En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Endpoint Security (ENS) Protección adaptable frente a amenazas (ATP)
Firewall 10.x de ENS
Prevención de amenazas 10.x de ENS
Control web de ENS 10.x
Resumen
Este artículo es una lista consolidada de preguntas y respuestas habituales destinadas a usuarios que son nuevos en el producto. No obstante, puede ser de uso para todos los usuarios.
Actualizaciones recientes de este artículo
Fecha
Actualización
12 de mayo de 2022
Cambios de formato leves; no hay cambios de contenido.
4 de mayo de 2022
Se han agregado todas las secciones expandir todo/contraer.
1 de noviembre de 2021
Se han agregado las preguntas frecuentes "por qué es necesario que un sistema tenga acceso al almacén de Google Chrome para que funcione la extensión de control Web en Chrome o Edge?" en la sección "control Web".
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Contenido Haga clic para expandir la sección que desee ver:
¿Dónde puedo encontrar problemas conocidos con ENS? Para obtener una lista de los problemas conocidos con una calificación alta o media y que están pendientes con una versión determinada, consulte KB82450-Endpoint Security 10.x problemas conocidos.
¿Dónde puedo encontrar documentación de productos de ENS?
¿Dónde puedo encontrar una explicación para los mensajes de eventos de ENS?
La mensajería de eventos de ENS utiliza cadenas de lenguaje natural. Es posible que algunos eventos requieran una explicación más detallada de lo que se proporciona en la cadena de texto pequeña de un evento. Para obtener una explicación detallada de los mensajes de eventos, consulte KB85494: lista completa de ID de eventos para Endpoint Security.
¿Cómo puedo comprobar el estado del servicio ENS y de otros servicios en un sistema? Utilice el ejecutable C:\Program Files\Common Files\McAfee\SystemCore\mmsinfo.exe para comprobar el estado de los servicios de la siguiente forma. Este archivo ejecutable puede resultar útil si está utilizando una herramienta de supervisión de terceros para rastrear el estado del servicio ENS, o bien obtener un informe sobre cuántos sistemas tienen ENS en ejecución.
Nota: Para comprobar el estado de todos nuestros servicios, ejecute el comando C:\WINDOWS\system32>"C:\Program Files\Common Files\McAfee\SystemCore\mmsinfo.exe" -enum
¿Qué es el mfeensppl servicio? El mfeensppl servicio es un servicio de Lights Process (PPL) protegido. Este servicio se utiliza para el registro de con el servicio wscsvc del centro de seguridad de mfetp la Windows (WSC). El mfeensppl.exe servicio se detiene y se inicia según sea necesario. El mfeensppl.exe servicio es similar al mfefire servicio, que también se ejecuta cuando está en uso. El registro con WSC se produce cada vez que se implementan directivas en el sistema, además de cuando se reinicia el sistema. El registro con WSC se realiza a través de PPL en Windows 10 versión 1809 (actualización 2018 de octubre) y posteriores. Cuando se ejecuta el mfeensppl.exe servicio, comprueba si el sistema es compatible con la tecnología Windows 10 versión 1809 o posterior. A continuación, el servicio reacciona en consecuencia. En los sistemas que no ejecuten Windows 10 versión 1809 (y posteriores), el mfeensppl.exe servicio está presente. Tras determinar que el sistema operativo no es compatible, mfeensppl.exe sale correctamente.
¿Por qué la función de ayuda de la consola de ePO abre una página de navegador web en docs.trellix.com, en lugar de una página contextual de información de productos? Este comportamiento es el resultado de un cambio de función que comienza en ENS 10.6.0. cuando utiliza la función de ayuda haciendo clic en el signo de interrogación ("?") dentro de la consola de ePO, abre el portal de documentación (docs.trellix.com), donde puede realizar una búsqueda.
¿Cuál es la $MfeDeepRem carpeta, por ejemplo, la carpeta ubicada en C:\ raíz?
Esta carpeta la utiliza ENS ATP función de corrección mejorada. La carpeta se crea por unidad. El tamaño de la carpeta varía en función del tamaño de archivo de la unidad. Esta carpeta está protegida. Es posible que sea necesario que lo excluyan las aplicaciones que intentan acceder a archivos o carpetas que no son suyos, como el software de copia de seguridad. Se ha denegado el acceso a los intentos de acceso a la carpeta.
¿Cómo puedo determinar la versión de contenido Real Protect?
Abra la consola de ENS y vaya a la ventana acerca de. La ventana acerca de muestra la versión del contenido de Real Protect. Si desea ver la versión del contenido de Real Protect sin abrir la consola, vaya a C:\Program Files\Common Files\McAfee\Engine\content\rpstatic . El nombre de la carpeta muestra la versión del contenido. Por ejemplo, 1.1.10005.6250. la versión del contenido de real Protect no se almacena en el registro.
¿ENS puede coexistir con los productos heredados SiteAdvisor Enterprise (SAE) y VirusScan Enterprise (VSE)? No. El instalador de ENS elimina tanto SAE como VSE, independientemente de qué módulo de ENS esté seleccionado para instalarse. Para obtener más información, consulte KB86504-los productos heredados no pueden coexistir con Endpoint Security módulos.
¿Cuáles son las plataformas, los entornos y los sistemas operativos compatibles con ENS? Consulte KB82761-plataformas compatibles para Endpoint Security. En este artículo se proporciona una lista de sistemas operativos de cliente y servidor, infraestructura virtual, clientes de correo electrónico, requisitos de hardware y navegadores de Internet compatibles.
¿Son compatibles Microsoft Windows XP o Windows Server 2003? No. Ninguno es 2009 Windows punto de servicio incrustado debido a que se trata de un sistema operativo basado en XP.
¿Por qué tengo problemas de compatibilidad con las aplicaciones de software de terceros que "se enganchan" sus procesos o intentan, cargando su propio código (una DLL) en el proceso?
Nuestros productos incluyen mecanismos de autoprotección para evitar la manipulación de nuestros archivos, carpetas, procesos, entradas de registro y ejecutables. Los mecanismos de autoprotección son necesarios para proporcionar y mantener un nivel elevado de seguridad y confianza en el software, sobre todo para protegerse de ataques de malware. Para obtener más información, consulte KB83123-se pueden producir problemas de compatibilidad cuando las aplicaciones de terceros inyectan nuestros procesos.
¿Por qué ENS bloqueo de System Information Reporter (SIR) a través de la restauración de claves de registro? La restauración del registro de SIR falla en los registros protegidos con ENS, ya que una regla de ENS Self-Protection lo está bloqueando. Para resolver este problema, realice una de las acciones siguientes:
Conecte a AAC y añada la regla de permiso excepcional para regedit.
No utilice regedit y actualice su aplicación para realizar directamente los cambios en el registro.
¿Dónde puedo encontrar la lista de software de terceros que utiliza ENS? En un equipo en el que se despliega ENS, la lista de software de terceros que utiliza ENS se encuentra en el siguiente archivo:
¿Cómo se publican las versiones de ENS para Windows empaquetadas? En 2020 y posteriores, ENS solo proporciona .MSI paquetes para versiones estándar principales, secundarias y de actualización. 1 esta decisión se basa en los comentarios de los clientes relacionados con la necesidad de reducir la complejidad y el despliegue.
Este tipo de paquete único realiza lo siguiente:
Instalación de ENS en sistemas nuevos
Ampliación de instalaciones existentes de ENS
para implementarestos paquetes para ampliaciones de ENS, los clientes deben utilizar una tarea de despliegue de productos de instalación y ya no necesitan utilizar una tarea de actualización.
1 Esta decisión no se aplica a la entrega y el formato de la hotfix de ENS actual, lo cual permanece inalterado. Se puede utilizar una tarea de actualización para aplicarla.
¿Existen diferentes módulos (por ejemplo, Control web y Prevención de amenazas), que se originan en paquetes de origen diferentes (por ejemplo, la actualización de febrero y la actualización de abril), se instalan en un solo sistema concreto.
Todos los módulos de ENS instalados en un sistema deben proceder del mismo paquete de origen, evitando así una mezcla y correspondencia de los componentes o módulos instalados.
¿Cuáles son las opciones de instalación de ENS gestionadas?
Existen dos opciones de administración: ePO y ePO Cloud. Las principales diferencias en la administración de los dos entornos son las siguientes:
ePO: los administradores instalan los componentes del producto en el servidor de administración. a continuación, suelen configurar las opciones de función (directivas) y desplegar el software cliente en varios sistemas gestionados mediante tareas de despliegue.
ePO Cloud-nosotros u otro proveedor de servicios configura cada cuenta de ePO Cloud en un servidor de administración fuera del sitio. A continuación, notifica al administrador local cuando los productos están listos para instalarse en los sistemas gestionados. A continuación, los administradores locales suelen crear una URL de instalación y enviarla a los usuarios para su instalación en los sistemas locales.
¿Cómo se realiza la migración desde una versión de evaluación de ENS a una versión con licencia?
En primer lugar, debe desinstalar el paquete de evaluación de ENS antes de instalar la versión con licencia de ENS.
¿Cómo puedo migrar los productos heredados a ENS?
Utilice el Asistente para la migración de endpoints para migrar la configuración y las asignaciones siguientes a ENS. Para obtener instrucciones, consulte la Guía de migraciónde Endpoint Security:
VSE 8.8
Firewall de Host Intrusion Prevention (host IPS) 8.0
SAE 3.5
Tras la migración de la Directiva de análisis en tiempo real de VSE a ENS mediante el Asistente para migraciones, ¿por qué no se implementan las exclusiones del análisis en tiempo real?
Este problema se produce cuando la Directiva de análisis en tiempo real de VSE contiene datos de exclusión no válidos o patrones de exclusión que ENS no admite. El Asistente para la migración no cambia los patrones de exclusión durante la migración. Para obtener una lista de patrones de exclusión compatibles con ENS, consulte la Guía de migraciónde Endpoint Security.
Por ejemplo, la exclusión "%systemroot%system32inetsrv" no es válida porque no hay ningún ' \ ' entre la variable de entorno y los datos de archivo o carpeta siguientes. La exclusión correcta en este caso es "%systemroot%\system32inetsrv" .
Si se encuentra con este problema, el registro de errores de la plataforma ENS muestra un error similar al siguiente:
08/14/2017 09:35:31.225 AM mfetp(1924.2840) <SYSTEM> exclusion.EXCLUSION.Error (exclusionbl.cpp:5315): Sending exclusion policy to AMCore failed. Task name: EXCLUSION_EXCLUDE_OAS_PROCESS_GROUP_LOW, Error code: 0xA7F40511
¿La Asistente para la migración de endpoints migra las reglas que se asignan en función de las etiquetas? No. La Asistente para la migración de endpoints no fusiona y sustituye las directivas asignadas mediante reglas de marcado.
¿Cómo puedo desplegar los módulos de ENS mediante ePO?
En primer lugar, compruebe los paquetes del módulo ENS en el servidor de ePO. En el Administrador de software de ePO, hay un paquete de paquetes. Este paquete comprueba los paquetes de instalación del módulo, los archivos de ayuda y las extensiones del módulo en el repositorio principal de ePO. Los paquetes de instalación de módulos incluyen la plataforma de seguridad, Firewall, Prevención de amenazas y los módulos de protección Web. En el sitio web de descargas de productos, descargue cada paquete por separado y compruébelo en el repositorio principal de ePO.
A continuación, cree una tarea de despliegue. Las tareas de despliegue de los módulos de Firewall, Prevención de amenazas o Web Protection comprueban la versión de la plataforma de seguridad. El instalador del módulo actualiza automáticamente la versión de la plataforma de seguridad antes de instalar el firewall, Prevención de amenazas o la protección web.
El módulo ATP se incorpora de forma independiente del resto de módulos de ENS. Al instalar el módulo ATP, la versión de ENS Prevención de amenazas debe ser la misma. Por ejemplo, no puede instalar ATP 10.6.1 en un sistema que ejecute ENS prevención de amenazas 10.6.0. no incluir el módulo ATP al desplegar el resto de módulos de ens. La tarea de despliegue de ePO podría ejecutar la instalación del módulo ATP antes de la instalación del módulo de Prevención de amenazas. Por lo tanto, le recomendamos que disponga de una tarea de despliegue independiente para el módulo ATP.
¿Cómo puedo desplegar ENS con soluciones de despliegue de terceros? La solución de terceros debe cumplir los siguientes requisitos:
Asegúrese de que todos los archivos de instalación estén disponibles o sean accesibles.
Ejecute el instalador de ejecutables ( SetupEP.exe ) y no los archivos de MSI.
Ejecutarlo con privilegios SYSTEM o de administrador.
Utilice el paquete independiente de ENS para los archivos de origen de la instalación.
Nota: Puede personalizar este paquete mediante la Diseñador de paquetes.
¿Ampliará ENS la versión más antigua de McAfee Agent (MA)?
Depende de si MA está gestionado:
Cuando ePO administra MA, una instalación de ENS no modifica el agente. No está permitido hacerlo automáticamente cuando el agente está en modo gestionado.
Cuando MA no está gestionado (standalone), el SetupEP.exe instalador amplía el agente a la versión que se incluye con el paquete ens.
¿Cómo instalo ENS para los usuarios que no tienen derechos de administrador?
Cree una URL de instalación y envíela a los usuarios para instalar ENS en sus sistemas. Para obtener instrucciones, consulte la Guía de instalaciónde Endpoint Security.
¿Puedo utilizar Sysprep para incluir ENS en una imagen base? Sí. Sysprep es un método de instalación admitido.
¿Puedo instalar ENS en una letra de unidad o en una ubicación personalizada? Sí.
¿Qué procesos instala ENS? Para obtener una lista de los procesos (Windows servicios y procesos que se ejecutan como servicio o como usuario) que ENS instala, consulte KB87791-processes que Endpoint Security instala.
¿Qué hago si se produce un error en la desinstalación de ENS de "programas y las funciones" o "aplicaciones & funciones" (según la versión de Windows)? Para obtener la herramienta de desinstalación de productos de Endpoint, consulte KB90895-Endpoint Product Removal Tool para desinstalar nuestros productos.
¿Cómo quito la extensión de Ajustes generales de ENS de ePO?
La extensión de Ajustes generales no se puede eliminar si se incorporan otras extensiones de módulo de ENS. Quite primero todas las extensiones del módulo ENS, antes de intentar eliminar la extensión de Ajustes generales de ENS.
Consulte KB88205-cómo mejorar el rendimiento con Endpoint Security. Este artículo se actualiza a medida que se recopila información sobre los problemas de rendimiento. Consulte el artículo para obtener asistencia en primer lugar si experimenta síntomas de un rendimiento deficiente.
¿Cómo puedo configurar las reglas de protección de acceso para bloquear malware? Para obtener una lista de las reglas de protección de acceso sugeridas que implementar, consulte KB91934-protección contra ransomware-Rev J -Combating.
¿Puedo utilizar variables al crear reglas de protección de acceso?
No se recomienda el uso de variables porque puede tener resultados inesperados. En su lugar, se recomienda utilizar caracteres comodín. Por ejemplo, C:\Users\%username%\SubFolder puede representarse como C:\Users\*\SubFolder.
¿Por qué los eventos de protección de acceso que se confirman en el sistema cliente y se registran localmente no son visibles en ePO tras enviar eventos de cliente? Consulte KB87149: los eventos de protección de acceso no están disponibles en ePO. La configuración predeterminada de ENS excluye esos eventos de la creación. También es posible que el agente esté suprimiendo los eventos.
¿Cómo puedo acceder a la consola o eliminar ENS si he olvidado la contraseña? La contraseña predeterminada es mcafee . Si cambia la contraseña y ha olvidado la nueva contraseña, póngase en contacto con Soporte técnico para obtener instrucciones sobre cómo eliminar la contraseña. Asegúrese de realizar las siguientes acciones antes de ponerse en contacto con Soporte técnico:
Recopile datos del requisito de escalación mínima (MER) mediante la herramienta de Mer.
Obtener los derechos de administrador y acceso físico al sistema implicado.
¿Cómo Quito los "predeterminados" análisis rápido y "análisis completo" tareas de bajo demanda?
Esta pregunta es de interés para los clientes que han creado un grupo y han aceptado la configuración predeterminada para las tareas de ODS. El motivo es que las asignaciones de tareas no se pueden editar ni eliminar. La solución más sencilla consiste en crear un grupo en el Árbol de sistemas de ePO y mover los sistemas a ese grupo. No activar las tareas de ODS para el nuevo grupo.
¿Por qué hay entradas de tareas servidor de ePO al editar directivas de ENS? Al editar directivas de ENS en un servidor de ePO 5.9 (o posterior), se guarda una entrada del registro de tareas servidor de ePO llamada "directiva . Comentario: se crea ". Esta entrada describe los cambios en la Directiva, la fecha y la hora en que se realizó el cambio, así como el nombre de usuario de ePO. Este cambio de función se introduce con ePO
5.9.
Nota: Cuando se duplican directivas predeterminadas (no editables), el primer cambio de directiva realizado a la directiva duplicada registra varios cambios de detalle de directiva. No obstante, para cualquier cambio de directiva posterior, la entrada de la tarea servidor registra solo los cambios de directiva específicos realizados en cada cambio de directiva guardado.
¿Cómo puedo importar la configuración (por ejemplo, la configuración de firewall) en el momento de la instalación? Recurra a una de las siguientes opciones:
ENS incluye una utilidad de Diseñador de paquetes que permite personalizar las directivas. Estas directivas se pueden incluir con el paquete de instalación.
ENS incluye una utilidad con el nombre ESConfigTool.exe que le permite exportar e importar directivas. La ESConfigTool.exe utilidad se encuentra en la carpeta ENS Platform (de forma predeterminada C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform ). Despliegue ENS en al menos un sistema cliente, configure la configuración según sea necesario y, a continuación, exporte la configuración mediante ESConfigTool.exe .
Notas: Puede importar el archivo generado ESConfigTool.exe mediante el comando setupEP.exe /import
No utilice la opción texto sin formato al exportar si desea importar la configuración.
No especifique una extensión para el archivo.
Debe desactivar la regla de protección de acceso que protege ESConfig en la Directiva protección de acceso prevención de amenazas de ens.
Para mostrar la ayuda y las opciones, ejecute la utilidad sin parámetros.
¿Cómo configuro ENS Firewall el registro de tráfico de red? En la Directiva opciones de Firewall de ENS, activar las opciones registrar todos los bloqueados permitidos o registrar todos los bloqueos . Los registros de Firewall de ENS bloquean y permiten el \ProgramData\McAfee\Endpoint Security\Logs\FirewallEventMonitor.log tráfico de red al archivo. Si desea generar eventos de ePO para el tráfico de red permitido o bloqueado, activar la opción de tráfico de coincidencia de registros en una regla de Firewall específica. Las reglas genéricas y de alta generación de eventos pueden provocar problemas de rendimiento. Para obtener más información, consulte KB90177-activación de las opciones de registro ' tratar coincidencia como intrusión ' o ' tráfico coincidente del registro ' podría provocar un uso elevado de la CPU.
Nota: La funcionalidad de registro de Firewall de ENS no permite que solo se registren reglas de firewall específicas en el FirewallEventMonitor.log archivo.
Haga clic en iniciar sesión e introduzca su ID de usuario y contraseña de ServicePortal . Si aún no dispone de una cuenta de ServicePortal o de comunidad, haga clic en registrar para registrarse en una nueva cuenta en cualquier sitio web.
Nota: El foro ideas sustituye al sistema de solicitudes de mejora de productos anterior.
¿Qué "el modo de presentación" al ejecutar las tareas de ODS?
El modo de presentación es cualquier ventana en modo de pantalla completa. Este modo se puede aplicar al software de reproducción de vídeo, Microsoft presentaciones de PowerPoint o a las ventanas de protocolo de escritorio remoto.
¿Cómo controlo mejor las actualizaciones de contenido de DAT V3 en un entorno en el que los sistemas no son persistentes? En entornos virtualizados ( XEN/VMware/Citrix ) en los que los sistemas se crean a partir de una "de imagen de oro" o "plantillas," es útil actualizarlos "imágenes de oro" o "plantillas" con el contenido más reciente cada tanto con frecuencia. Esta práctica evita la necesidad de que un nodo final Descargue una actualización completa del contenido (por lo general, cientos de magabytes de archivos) cuando se inician. Puede realizar estas actualizaciones de la siguiente forma. Inicie la "imagen Gold," inicie la tarea de actualización y conéctese a un repositorio válido (por ejemplo, ePO) y tome una imagen "de oro." En el caso de un proceso de actualización automatizada a través de ePO o el sitio de actualización pública ( update.nai.com ) en general, se publican actualizaciones incrementales (normalmente de 100 a 500 KB). Los sistemas que se generen a partir de una plantilla de "" o "" de imagen Gold pueden consumir las actualizaciones en lugar de una actualización completa, si no son más de 35 versiones tras la versión de contenido actual.
¿Cómo funcionan los archivos de contenido? Cuando el motor de análisis analiza archivos en busca de amenazas, compara el contenido de los archivos analizados con la información de amenazas conocida almacenada en los AMCore archivos de contenido. Exploit Prevention utiliza sus propios archivos de contenido para protegerse frente a los exploits.
¿Por qué no se detecta EICAR? ¿Por qué aparece mi versión 0.5 de contenido? Este problema se produce cuando AMCore el contenido aún no se ha actualizado tras instalar el producto. Para solucionar este problema, actualice el contenido.
¿
Con qué frecuenciapublica nuevos archivos de contenido prevención de amenazas?
Publicamos nuevos archivos de contenido de prevención de exploits según sea necesario. La Guía del producto Endpoint Security indica erróneamente que los archivos de contenido de prevención de exploits se liberan una vez al mes.
¿Qué contenido necesita ENS? ENS prevención de amenazas utiliza "Endpoint Security contenido de prevención de exploits" y " AMCore paquete de contenido."
¿Puedo actualizar el AMCore contenido desde la línea de comandos en un sistema cliente? Sí. Para actualizar el AMCore contenido, ejecute el siguiente comando en el sistema cliente: "C:\Program Files\McAfee\Endpoint Security\Threat Prevention\amcfg.exe" /update
¿por qué actualiza ENS la versión del motor automáticamente? No puedo descargar el motor de la optativa. El concepto de actualizaciones del motor ha cambiado con AMCore la tecnología; ya no están separados los paquetes del contenido. Cuando AMCore el contenido requiere una actualización a cualquiera de sus motores utilizados durante el análisis, la actualización del motor se incluye en las versiones de actualización de contenido V3. AMCoreLa degradación del contenido también degrada un motor si no forma parte de ese contenido antiguo.
¿Cómo puedo determinar la versión y la fecha del contenido de prevención de exploits en el registro o en el sistema de archivos?
La fecha del contenido de prevención de exploits no se almacena en el registro. La fecha es la fecha de la última modificación del content.bin archivo encontrado en el directorio C:\Program Files\McAfee\Endpoint Security\Threat Prevention\IPS .
Para determinar la versión de contenido de prevención de exploits desde el registro:
Tenga en cuenta los siguientes valores de cadena en la clave:
ContentMajorVersion
ContentMinorVersion
ContentVersion
Para obtener la versión de contenido de prevención de exploits, tome el valor ContentVersion y sustituya el valor antes del primer punto por ContentMajorVersion, y el valor después del primer punto por ContentMinorVersion. Por ejemplo, si ContentVersion es 8.0.0.8137 , ContentMajorVersion es 10 y ContentMinorVersion es 7, la versión del contenido de prevención de exploits es 10.7.0.8137.
¿Hay alguna forma de determinar la AMCore versión de contenido del registro o del sistema de archivos? Sí. Siga estos pasos:
Convertir las versiones principales y secundarias de hexadecimal a decimal. En el ejemplo siguiente, la versión es 2556.0.
"dwContentMajorVersion"=dword:000009fc (000009fc es 2556 en decimal) "dwContentMinorVersion"=dword:00000000 (00000000 es 0 en decimal)
También están presentes las siguientes claves de registro de fecha y hora. En el ejemplo siguiente, el contenido se compiló el AMCore 22 de marzo, 2017 a las 08:44:00 GMT.
"szContentCreationDate"=reg_sz:"2017-03-22" (fecha con formato AAAA-MM-DD) "szContentCreationTime"=reg_sz:"08:44:00" (hora de formato HH: mm: SS)
Desde el sistema de archivos (si lo administra ePO):
Localice el valor de AvManifestVersion en el archivo C:\Program Files\McAfee\Endpoint Security\Threat Prevention\AvContentMgr.xml . En el ejemplo siguiente, la versión es 2591.0 : 2591.0
¿Qué significa el número final de una versión de DAT?
El número final indica si se trata de un paquete de DAT de producción, anterior a la producción o Beta v3.
xxxx.0 (Ejemplo: 3158.0 ) -Indica un paquete de DAT de producción V3
xxxx.1 (Ejemplo: 3158.1 ) -Indica un paquete de DAT previo al preproducción V3
xxxx.3 (Ejemplo: 3158.3 ) -Indica un paquete de DAT de Beta v3
¿Cómo puedo degradar o revertir contenido del DAT? Utilice una de las opciones siguientes para instalar la versión deseada:
Utilice ePO y ejecute una tarea de actualización de DAT en el cliente.
Ejecute el archivo de contenido de DAT V3 de forma manual en el cliente.
¿Cómo se AMCore determina la conformidad del contenido?
No se pueden cambiar los criterios para "" conformes. La AMCore conformidad de contenido se basa en la antigüedad del AMCore archivo DAT.
Si el DAT tiene menos de siete días de antigüedad, se considera conforme.
Si el DAT tiene una antigüedad superior o igual a siete días, no es conforme.
Nota: La antigüedad de DAT no está relacionada con cuando se actualiza el sistema, pero cuando se publica el archivo DAT.
¿La opción "conformidad de la versión de DAT para VirusScan Enterprise estaba en X versiones de DAT del repositorio" existen en ENS? No. ENS determina la conformidad en función de la antigüedad del DAT y no de la versión de DAT.
¿Cómo puedo determinar el tamaño de los archivos de actualización de AMCore contenido? Puede ver los archivos de actualización de AMCore contenido aquí: https CommonUpdater o http CommonUpdater. La marca de fecha y hora de los archivos siempre es la fecha actual. No obstante, se publica un *.gem archivo de actualización incremental cada día y se almacenan en él 30 días de actualizaciones incrementales.
¿Por qué el DAT V3 sigue siendo 100 MB + file cuando me dijo que los nuevos DAT son mucho más pequeños?
El tamaño más pequeño de DAT es la comparación de paquete AVV frente a los DAT MED (media). Estos DAT ofrecen una funcionalidad equivalente entre VSE y ENS.
Para ENS:
Los archivos DAT de media MED se encuentran en la siguiente ubicación (tenga en cuenta que la carpeta con versión cambia):
El tamaño medscan.dat, mednames.dat, and medclean.dat combinado es 62.7 MB.
Para VSE:
Los archivos DAT de paquete AVV se encuentran en la siguiente ubicación:
C:\Program Files (x86)\Common Files\McAfee\Engine
El tamaño combinado es de avvscan.dat, avvnames.dat, and avvclean.dat 143 MB, que es una reducción de un 56%.
¿Cuál es la tarea de "de prueba integrada de" DAT? La prueba integrada de DAT realiza algunas comprobaciones básicas en el estado del sistema. Está vinculada a la actualización de DAT como activador para cuando se inicia. Se ejecuta siete veces a intervalos aleatorios entre AMCore actualizaciones. La tarea no se puede configurar. Solo se ejecuta si las siguientes opciones están activadas en la Endpoint Security prevención de amenazas, la directiva Opciones , la sección análisis de datos proactivo :
Comprobación regular de la seguridad
Comentarios de Global Threat Intelligence (GTI)
AMCore Reputación de contenido
Si la tarea no se realiza correctamente, compruebe que el sistema disponga de conectividad de red y ejecute la tarea de forma manual. Se ejecuta mcdatrep.exe la tarea, un componente que utiliza TrustedSource. Por lo tanto, se debe permitir HTTPS y el sistema proxy debe estar configurado correctamente para que la tarea se realice correctamente.
¿Qué hace cada uno de los módulos de ENS?
Hay tres módulos de ENS:
Firewall : supervisa e intercepta la comunicación sospechosa entre el equipo y los recursos de la red y de Internet.
Prevención de amenazas: Comprueba la existencia de virus, spyware, programas no deseados y otras amenazas mediante le análisis de los elementos de forma automática cuando los usuarios acceden a ellos (en tiempo real) o bajo demanda en cualquier momento.
Control web: Muestra calificaciones de seguridad e informes sobre sitios web durante la navegación y la búsqueda online. Web Control permite al administrador del sitio bloquear el acceso a los sitios web en función de la calificación de seguridad o del contenido.
¿Qué diferencia hay en cobertura IPS entre ENS y host IPS? Para obtener una lista de todas las firmas de hosts y prevención de exploit de ENS y sus directivas compatibles actuales, consulte KB51504-registro-firma Directiva compatibilidad.
Nota: El contenido al que se hace referencia solo está disponible para los usuarios de ServicePortal registrados. Para ver el contenido, haga clic en el vínculo e inicie sesión cuando se le solicite. ¿Qué hace "McAfee decidir" media al analizar los archivos?
Puede especificar si el analizador en tiempo real analiza los archivos, como cuando se escribe en el disco o se lee del disco. También puede dejarnos decidir cuándo realizar el análisis. Al seleccione permitir McAfee decidir, el analizador en tiempo real utiliza la lógica de confianza para optimizar el análisis. La lógica de confianza mejora la seguridad y aumenta el rendimiento evitando análisis innecesarios. Para obtener más información, consulte Descripción de las notas del producto del módulo Endpoint Security 10 prevención de amenazas.
¿Puede ENS detectar una virus cifrada por un sistema de archivos cifrados (EFS)?
Sí, si el usuario propietario de la carpeta EFS accede al archivo cuando se ejecuta el análisis, ENS puede utilizar su token de acceso. De lo contrario, ENS no podrá analizar dentro de los archivos cifrados ni en los paquetes, ni podrá analizador antivirus. Los registros de ENS muestran lo siguiente cuando se encuentra un EFS: no analizado (el archivo está cifrado). La detección solo se produce cuando se descifra o se abre el archivo.
¿Cómo controla la analizador en ENS en tiempo real las interacciones de almacenamiento en caché del lado del cliente? ¿El archivo es local o remoto?
Microsoft tecnología de archivos/carpetas sin conexión o el almacenamiento en caché del cliente permite que un dispositivo pueda acceder de forma local a los archivos alojados en un recurso remoto cuando ese dispositivo no esté conectado a la red. Esta función se llama almacenamiento en caché del lado cliente porque Windows crea una copia local del archivo en una carpeta protegida. El dispositivo lee y modifica el contenido del archivo según sea necesario a partir de esta copia local. Cuando el dispositivo se conecte de nuevo a la red y tenga acceso al archivo, se sincronizan los cambios para actualizar ambas copias.
Los archivos que se almacenan en caché de esta manera siempre se consideran archivos remotos. Aunque el dispositivo esté desconectado de la red, el usuario o los programas con acceso al archivo utilizan la misma ubicación remota. Es Windows que controla la redirección necesaria que proporciona acceso a la copia local almacenada en caché.
Ya que el archivo siempre se considera remoto, para que el OAS analice estos archivos, la función de análisis de la unidad de red debe estar activada. De forma similar, en el caso de los analizador bajo demanda para analizar los archivos sin conexión, se debe proporcionar la ubicación original (remota).
¿Por qué se abre el archivo de ayuda de ENS en un navegador que no es mi navegador predeterminado? ENS inicia la aplicación asociada a la .html extensión. Si el navegador predeterminado no está asociado a la .html extensión, se abre otro navegador. Para obtener más información, consulte KB86558-Help File aparece en un navegador no predeterminado.
McShield.exe¿Por qué tiene un uso elevado de la CPU? McShield.exe es el analizador de modo usuario que analiza los archivos para determinar si están limpios o malware. Debe utilizar ciclos de CPU para realizar su trabajo.
McShield.exe¿Por qué muestra el uso intensivo de la CPU continuamente? McShield.exe también es el analizador de alojamiento para realizar el trabajo necesario para las tareas de ODS. Si tiene una tarea planificada de bajo demanda, verá McShield.exe usar ciclos de CPU para llevar a cabo los análisis solicitados. En ENS 10.7 , existe una opción para limitar el uso de la CPU durante una tarea de bajo demanda.
¿Dónde está EmailScan? ¿Por qué no incluye ENS un correo electrónico analizador como VSE?
Actualmente, no hay ningún complemento para clientes de Outlook o Lotus mail. Esta función no se incluye porque la funcionalidad de EmailScan es muy redundante o se solapa con el análisis en tiempo real. Si desea utilizar un caso de uso específico para esta función, póngase en contacto con su cuenta de soporte Manager y retransmita su caso de usuario a la administración de productos.
ENS informa del error "error de limpieza, ya que no había ningún limpiador disponible y elimina la" pendiente para un archivo de amenaza detectado. ¿Qué significa este error?
Este error suele significar que el archivo no se puede limpiar y debe eliminarse. La eliminación de archivos puede devolver resultados incoherentes debido a la naturaleza transitoria de los archivos. El producto puede indicar que hay una acción de eliminación pendiente cuando el archivo ya se ha eliminado (por el sistema operativo) antes de que el producto pueda realizar la acción eliminar.
¿Qué significa el valor "duración antes de la detección" muestra en la "Endpoint Security: comportamiento de la amenaza" panel de ePO ?
Este valor es el tiempo entre la fecha de creación del archivo (cuando se escribe en el disco) y el tiempo de detección.
¿Cómo funciona la integración con Windows interfaz de análisis antimalware (AMSI)?
AMSI es un estándar de interfaz genérica que proporciona Microsoft. AMSI es compatible con sistemas Windows 10, Windows Server 2016 y Windows Server 2019. AMSI permite que las aplicaciones y los servicios se integren con el Prevención de amenazas de ENS, lo que proporciona una mejor protección contra malware. La integración con AMSI proporciona un análisis mejorado en busca de amenazas en scripts no basados en navegador, como PowerShell, JavaScript y VBScript.
¿Cómo puedo activar el registro de depuración en ENS?
Active el registro de depuración para cada módulo de ENS a través de directiva Common de ENS. Asegúrese de implementar la Directiva en el cliente antes de intentar reproducir el problema. Para implementar la Directiva, realice una llamada de activación del agente al sistema desde la consola de ePO o haga clic en recopilar y enviar propiedades del monitor estado de Ma del cliente. Los archivos de registro de depuración se almacenan en %ProgramData%\McAfee\Endpoint Security\Log o C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs en función del sistema operativo. Para obtener instrucciones, consulte KB91797-Active el registro de depuración para solucionar problemas de Endpoint Security.
¿Cómo activar el registro detallado de MA?
El registro detallado de MA ayuda a solucionar problemas de actualización, instalación y ampliación. Active el registro detallado para MA a través de la Directiva general de MA. Haga clic en la pestaña registro y seleccione Seleccionar registro de detalles. Aumente el límite de tamaño del archivo de registro (MB) a 20 y revierta el recuento a 2. Para obtener instrucciones, consulte KB82170-How to activar registro de depuración para McAfee Agent para solucionar Windows.
¿Por qué los eventos no se comunican en los paneles de ePO? Los eventos de productos gestionados tienen un nivel de gravedad. De forma predeterminada, los módulos de ENS solo registran los eventos críticos y principales. Si un evento tiene una gravedad de informativo, no se registra. Para registrar todos los eventos, edite la Directiva Ajustes generales de ENS y cambie el nivel de gravedad del registro de eventos a todo.
¿Cómo puedo evitar que los usuarios desactiven la extensión de Control web desde un navegador?
La Directiva de autoprotección de la Directiva Ajustes generales de ENS impide que los usuarios finales desactiven la barra de herramientas de Control web y Control web objeto auxiliar del navegador (BHO) en Internet Explorer. La autoprotección no impide que los usuarios desactiven la extensión de Control web en Chrome o Firefox.
Si un usuario desactiva la extensión de Control web en Firefox, Control web se activa en futuras sesiones de navegación tras un reinicio Firefox. No es posible evitar que un usuario desactive Control web en Firefox.
Si un usuario elimina la extensión de Control web en Chrome, Control web dejará de aparecer en Chrome incluso después de volver a instalar ENS. Debe eliminar el perfil de usuario de Chrome o reinstalar Chrome. Para evitar que los usuarios eliminen la extensión de Control web en Chrome, consulte KB87568-control Web la extensión del navegador debe activarla el usuario. Este artículo contiene información sobre la activación forzada de la extensión de Control web a través de Active Directory Directiva de grupo.
¿Puedo tener activada la fuerza de las extensiones SAE y Control web en Chrome al mismo tiempo? No. Debe eliminar el APPID del SAE de la plantilla de directiva de grupo Chrome. Si se instala la fuerza de la extensión SAE con la extensión de Control web, se producen problemas con la navegación de los mensajes de implementación. No fuerce la instalación de las extensiones SAE y Control web en Chrome.
¿Cómo determina Control web si un sitio tiene una dirección IP privada o interna?
Control web no actúa en las direcciones IP privadas o internas. Los sitios privados y los internos de una lista prohibida no se bloquean. Control web determina que un sitio tiene una dirección IP privada o interna si forma parte de los siguientes intervalos de direcciones IP:
Intervalos de direcciones IP privadas IPv4 predeterminadas: 10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
localhost or 127.0.0.1
Intervalo de direcciones IP privadas IPv6 predeterminada:
Sitios-locales y direcciones locales de vínculo que empiezan por
FEC, FED, FEE, FEF or FE8, FE9, FEA, FEB
¿Por qué la versión de control Web de Chrome es distinta de la versión de control Web en la consola de ENS?
La consola de ENS informa de la versión actual de Control web instalado. Chrome informa de la versión de la extensión de Web Control alojada en la tienda de Google Play. Cuando se lanzan nuevas versiones de Web Control, la extensión de Web Control en la tienda de Google Play es posible que no se actualice. Chrome puede informar de una versión distinta para la extensión Control web que la que aparece en el campo ENS about o en las propiedades de los productos de ePO. Chrome utiliza la extensión de Control web instalada de forma local.
¿Qué hace que no se muestren anotaciones en los resultados de búsqueda cuando se realiza la búsqueda con¿un motor de búsqueda compatible? Control web utiliza secuencias de comandos para anotar los resultados de búsqueda con calificaciones. Si un motor de búsqueda cambia la página web que utiliza para presentar los resultados del motor de búsqueda, es posible que Control web no anote la página. Para obtener más información, consulte KB87640-control Web búsqueda las calificaciones de anotación no se muestran en los resultados del motor de búsqueda.
¿Por qué sigue apareciendo un sitio en la lista de permitidos de Control web en las anotaciones de correo electrónico como URL con calificación roja?
Control web las anotaciones de correo electrónico se basan únicamente en la calificación de GTI. La Directiva de permiso local no omite la calificación de GTI para la anotación de correo electrónico.
¿Por qué el globo de control Web navegador naranja y por qué muestra "error al recuperar control Web información"?
Si el servicio de Control web no se puede comunicar con los servidores de GTI, el globo del navegador será naranja. Para conocer los pasos de solución de problemas, consulte KB87930-Endpoint Security control Web globo de estado es de color naranja.
¿Por qué los informes de ePO no muestran una URL para sitios web con calificación verde?
Control web no rastrea las URL con calificación verde en los informes enviados a ePO para la privacidad del usuario. Control web envía un recuento total de sitios web con calificación verde para categorías exclusivas en eventos enviados a ePO. Consulte la sección "Cómo funciona control Web con Web Reporter" de la Guía del producto de Endpoint Security control Web para obtener información sobre cómo configurar control Web para que funcione con Web Reporter con el fin de ver las URL con calificación verde.
¿Por qué necesita un sistema acceder al almacén de Google Chrome para que la extensión Control web funcione en Chrome o en Edge?
Cuando se abre el navegador, comprueba la extensión de Control web local con la extensión Control web alojada en el almacén de Chrome. Si no hay acceso a Chrome.Google.com, la extensión de control Web no se carga en Chrome ni en el cromo. Para obtener instrucciones sobre cómo hacer que la periferia utilice las directivas de grupo para que la extensión Control web se cargue desde el complemento de Microsoft Edge, consulte KB94784-cómo instalar la extensión de control Web en las regiones en las que no se puede acceder a Chrome almacén Web.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.