当第三方应用程序注入 McAfee 进程时，可能会发生兼容性问题

技术文章 ID: KB83123
上次修改时间: 2022-10-26 12:41:38 Etc/GMT

环境

McAfee Agent 5.x
McAfee Endpoint Security 10.x
VirusScan Enterprise 1.x
McAfee VirusScan Enterprise 8.8 更新4修补程序 929019
McAfee VirusScan Enterprise 8.8 更新5及更高版本

的 McAfee Threat Intelligence Exchange 模块以上所有 McAfee 产品都使用 SysCore。使用 SysCore 的所有受支持的 McAfee 产品现在包含版本 15.3 SysCore 的后期内部版本，其中引入了自保护功能。

第三方挂接应用程序包括¹:

Avecto 权限防护
BeyondTrust

¹ 此列表会随着其他第三方挂接应用程序的识别而更新。

摘要

McAfee 产品包括自我保护机制，可防止篡改 McAfee 文件、文件夹、进程、注册表项和可执行文件。自我保护机制需要提供和维护软件中的高级别安全性和信任，尤其是防止恶意软件攻击。

某些第三方软件应用程序可能会通过将其自身的代码（DLL）加载到 mcafee 进程中来注入或 "挂接" McAfee 进程或尝试。第三方应用程序可能会使用挂接技术作为向用户或管理员提供更多功能的手段。但是，与 McAfee 受保护的系统级服务的挂接没有任何正当的理由。

虽然此行为类似于恶意软件攻击，但从第三方供应商的角度来看，第三方应用程序的行为与预期完全一致。它提供的功能可支持第三方应用程序的用途。第三方供应商认为不需要挂接所有进程，并且许多提供的兼容性设置允许将特定进程排除在其代码中注入。

当不受信任的第三方代码注入或挂接受保护的 McAfee 服务时，可能会发生不良影响。已知问题包括需要手动补救的系统死锁。

问题

当不受信任的第三方应用程序注入或挂接受保护的 McAfee 服务时，可能会发生以下问题：

系统在启动时无响应。
无法加载 Windows 桌面。
安装 McAfee Agent 5.x 、Endpoint Security 10.x 、VirusScan Enterprise 8.8 更新4修补程序929019或 VirusScan Enterprise 8.8 更新5及更高版本后发生死锁。
使用 Threat Intelligence Exchange 时发生信誉变化，可能会导致无法清理在执行后被认为是恶意的正在运行的 PE （可移植可执行文件）。
性能较差，例如用户体验缓慢。

系统更改

已安装以下任何产品：

McAfee Agent 5.x
Endpoint Security 10.x
VirusScan Enterprise 8.8 更新4修补程序929019
VirusScan Enterprise 8.8 更新5及更高版本
VirusScan Enterprise Threat Intelligence Exchange 模块 1.x

解决方案 1

McAfee 允许您信任第三方产品的数字证书。有关与此操作相关的信息和风险，请参阅解决方案1、步骤 2 "解决第三方应用程序（挂接）问题"： KB74176-第三方应用程序 DLL 未签名（事件 ID 514/516/519）。

解决方案 2

通过咨询第三方供应商以获取可用配置选项来防止 McAfee 进程挂接。

以下 McAfee 进程不得注入。此列表并非全部包含。使用任务管理器确认您的环境中正在使用哪些 McAfee 进程。

进程	完全限定路径
dxlservice.exe	C:\Program Files\McAfee\Data_Exchange_Layer\bin\dxlservice.exe
dxlservicemonitor.exe	C:\Program Files\McAfee\Data_Exchange_Layer\bin\dxlservicemonitor.exe
fcag.exe	C:\Program Files\McAfee\DLP\Agent\fcag.exe
fcags.exe	C:\Program Files\McAfee\DLP\Agent\fcags.exe
fcagte.exe	C:\Program Files\McAfee\DLP\Agent\fcagte.exe
fcagswd.exe	C:\Program Files\McAfee\DLP\Agent\fcagswd.exe
fcagd.exe	C:\Program Files\McAfee\DLP\Agent\fcagd.exe
fcpst.exe	C:\Program Files\McAfee\DLP\Agent\fcpst.exe
fcagd.exe	C:\Program Files\McAfee\DLP\Agent\x86\fcagd.exe
fcpst.exe	C:\Program Files\McAfee\DLP\Agent\x86\fcpst.exe
macmnsvc.exe	C:\Program Files\McAfee\Agent\macmnsvc.exe
macompatsvc	C:\Program Files\McAfee\Agent\x86\macompatsvc.exe
masvc.exe	C:\Program Files\McAfee\Agent\masvc.exe
mcshield.exe	C:\Program Files\Common Files\McAfee\AVSolution\mcshield.exe
mctray.exe	C:\Program Files\McAfee\Agent\x86\mctray.exe
mfeatp.exe	C:\Program Files\McAfee\Endpoint Security\Adaptive Threat Protection\mfeatp.exe
mfeesp.exe	C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform\mfeesp.exe
mfefire.exe	C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe
mfefw.exe	C:\Program Files\McAfee\Endpoint Security\Firewall\mfefw.exe
mfemactl.exe	C:\Program Files\McAfee\Agent\x86\mfemactl.exe
mfemms.exe	C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe
mfetp.exe	C:\Program Files\McAfee\Endpoint Security\Threat Prevention\mfetp.exe
mfevtps.exe	C:\Windows\System32\mfevtps.exe
mfewc.exe	C:\Program Files\McAfee\Endpoint Security\Web Control\mfewc.exe
TIEService.exe	C:\Program Files\McAfee\TIEM\TIEService.exe

解决方案 3

第三方产品： Avecto 权限防护

此第三方产品有三个选项：

选项 1：将 McAfee 二进制文件添加到 Avecto 权限保护注入排除项列表。通过修改端点上的注册表实现
选项 2：通过使用组策略对象（GPO）策略修改注册表，将 McAfee 二进制文件添加到 Avecto 权限保护注入排除项列表
选项3：将 McAfee 二进制文件添加到 Avecto 提供的 ePO 扩展中的 Avecto 权限保护注入排除项列表

注意: 选项2和3会相互冲突，如果同时使用这两个选项，并且策略不同。

选项1： 将 McAfee 二进制文件添加到 Avecto 权限保护注入排除项列表。通过修改端点上的注册表实现

注意：： 本文包含有关打开或修改注册表的信息。

以下信息供系统管理员使用。注册表修改是不可逆的，如果执行不正确可能会导致系统故障。
执行前，技术支持强烈建议您先备份注册表并了解还原过程。有关详细信息，请参阅高级用户文章的 Microsoft Windows 注册表信息。
请不要运行未确认为真正的注册表导入文件的 REG 文件。

按 Windows + R，键入 regedit ，然后单击确定。
导航到以下注册表位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Avecto\Privilege Guard Client\
单击编辑、新建、 多个字符串值 并命名新的注册表条目 DriverHookExclusions 。
右键单击 DriverHookExclusions 并选择修改。
在 " 值数据 " 字段中，从解决方案2中添加完整的文件路径。

注意: 使用回车分隔完整文件路径; 请勿使用逗号 。完整路径和进程区分大小写。
点击OK.
对以下注册表位置重复步骤2至6：

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Avecto\Privilege Guard Client\
重新启动系统。

选项2： 通过使用组策略对象（GPO）策略修改注册表，将 McAfee 二进制文件添加到 Avecto 权限保护注入排除项列表

注意：： 本文包含有关打开或修改注册表的信息。

以下信息供系统管理员使用。注册表修改是不可逆的，如果执行不正确可能会导致系统故障。
执行前，技术支持强烈建议您先备份注册表并了解还原过程。有关详细信息，请参阅高级用户文章的 Microsoft Windows 注册表信息。
请不要运行未确认为真正的注册表导入文件的 REG 文件。

在 Avecto 权限防护管理控制台中，导航到 计算机配置、策略。
右键单击 " 权限保护设置 "，然后选择 " 高级代理设置"。
从窗口左下方的 "编辑" 下拉列表中选择64 位 Agent 值。
单击 添加值 并命名新的注册表项 HookExclusions 。
选择键入列中的多字符串。
在 " 值数据 " 列中双击。
在 " 值数据 " 字段中，添加解决方案2中的进程名称。

注意: 使用回车分隔进程名称; 请勿使用逗号 。进程名称区分大小写。
点击OK.

此组策略与任何其他组策略一样应用。首先，更改会复制到所有域控制器。然后，客户端会查找每隔90分钟的策略更新。或者，策略会在重新启动或登录后更新。要手动查找策略更新，请从命令。提示符运行 gpupdate 。要强制实施策略更新，而不管策略是否已更改，请从命令。提示符运行 gpupdate /force 。

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

语言:

此文章有以下语言版本：

Knowledge Center

当第三方应用程序注入 McAfee 进程时，可能会发生兼容性问题

环境

摘要

问题

系统更改

解决方案 1

解决方案 2

解决方案 3

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

当第三方应用程序注入 McAfee 进程时，可能会发生兼容性问题

环境

摘要

问题

系统更改

解决方案 1

解决方案 2

解决方案 3

免责声明

受影响的产品

语言:

选择您的区域

Title

Title