Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
Articles techniques ID:
KB86704
Date de la dernière modification : 2022-07-12 19:41:03 Etc/GMT
Environnement
Protection adaptive contre les menaces Endpoint Security (ENS) (ATP)
Pare-feu 10.x ens
Prévention contre les menaces 10.x ens
Contrôle Web ENS 10.x
Synthèse
Cet article répertorie les questions et réponses fréquentes qui sont destinées aux nouveaux utilisateurs du produit. Mais il peut être utilisé par tous les utilisateurs.
Mises à jour récentes de cet article
Date
Mise à jour
12 mai, 2022
Modifications mineures de la mise en forme ; aucune modification du contenu.
4 mai, 2022
Ajout de sections développer tout/réduire toutes les sections.
1er novembre 2021
Ajout de la FAQ "pourquoi un système doit-il accéder au magasin Google Chrome pour que le contrôle Web extension fonctionner dans chrome ou dans le bord ?" dans la section "contrôle Web".
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Contenus Cliquez pour développer la section à afficher :
Où puis-je trouver des problèmes connus avec ENS ? Pour obtenir la liste des problèmes connus avec une évaluation élevée ou moyenne et qui sont en attente avec une version donnée, reportez-vous à la section KB82450-Endpoint Security 10.x problèmes connus.
Où puis-je trouver la documentation du produit ENS ?
Pour les documents relatifs aux produits, accédez au portail de la documentation produit.
Où puis-je trouver une explication pour les messages d’événement ENS ?
La messagerie d’événement ENS utilise des chaînes de langage naturel. Certains événements peuvent nécessiter une explication supplémentaire par rapport à ce qui est fourni dans la chaîne de texte de petite taille dans un événement. Pour obtenir une explication détaillée des messages d’événement, consultez la liste KB85494-complet des ID d’événement pour Endpoint Security.
Comment puis-je vérifier l’état du service ENS et de vos autres services sur un système ? Utilisez le fichier exécutable C:\Program Files\Common Files\McAfee\SystemCore\mmsinfo.exe pour vérifier l’état des services comme suit. Ce fichier exécutable peut être utile si vous utilisez un outil de surveillance tiers pour assurer le suivi de l’état du service ENS ou obtenir un rapport sur le nombre de systèmes sur lesquels ENS est en cours d’exécution.
Remarque : Pour vérifier l’état de tous nos services, exécutez la commande C:\WINDOWS\system32>"C:\Program Files\Common Files\McAfee\SystemCore\mmsinfo.exe" -enum
Qu’est-ce que le mfeensppl service ? Le mfeensppl service est un service Light (Protected process Light, PPL). Ce service est utilisé pour l’enregistrement auprès du service wscsvc Centre de mfetp sécurité Windows (WSC). Le mfeensppl.exe service s’arrête et démarre comme il convient. Le mfeensppl.exe service est similaire au mfefire service, qui est également exécuté uniquement lorsqu’il est en cours d’utilisation. L'enregistrement auprès de WSC se produit chaque fois que des stratégies sont mises en œuvre sur le système et également lorsque le système redémarre. L'enregistrement auprès de WSC s'effectue via PPL dans Windows 10 version 1809 (mise à jour d'octobre 2018) et versions ultérieures. Lorsque le mfeensppl.exe service s’exécute, il vérifie si le système est compatible avec la technologie Windows 10 version 1809 ou ultérieure. Le service réagit alors en conséquence. Sur les systèmes qui n’exécutent pas Windows 10 version 1809 (et versions ultérieures), le mfeensppl.exe service est présent. Après avoir déterminé que le système d’exploitation n’est pas pris en charge, mfeensppl.exe quitte normalement.
Pourquoi la fonctionnalité d’aide de la console ePO ouvre-t-elle une page de navigateur Web vers docs.trellix.com, au lieu d’une page contextuel d’informations sur le produit ? Ce comportement est le résultat d’une modification de fonctionnalité commençant dans ens 10.6.0. lorsque vous utilisez la fonctionnalité d’aide en cliquant sur le point d’interrogation (" ?") dans la console EPO, ce dernier ouvre le portail de documentation (docs.trellix.com), dans lequel vous pouvez effectuer une recherche.
Quel est le $MfeDeepRem dossier, par exemple, le dossier situé sous root C:\ ?
Ce dossier est utilisé par la fonctionnalité de correction ENS ATP améliorée. Le dossier est créé par lecteur. La taille du dossier varie en fonction de la taille de fichiers du lecteur. Ce dossier est protégé. Il peut être nécessaire d’exclure des applications qui essaient d’accéder à des fichiers ou des dossiers qui ne sont pas eux-mêmes, tels que des logiciels de sauvegarde. Les tentatives d'accès au dossier sont refusées.
Comment puis-je déterminer la version du contenu Real Protect ?
Ouvrez la console ENS et accédez à la fenêtre a propos de. La fenêtre a propos affiche la version du contenu Real Protect. Si vous souhaitez voir la version du contenu Real Protect sans ouvrir la console, accédez à C:\Program Files\Common Files\McAfee\Engine\content\rpstatic . Le nom du dossier indique la version du contenu. Par exemple, 1.1.10005.6250. la version du contenu Real Protect n’est pas stockée dans le registre.
ENS peut-il coexiste-t-il avec les produits hérités SiteAdvisor Enterprise (SAE) et VirusScan Enterprise (VSE) ? Non. Le programme d’installation de ENS supprime à la fois SAE et VSE, quel que soit le module ENS sélectionné pour l’installation. Pour plus d’informations, voir KB86504-les produits hérités ne peuvent pas cohabiter avec des modules Endpoint Security.
Quelles sont les plates-formes, environnements et systèmes d’exploitation pris en charge par ens? Voir KB82761-plates-formes prises en charge pour Endpoint Security. Cet article fournit une liste des systèmes d’exploitation client et serveur pris en charge, de l’infrastructure virtuelle, des clients de messagerie, des configurations matérielles et des navigateurs Internet.
Microsoft Windows XP ou Windows Server 2003 est-il pris en charge ? Non. Aucun n’est Windows 2009 point de service incorporé, car il s’agit d’un système d’exploitation basé sur XP.
Pourquoi ai-je des problèmes de compatibilité avec des applications logicielles tierces qui "se raccorder" vos processus, ou essayer de charger leur propre code (une dll) dans le processus ?
Nos produits incluent des mécanismes d’autoprotection qui empêchent la falsification de nos fichiers, dossiers, processus, entrées de Registre et fichiers exécutables. Des mécanismes d’autoprotection sont nécessaires pour fournir et maintenir un niveau élevé de sécurité et d’approbation dans le logiciel, en particulier pour la sécurisation contre les attaques de logiciels malveillants. Pour plus d’informations, voir KB83123-des problèmes de compatibilité peuvent se produire lorsque des applications tierces injectent nos processus.
Pourquoi ENS Blocking System Information reporter (SIR) est-il à l’origine de la restauration des clés de Registre ? La restauration du Registre SIR échoue sous les registres protégés par ENS, car une règle ENS Self-Protection la bloque. Pour résoudre ce problème, effectuez l’une des actions suivantes :
Connectez-vous à AAC et ajoutez la règle d'autorisation exceptionnelle pour regedit.
N’utilisez pas regedit et mettez à jour votre application pour apporter des modifications au registre directement.
Où puis-je trouver la liste des logiciels tiers utilisés par ENS ? Sur un ordinateur sur lequel ENS est déployé, la liste des logiciels tiers utilisés par ENS se trouve dans le fichier suivant :
Comment les versions pour ENS pour Windows sont-elles packagées ? Dans 2020 et versions ultérieures, ENS fournit .MSI uniquement des packages pour les versions majeures, mineures et de mise à jour standard. 1 cette décision est prise en fonction des commentaires des clients concernant la nécessité de réduire la complexité et les efforts de déploiement.
Ce type de package unique effectue les opérations suivantes :
Installer ENS sur les nouveaux systèmes
Mise à niveau des installations existantes de ENS
Pour déployer ces packages pour les mises à niveau ENS, les clients doivent utiliser une tâche de déploiement de produits d’installation et n’ont plus besoin d’utiliser une tâche de mise à jour.
1 Cette décision ne s’applique pas au format et à la livraison du Hotfix ENS actuels, qui restent inchangés. Une tâche de mise à jour peut être utilisée pour les appliquer.
Différents modules (par exemple, Contrôle Web et Prévention contre les menaces), provenant de packages sources différents (par exemple, Mise à jour de février et Mise à jour d'avril), peuvent-ils être installés sur un seul système donné ?
Tous les modules ENS installés sur un système doivent provenir de la même source package, évitant ainsi une combinaison de composants ou de modules installés.
Quelles sont les options d’installation de Managed ENS ?
Il existe deux options de gestion : ePO et ePO Cloud. Les principales différences dans la gestion des deux environnements sont les suivantes :
ePO-les administrateurs installent les composants du produit sur le serveur de gestion. Ensuite, ils configurent les paramètres de fonctionnalité (stratégies) et déploient le logiciel client sur plusieurs systèmes managés à l’aide de tâches de déploiement.
ePO Cloud-nous ou un autre fournisseur de services configure chaque compte ePO Cloud sur un serveur de gestion hors site. Il envoie ensuite une notification à l’administrateur local lorsque les produits sont prêts à être installés sur les systèmes managés. En général, les administrateurs locaux créent et envoient une URL d'installation aux utilisateurs en vue de l'installation sur les systèmes locaux.
Comment migrez-vous d’une version d’évaluation de ENS vers une version sous licence ?
Vous devez d’abord désinstaller la package d’évaluation de ENS avant d’installer la version sous licence de ENS.
Comment migrer des produits hérités vers ENS ?
Utilisez la Assistant Migration de terminal pour migrer les paramètres et les affectations suivants vers ENS. Pour obtenir des instructions, reportez-vous au Guide de migrationEndpoint Security:
VSE 8.8
Pare-feu Host Intrusion Prevention (Host IPS) 8.0
SAE 3.5
Après avoir migré la stratégie d’analyse à l’accès VSE vers ENS à l’aide de l’Assistant Migration, pourquoi les exclusions d’analyse à l’accès ne sont-elles pas mises en œuvre ?
Ce problème se produit lorsque la stratégie d’analyse à l’accès VSE contient des exclusion des données ou des modèles de exclusion non pris en charge par ENS. L’Assistant Migration ne modifie pas les modèles exclusion lors de la migration. Pour obtenir la liste des modèles de exclusion pris en charge par ENS, reportez-vous au Guide de migrationEndpoint Security.
Par exemple, la exclusion "%systemroot%system32inetsrv" n’est pas valide, car il n’y a pas de' \ 'entre la variable d’environnement et les données suivantes du fichier ou du dossier. La exclusion correcte dans ce cas, est "%systemroot%\system32inetsrv" .
Si vous rencontrez ce problème, le journal des erreurs de la plate-forme ENS affiche une erreur similaire à ce qui suit :
08/14/2017 09:35:31.225 AM mfetp(1924.2840) <SYSTEM> exclusion.EXCLUSION.Error (exclusionbl.cpp:5315): Sending exclusion policy to AMCore failed. Task name: EXCLUSION_EXCLUDE_OAS_PROCESS_GROUP_LOW, Error code: 0xA7F40511
L' Assistant Migration de terminal migre-t-il les règles affectées en fonction des marqueurs ? Non. Le Assistant Migration de terminal ne fusionne pas et ne remplace pas les stratégies affectées à l’aide de règles de marquage.
Comment déployer des modules ENS à l’aide d’ePO ?
Dans un premier temps, vérifiez les packages du module ENS sur le serveur ePO. A partir de l’Gestionnaire de logiciels ePO, il existe une offre groupée package. Cette package vérifie les packages d’installation de module, les fichiers d’aide et les extensions de module dans le référentiel maître d’ePO. Les packages d’installation de module incluent les modules plate-forme de sécurité, pare-feu, Prévention contre les menaces et protection Web. Sur le site des téléchargements de produits, téléchargez chaque package séparément et archivez-les dans le référentiel maître d’ePO.
Ensuite, créez une tâche de déploiement. Les tâches de déploiement des modules pare-feu, Prévention contre les menaces ou protection Web vérifient la version de la plate-forme de sécurité. Le programme d’installation du module met automatiquement à jour la version de la plate-forme de sécurité avant d’installer Firewall, Prévention contre les menaces ou Web protection.
Le module ATP s’Archive séparément des autres modules ENS. Lors de l’installation du module ATP, la version de ENS Prévention contre les menaces doit être la même. Par exemple, vous ne pouvez pas installer ATP 10.6.1 sur un système exécutant ENS prévention contre les menaces 10.6.0. n’incluez pas le module ATP lorsque vous déployez les autres modules ens. La tâche de déploiement ePO peut exécuter l’installation de ATP module avant l’installation de Prévention contre les menaces module. Nous vous recommandons donc de disposer d’une tâche de déploiement distincte pour le module ATP.
Comment déployer ENS à l’aide de solutions de déploiement tiers ? La solution tierce doit répondre aux exigences suivantes :
Assurez-vous que tous les fichiers d’installation sont disponibles ou accessibles.
Exécutez le programme d’installation exécutable ( SetupEP.exe ), et non les fichiers msi.
Exécuter avec des privilèges système ou administrateur.
Utilisez la package autonome ENS pour les fichiers sources d’installation.
Remarque : Vous pouvez personnaliser cette package à l’aide de la Concepteur de package.
ENS-t-il la mise à niveau de ma version antérieure de McAfee Agent (MA) ?
Cela dépend du fait que MA est managé ou non :
Lorsque ePO gère MA, l’installation de ENS ne modifie pas les agent. Il n’est pas autorisé de le faire automatiquement lorsque le agent est en mode managé.
Lorsque MA n’est pas managée (autonome), le SetupEP.exe programme d’installation met à niveau le agent vers la version incluse avec le package ens.
Comment installer ENS pour les utilisateurs qui n’ont pas de droits d’administrateur ?
Créez une URL d’installation et envoyez-la aux utilisateurs pour installer ENS sur leurs systèmes. Pour obtenir des instructions, reportez-vous au Guide d’Installationde Endpoint Security.
Est-il possible d’utiliser Sysprep pour inclure ENS dans une image de base ? Oui. Sysprep est une méthode d’installation prise en charge.
Puis-je installer ENS sur une lettre de lecteur ou un emplacement personnalisé ? Oui.
Quels sont les processus installés par ENS ? Pour obtenir la liste des processus (Windows Services et processus s’exécutant en tant que service ou utilisateur) que ENS installe, reportez-vous à la section KB87791-Processes que Endpoint Security installe.
Comment supprimer l'extension ENS Partagés d’ePO ?
Le Partagés extension ne peut pas être supprimé si d’autres extensions de module ENS sont archivées. Supprimez d’abord toutes les extensions du module ENS avant de tenter de supprimer le ENS Partagés extension.
Comment configurer les règles de protection de l'accès pour bloquer les logiciels malveillants ? Pour obtenir la liste des règles de protection de l’accès à mettre en œuvre, voir KB91934-protection contre les ransomware--Rev J -combat des ransomware.
Puis-je utiliser des variables lors de la création de règles de protection de l'accès ?
Il est déconseillé d’utiliser des variables, car cela peut entraîner des résultats inattendus. La meilleure pratique consiste à utiliser des caractères génériques. Par exemple, C:\Users\%username%\SubFolder peut être représenté sous la forme C:\Users\*\SubFolder.
Pourquoi les événements de protection de l’accès sont-ils confirmés pour se produire sur le système client et sont-ils consignés localement et ne sont pas visibles dans ePO après l’envoi d’événements client ? voir KB87149-les événements de protection de l’accès ne sont pas disponibles dans ePO. La configuration par défaut pour ENS exclut ces événements de la création. Il se peut également que les agent suppriment également les événements.
Comment puis-je accéder à la console ou supprimer ENS en cas d’oubli du mot de passe ? Le mot de passe par défaut est mcafee . Si vous modifiez le mot de passe et si vous avez oublié le nouveau mot de passe, contactez Support technique pour obtenir des instructions de suppression du mot de passe. Assurez-vous d’effectuer les actions suivantes avant de contacter Support technique :
Collectez les données relatives à la procédure d’escalade minimale (MER) à l’aide de l' outil mer.
Obtenez les droits d'administrateur et l'accès physique au système concerné.
Comment supprimer les "par défaut" analyse rapide et "analyse complète" les tâches ODS ?
Cette question est un problème pour les clients qui ont créé un groupe et qui ont accepté les paramètres par défaut pour les tâches ODS. Elle s'explique par le fait que les affectations de tâche ne peuvent pas être modifiées ou supprimées. La solution la plus simple consiste à créer un groupe dans l'Arborescence des systèmes ePO et à déplacer des systèmes dans ce groupe. N’activez pas les tâches ODS pour le nouveau groupe.
Pourquoi existe-t-il des entrées de tâche serveur ePO lors de la modification des stratégies ENS ? Lors de la modification de stratégies ens sur un serveur ePO 5.9 (ou version ultérieure), une entrée de journal des tâches serveur ePO nommée "stratégie est enregistrée. Commentaire : "est créé. Cette entrée décrit les modifications apportées aux stratégies, la date et l’heure de la modification, ainsi que le nom d’utilisateur ePO. Cette modification de fonctionnalité est introduite avec ePO
5.9.
Remarque : Lorsque vous dupliquez des stratégies par défaut (non modifiables), la première modification de stratégie apportée à la stratégie dupliquée consigne plusieurs modifications de détail de stratégie. Cependant, pour toute modification de stratégie ultérieure, l'entrée Tâche serveur consigne uniquement les modifications de stratégie spécifiques effectuées lors de chaque modification de stratégie enregistrée.
Comment importer des paramètres (par exemple, des paramètres de pare-feu) au moment de l’installation ?
Utilisez l’une des options suivantes :
ENS inclut un utilitaire Concepteur de package qui permet de personnaliser des stratégies. Ces stratégies peuvent être incluses avec le package d’installation.
ENS inclut un utilitaire nommé ESConfigTool.exe qui vous permet d’exporter et d’importer des stratégies. L' ESConfigTool.exe utilitaire se trouve dans le dossier de la plate-forme ens (par défaut C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform ). Déployez ENS sur au moins un système client, configurez les paramètres selon les besoins, puis exportez les paramètres à l’aide ESConfigTool.exe de.
Remarques : Vous pouvez importer le fichier généré à partir de ESConfigTool.exe l’utilisation de la commande setupEP.exe /import
N’utilisez pas l’option texte brut lors de l’exportation si vous avez l’intention d’importer les paramètres.
Ne spécifiez aucun extension pour le fichier.
Vous devez désactiver la protection de la règle ESConfig de protection de l’accès dans la stratégie de protection de l’accès ENS prévention contre les menaces.
Pour afficher l'aide et les options, exécutez l'utilitaire sans paramètres.
Comment configurer la journalisation du trafic réseau du pare-feu ENS ? Dans la stratégie options de pare-feu ENS, activez l’option consigner tous les fichiers journaux autorisés ou consigner toutes les options bloquées . Les journaux du pare-feu ENS bloquent et autorisent le trafic réseau vers le \ProgramData\McAfee\Endpoint Security\Logs\FirewallEventMonitor.log fichier. Si vous souhaitez générer des événements ePO pour le trafic réseau autorisé ou bloqué, activez l’option trafic de correspondance des journaux dans une règle de pare-feu spécifique. Les règles génériques de génération d’événements peuvent provoquer des problèmes de performances. Pour plus d’informations, voir KB90177-l’activation des options de journal’considérer les correspondances comme des intrusions’ou’consigner le trafic de correspondance du journal’peut provoquer une utilisation intensive du processeur.
Remarque : La fonctionnalité de journalisation du pare-feu ENS ne permet pas que des règles de pare-feu spécifiques soient consignées dans le FirewallEventMonitor.log fichier.
Cliquez sur connexion et saisissez votre ID d' utilisateur et votre mot de passe ServicePortal . Si vous ne disposez pas encore d’un compte ServicePortal ou d’un compte de communauté, cliquez sur Enregistrer pour vous inscrire pour un nouveau compte sur l’un des sites Web.
Remarque : Le Forum idées remplace le système de demande d’amélioration de produit précédent.
Qu’est-ce que "mode présentation" lors de l’exécution de tâches ODS ? Le mode Présentation désigne n'importe quelle fenêtre en mode plein écran. Ce mode peut s'appliquer aux logiciels de lecture vidéo, aux présentations Microsoft PowerPoint ou aux fenêtres Remote Desktop Protocol.
Comment puis-je gérer au mieux les mises à jour de contenu DAT v3 dans un environnement où les systèmes ne sont pas persistants ? Dans les environnements virtualisés ( XEN/VMware/Citrix ) où les systèmes sont générés à partir d’une image "Gold" ou "modèles," il est utile de mettre à jour les images "Gold" ou "modèles" avec le contenu le plus récent de temps en temps. Cette pratique contourne la nécessité pour un nœud final de télécharger une mise à jour de contenu complète (en général des centaines de magabytes de fichiers) au démarrage. Vous pouvez effectuer ces mises à jour comme suit. Démarrez l’image "Gold," démarrez la tâche de mise à jour et connectez-vous à un référentiel valide (par exemple, ePO) et prenez une image "Gold." Pour un processus de mise à jour automatique via ePO ou le site de mise à jour publique ( update.nai.com ) en général, nous publions les mises à jour incrémentielles (en général, 100 à 500 Ko). Tout système généré à partir d’un modèle de "" ou "image Gold" peut consommer les mises à jour au lieu d’une mise à jour complète, s’il ne s’agit pas de plus de 35 versions en retard par rapport à la version de contenu actuelle.
Comment fonctionnent les fichiers de contenu ? Lorsque le moteur d’analyse analyse les fichiers pour détecter les menaces, il compare le contenu des fichiers analysés aux informations sur les menaces connues stockées dans les AMCore fichiers de contenu. La Prévention contre les exploits utilise ses propres fichiers de contenu pour vous protéger contre les exploits.
Pourquoi le virus EICAR n’est-il pas détecté ? Pourquoi ma version 0.5 de contenu ? Ce problème survient lorsque AMCore le contenu n’a pas encore été mis à jour après l’installation du produit. Pour le résoudre, mettez à jour le contenu.
A
quelle fréquence voulez-vouslibérer les nouveaux fichiers de contenu prévention contre les menaces ?
Nous mettons à jour les nouveaux fichiers de contenu de prévention contre les exploits, le cas échéant. Le Guide produit de Endpoint Security indique de manière incorrecte que les fichiers de contenu de prévention contre les exploits sont libérés une fois par mois.
Quel contenu ENS-il besoin ? ENS prévention contre les menaces utilise "Endpoint Security" de contenu de prévention contre les exploits et le package de contenu " AMCore ."
Où puis-je récupérer AMCore les fichiers DAT ? Comment mettre à jour AMCore le contenu manuellement ?
Est-il possible de mettre à jour le AMCore contenu à partir de la ligne de commande sur un système client ? Oui. Pour mettre à jour le AMCore contenu, exécutez la commande suivante sur le système client : "C:\Program Files\McAfee\Endpoint Security\Threat Prevention\amcfg.exe" /update
pourquoi ens met-il automatiquement à jour la version du moteur ? Je ne parviens pas à pourront télécharger le moteur. Le concept de mise à jour des moteurs a été modifié avec AMCore la technologie ; ils ne sont plus des packages distincts du contenu. Lorsque AMCore le contenu nécessite une mise à jour de l’un des moteurs utilisés lors de l’analyse, la mise à jour du moteur est incluse dans les distributions de mise à jour de contenu v3. AMCoreLe fait de revenir à une version antérieure du contenu remonte également à un moteur si ce contenu n’est pas inclus.
Comment puis-je déterminer la version et la date du contenu Prévention contre les exploits à partir du Registre ou du système de fichiers ?
La date du contenu de la prévention contre les exploits n’est pas stockée dans le registre. La date est la date de la dernière modification du content.bin fichier trouvé dans le répertoire C:\Program Files\McAfee\Endpoint Security\Threat Prevention\IPS .
Pour déterminer la version du contenu de prévention contre les exploits à partir du Registre :
Notez les valeurs de chaîne suivantes sous la clé :
ContentMajorVersion
ContentMinorVersion
ContentVersion
Pour obtenir la version du contenu Prévention contre les exploits, prenez la valeur ContentVersion et remplacez la valeur avant le premier point par ContentMajorVersion, et la valeur après le premier point par ContentMinorVersion. Par exemple, si ContentVersion est 8.0.0.8137 , ContentMajorVersion = 10 et ContentMinorVersion est 7, la version du contenu de prévention contre les exploits est 10.7.0.8137.
Existe-t-il un moyen de déterminer la AMCore version du contenu à partir du registre ou du système de fichiers ? Oui. Procédez comme suit :
Convertissez les versions principales et secondaires du format hexadécimal au format décimal. Dans l’exemple suivant, la version est 2556.0.
"dwContentMajorVersion"=dword:000009fc (000009fc est 2556 en décimal) "dwContentMinorVersion"=dword:00000000 (00000000 est égal à 0 en décimal)
Les clés de registre de date et d’heure suivantes sont également présentes. Dans l’exemple ci-dessous, le contenu a été généré le AMCore 22 mars, 2017 à 08:44:00 GMT.
"szContentCreationDate"=reg_sz:"2017-03-22" (date de mise en forme aaaa-mm-jj) "szContentCreationTime"=reg_sz:"08:44:00" (heure formatée hh : mm : SS)
A partir du système de fichiers (si managé par ePO) :
Recherchez la valeur de AvManifestVersion dans le fichier C:\Program Files\McAfee\Endpoint Security\Threat Prevention\AvContentMgr.xml . Dans l’exemple suivant, la version est 2591.0 la suivante : 2591.0
Que signifie le numéro de fin dans une version DAT ?
Le numéro de fin indique s’il s’agit d’une package de production, de pré-production ou de bêta v3 DAT.
xxxx.0 (Exemple : 3158.0 ) -Indique un package DAT v3 de production
xxxx.1 (Exemple : 3158.1 ) -Indique un package DAT v3 de pré-production
xxxx.3 (Exemple : 3158.3 ) -Indique un package DAT v3 bêta
Comment revenir à une version antérieure ou restaurer le contenu des fichiers DAT ?
Utilisez l’une des options suivantes pour installer la version souhaitée :
Utilisez ePO et exécutez une tâche de mise à jour des fichiers DAT sur le client.
Exécutez le fichier de contenu DAT V3 manuellement sur le client.
Comment la conformité du contenu est AMCore -elle déterminée ? Les critères de « conformité » ne peuvent pas être modifiés. La AMCore conformité du contenu est basée sur l’ancienneté AMCore du fichier DAT.
Si les fichiers DAT sont âgés de moins de sept jours, ils sont considérés comme conformes.
Si le fichier DAT est supérieur ou égal à sept jours d’ancienneté, il n’est pas conforme.
Remarque : L’ancienneté des fichiers DAT n’est pas liée au moment où le système est mis à jour, mais lorsque le fichier DAT est libéré.
Est-ce que l’option de conformité "version des fichiers DAT pour VirusScan Enterprise était dans X versions des fichiers DAT de référentiel" existe-t-il dans ens ? Non. ENS détermine la conformité en fonction de l’ancienneté du fichier DAT, et non de la version des fichiers DAT.
Comment puis-je déterminer la taille des fichiers de mise à jour de AMCore contenu ? Vous pouvez afficher les fichiers de mise à jour de AMCore contenu ici : https commonupdater ou http commonupdater. La date ou l’horodatage des fichiers est toujours la date actuelle. Toutefois, un *.gem fichier de mise à jour incrémentielle est publié tous les jours et 30 jours pour les mises à jour incrémentielles qui y sont stockées.
Pourquoi le fichier DAT v3 est-il toujours un fichier de 100 Mo + lorsque j’ai indiqué que les nouveaux fichiers DAT étaient beaucoup plus petits ?
La taille réduite des fichiers DAT est la comparaison des fichiers DAT package AVV et MED (moyenne). Ces fichiers DAT offrent une fonctionnalité équivalente entre VSE et ENS.
Pour ENS :
Les fichiers DAT MED se trouvent à l’emplacement suivant (Notez que le dossier avec versions est modifié) :
La taille combinée de est 62.7 de medscan.dat, mednames.dat, and medclean.dat Mo.
Pour VSE :
Les fichiers DAT package AVV se trouvent à l’emplacement suivant :
C:\Program Files (x86)\Common Files\McAfee\Engine
La taille combinée de est de avvscan.dat, avvnames.dat, and avvclean.dat 143 Mo, ce qui réduit la taille de 56%.
Qu’est-ce que la tâche "de test intégrée à" dat ? Le test intégré dat effectue des vérifications de base sur l’intégrité du système. Il est lié à la mise à jour des fichiers DAT comme déclencheur au moment du démarrage. Il s’exécute à sept reprises à des intervalles aléatoires entre AMCore les mises à jour. La tâche n’est pas configurable. Elle ne s’exécute que si les options suivantes sont activées dans la section Endpoint Security prévention contre les menaces, stratégie options , analyse proactive des données :
Vérification régulière de la sécurité
Global Threat Intelligence (GTI) Commentaires
AMCore Réputation du contenu
Si la tâche échoue, vérifiez que le système dispose d’une connexion réseau et exécutez la tâche manuellement. La tâche est exécutée mcdatrep.exe , un composant qui utilise TrustedSource. Ainsi, HTTPS doit être autorisé et le système proxy doit être correctement configuré pour que la tâche réussisse.
Quelle est la fonction de chacun des modules ENS ?
Il existe trois modules ENS :
Firewall -surveille et intercepte les communications suspectes entre l’ordinateur et les ressources du réseau et d’Internet.
Prévention contre les menaces -vérifie la présence de virus, de logiciels espions (spywares), de programmes indésirables et d’autres menaces en analysant les éléments automatiquement lorsque les utilisateurs y accèdent (à l’accès) ou à la demande à tout moment.
Contrôle Web : affiche les évaluations de sécurité et les rapports pour les sites Web pendant la navigation et la recherche en ligne. Contrôle Web permet à l'administrateur de site de bloquer l'accès aux sites web en fonction de l'évaluation de sécurité et du contenu.
Quelle différence dans la couverture des adresses IP existe-t-elle entre ENS et Host IPS ? Pour obtenir la liste de toutes les signatures Host ENS Prevention et Host IPS ainsi que les directives actuellement prises en charge, voir KB51504-Registered-support directive.
Remarque : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité. Que signifie « Let McAfee Decide » (Laisser McAfee décider) lors de l'analyse des fichiers ?
Vous pouvez spécifier à quel moment l’analyseur à l’accès analyse les fichiers, par exemple lors de l’écriture sur le disque ou lors de la lecture à partir d’un disque. Ou, vous pouvez choisir le moment de l’analyse. Lorsque vous sélectionnez laisser McAfee décider, l’analyseur à l’accès utilise la logique de confiance pour optimiser l’analyse. La logique d’approbation améliore la sécurité et optimise les performances en évitant les analyses inutiles. Pour plus d’informations, voir la section Présentation du livre blanc Endpoint Security 10 prévention contre les menaces module.
ENS peut-il détecter un virus qui est chiffré par un système de fichiers chiffrés (EFS) ?
Oui, si l’utilisateur propriétaire du dossier EFS accède au fichier lors de l’exécution de l’analyse, ENS peut utiliser son jeton d’accès. Dans le cas contraire, ENS ne peut pas analyser les packages ou les fichiers chiffrés, et aucun analyseur antivirus n’est disponible. Les journaux ENS affichent les éléments suivants lorsqu’un système EFS est détecté : non analysé (le fichier est chiffré). La détection a lieu uniquement lorsque le fichier est déchiffré ou ouvert.
Pour plus d’informations, reportez-vous à l' article Troubleshooting efs Microsoft, qui couvre le système EFS et les problèmes liés aux programmes de vérification de virus.
Comment la analyseur à l’accès ENS gère-t-elle les interactions de mise en cache côté client ? Le fichier est-il local ou distant ?
Microsoft la technologie des fichiers/dossiers hors ligne, ou la mise en cache côté client, permet aux fichiers hébergés sur une ressource distante d’être accessibles localement par un équipement lorsque ce périphérique n’est pas connecté au réseau. Cette fonction est appelée Mise en cache côté client, car Windows crée une copie locale du fichier dans un dossier protégé. C'est à partir de cette copie locale que l'équipement lit et modifie le contenu du fichier selon les besoins. Lorsque l'équipement est à nouveau connecté au réseau et que le fichier distant est accessible, les modifications sont synchronisées pour mettre à jour les deux copies.
Le fichier mis en cache de cette manière est toujours considéré comme un fichier distant. De même lorsque l'équipement est déconnecté du réseau, l'utilisateur ou les programmes qui accèdent au fichier utilisent le même emplacement distant. Il est Windows qui gère la redirection nécessaire qui fournit l’accès à la copie locale mise en cache.
Étant donné que le fichier est toujours considéré comme distant, la fonctionnalité Network Drive Scanning (Analyse des lecteurs réseau) doit être activée pour que l'analyseur à l'accès analyse ces fichiers. De même, pour que les analyseur à la demande analysent les fichiers hors ligne, ils doivent disposer de l’emplacement d’origine (distant).
Pourquoi le fichier d’aide ENS s’ouvre-t-il dans un navigateur qui n’est pas mon navigateur par défaut ? ENS démarre le application associé .html au extension. Si le navigateur par défaut n’est pas associé .html au extension, un autre navigateur s’ouvre. Pour plus d’informations, voir KB86558-le fichier d’aide s’affiche dans un navigateur autre que celui par défaut.
Pourquoi une utilisation processeur élevée est McShield.exe -elle nécessaire ? McShield.exe est le analyseur en mode utilisateur qui analyse les fichiers pour déterminer s’ils ne sont pas infectés ou malveillants. Il doit utiliser des cycles processeur pour accomplir sa tâche.
Pourquoi l’utilisation de processeur élevée est McShield.exe -elle en permanence ? McShield.exe est également le analyseur d’hébergement pour effectuer le Working requis pour les tâches ODS. Si une tâche ODS planifiée est en cours d’exécution, vous voyez McShield.exe utiliser les cycles processeur pour effectuer les analyses demandées. Dans ENS 10.7 , il existe une option permettant de limiter l’utilisation du processeur au cours d’une tâche ODS.
Où se trouve EmailScan ? Pourquoi ENS inclut-il un e-mail analyseur tel que VSE ?
Il n’existe actuellement aucun plug-in pour les clients de messagerie Outlook ou Lotus. Cette fonctionnalité n’est pas incluse, car la fonctionnalité de EmailScan est largement redondante ou se chevauche avec l’analyse en temps réel. S’il existe un cas d’utilisation spécifique pour cette fonctionnalité, contactez votre Manager de compte de support et relayez votre récit utilisateur vers la gestion des produits.
ENS signale l’erreur "erreur de nettoyage, car aucun nettoyeur n’était disponible et supprimez les" en attente pour un fichier de menace détecté. Que signifie cette erreur ?
Cette erreur signifie généralement que le fichier ne peut pas être nettoyé et doit être supprimé. La suppression de fichiers peut renvoyer des résultats incohérents en raison de la nature transitoire des fichiers. Le produit peut indiquer qu’une action de suppression est en attente lorsque le fichier est déjà supprimé (par le système d’exploitation) avant que le produit puisse effectuer l’action de suppression.
Que signifie la valeur "durée avant la détection" affichée dans le "Endpoint Security : comportement de menace" tableau de bord ePO ?
Cette valeur correspond au délai entre la date de création du fichier (lors de l’écriture sur le disque) et l’heure de la détection.
Comment l'intégration avec Windows Antimalware Scan Interface (AMSI) fonctionne-t-elle ? AMSI est une norme d'interface générique fournie par Microsoft. AMSI est pris en charge sur les systèmes Windows 10, Windows Server 2016 et Windows Server 2019. AMSI permet aux applications et aux services de s'intégrer à l'extension ENS Prévention contre les menaces, offrant ainsi une meilleure protection contre les logiciels malveillants. L'intégration avec AMSI fournit une analyse améliorée des menaces dans les scripts non basés sur un navigateur, tels que PowerShell, JavaScript et VBScript.
Comment activer la journalisation de débogage dans ENS ?
Activez la journalisation de débogage pour chaque module ENS via la stratégie ENS Partagés. Assurez-vous de mettre en œuvre la stratégie sur le client avant de tenter de reproduire le problème. Pour mettre en œuvre la stratégie, exécutez un appel de réactivation agent sur le système à partir de la console ePO ou cliquez sur collecter et envoyer les propriétés à partir du moniteur d’État du client ma. Les fichiers journaux de débogage sont stockés au niveau %ProgramData%\McAfee\Endpoint Security\Log du système d’exploitation ou C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs en fonction de celui-ci. Pour obtenir des instructions, voir KB91797-activer la journalisation de débogage pour résoudre les problèmes Endpoint Security.
Comment puis-je activer la journalisation détaillée pour MA ?
La journalisation détaillée dans MA permet de résoudre les problèmes de mise à jour, d’installation et de mise à niveau. Activez la journalisation détaillée pour MA via la stratégie MA général. Cliquez sur l’onglet journalisation , puis sélectionnez activer la journalisation détaillée. Augmentez la limite de taille du fichier journal (Mo) à 20 et la déchiffrement sur 2. Pour obtenir des instructions, voir KB82170-comment activer la journalisation de débogage pour McAfee Agent pour résoudre les problèmes de Windows.
Pourquoi les événements ne sont-ils pas générés dans les tableaux de bord ePO ? Un niveau de gravité est associé aux événements des produits managés. Par défaut, les modules ENS ne consignent que les événements critiques et principaux. Si un événement présente un niveau de gravité informatif, il n’est pas consigné. Pour consigner tous les événements, modifiez la stratégie ENS Partagés et définissez le niveau de gravité journalisation des événements sur tous.
Comment empêcher les utilisateurs de désactiver l'extension Contrôle Web à partir d’un navigateur ?
La stratégie d’autoprotection dans la stratégie de Partagés ENS empêche les utilisateurs finaux de désactiver la barre d’outils de Contrôle Web et Contrôle Web objet d’aide au navigateur dans Internet Explorer. L’autoprotection n’empêche pas les utilisateurs de désactiver l'extension Contrôle Web dans Chrome ou Firefox.
Si un utilisateur désactive l'extension Contrôle Web dans Firefox, Contrôle Web est activé dans les sessions de navigation ultérieures après un redémarrage de l’Firefox. Vous ne pouvez pas empêcher un utilisateur de désactiver Contrôle Web dans Firefox.
Si un utilisateur supprime l'extension Contrôle Web dans Chrome, Contrôle Web n’apparaît plus dans Chrome même après une réinstallation de ENS. Vous devez supprimer le profil utilisateur Chrome ou réinstaller Chrome. Pour empêcher les utilisateurs de supprimer l'extension Contrôle Web dans Chrome, voir KB87568-contrôle Web navigateur extension doit être activé par l’utilisateur. Cet article contient des informations sur l’activation forcée de l’Contrôle Web extension via Active Directory stratégie de groupe.
Est-il possible d’activer l’option SAE et Contrôle Web extensions dans Chrome en même temps ? Non. Vous devez supprimer l’APPID SAE du modèle de stratégie de groupe Chrome. L’installation de la force SAE extension avec l'extension Contrôle Web provoque des problèmes avec la navigation des messages de mise en œuvre. Ne forcez pas l’installation des extensions SAE et Contrôle Web dans Chrome.
Comment Contrôle Web détermine-t-il si un site dispose d’une adresse IP privée ou interne ?
Contrôle Web n’agit pas sur les adresses IP privées ou internes. Les sites privés et internes d’une liste d’interdiction ne sont pas bloqués. Contrôle Web détermine qu’un site dispose d’une adresse IP privée ou interne s’il fait partie des intervalles d’adresses IP suivants :
Intervalles d’adresses IP privées IPv4 par défaut : 10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
localhost or 127.0.0.1
Intervalle d’adresses IP privées IPv6 par défaut :
Adresses locales et de liaison de sites qui commencent par
FEC, FED, FEE, FEF or FE8, FE9, FEA, FEB
Pourquoi la version de contrôle Web dans Chrome rapport diffère-t-elle de la version de contrôle Web dans la console ens ?
La console ENS signale la version actuelle de Contrôle Web installée. Chrome signale la version de l'extension Control Web hébergée dans Google Play Store. L'extension Contrôle Web dans Google Play Store peut ne pas être mise à jour avec les nouvelles versions de Contrôle Web publiées. Chrome pouvez signaler une autre version pour le Contrôle Web extension que la version affichée dans le champ ENS a propos ou dans les propriétés du produit ePO. Chrome utilise l'extension Contrôle Web installée localement.
Qu’est-ce qui entraîne l’affichage d’aucune annotation dans les résultats de recherche lors de l’exécution de la recherche avec un moteur de recherche pris en charge ? L'extension Contrôle Web utilise des scripts pour annoter les résultats de la recherche avec des évaluations. Si un moteur de recherche modifie la page Web qu’il utilise pour présenter les résultats du moteur de recherche, Contrôle Web risque de ne pas annoter la page. Pour plus d’informations, voir KB87640-contrôle Web les évaluations d’annotations de recherche ne s’affichent pas dans les résultats du moteur de recherche.
Pourquoi un site figurant sur la Contrôle Web liste d’autorisation apparaît-il toujours dans les annotations d’e-mail comme une URL classée rouge ?
Les annotations d’e-mail Contrôle Web sont basées uniquement sur l’évaluation GTI. La stratégie d’autorisation locale ne remplace pas l’évaluation GTI pour l’annotation e-mail.
Pourquoi la bulle du navigateur contrôle Web est-elle orange et pourquoi s’affiche-t-elle "erreur lors de la récupération des informations contrôle Web" ?
Si le service Contrôle Web ne peut pas communiquer avec les serveurs GTI, la bulle du navigateur est orange. Pour connaître les étapes de dépannage, voir KB87930-Endpoint Security contrôle Web bulle d’État est orange.
Pourquoi les rapports ePO ne répertorient-ils pas une URL pour les sites classés verts ?
Contrôle Web ne suit pas les URL classées en vert dans les rapports envoyés à ePO pour la confidentialité des utilisateurs. Contrôle Web envoie un nombre total de sites classés verts pour des catégories uniques dans les événements envoyés à ePO. Reportez-vous à la section "Comment contrôle Web fonctionne avec Web reporter" du Guide produit Endpoint Security contrôle Web pour plus d’informations sur la configuration de contrôle Web pour qu’il fonctionne avec Web reporter pour voir les URL classées en vert.
Pourquoi un système nécessite-t-il l’accès à la Banque de Google Chrome pour que le Contrôle Web extension fonctionner dans Chrome ou dans le bord ?
Lorsque le navigateur s’ouvre, il vérifie l'extension de Contrôle Web local par rapport à la extension Contrôle Web hébergée sur la Banque de Chrome. En l’absence d’accès à chrome.google.com, l'extension contrôle Web ne se charge pas dans le chrome chrome ou Edge. Pour obtenir des instructions relatives à l’utilisation des stratégies de groupe dans le mode de chrome Edge autoriser le chargement de Contrôle Web extension à partir du magasin complémentaire Microsoft Edge, reportez-vous à la section KB94784-How to install the Contrôle Web extension dans les régions où le chrome Web Store n’est pas accessible.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.