingue:

Knowledge Center

I problemi di compatibilità possono verificarsi quando applicazioni di terze parti introducono processi McAfee

Ambiente

Riepilogo

Problema

Modifica di sistema

Soluzione 1

Soluzione 2

Soluzione 3

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Title

Title

Knowledge Center

I problemi di compatibilità possono verificarsi quando applicazioni di terze parti introducono processi McAfee

Ambiente

Riepilogo

Problema

Modifica di sistema

Soluzione 1

Soluzione 2

Soluzione 3

Dichiarazione di non responsabilità

Prodotti interessati

Lingue:

Scegli la regione

Title

Title