Articoli tecnici ID:
KB86704
Ultima modifica: 2022-07-12 19:40:59 Etc/GMT
Ambiente
Protezione adattiva dalle minacce Endpoint Security (ENS) (ATP)
Firewall 10.x ENS
Prevenzione delle minacce 10.x ENS
Controllo Web ENS 10.x
Riepilogo
Questo articolo è un elenco consolidato di domande e risposte comuni destinate agli utenti nuovi del prodotto. Ma può essere utile per tutti gli utenti.
Aggiornamenti recenti a questo articolo
Data
Aggiornamento
12 maggio 2022
Modifiche di formattazione minori; Nessuna modifica del contenuto.
4 maggio 2022
Aggiunto Espandi tutto/Comprimi tutte le sezioni.
1 novembre 2021
Aggiunta delle FAQ "perché un sistema deve accedere all'archivio Google Chrome per far funzionare l'estensione controllo Web in Chrome o Edge?" nella sezione "controllo Web".
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Contenuti Fare clic per espandere la sezione che si desidera visualizzare:
Dove posso trovare problemi noti con ENS? Per un elenco dei problemi noti con una classificazione elevata o media e che sono eccezionali con una determinata versione, consultare KB82450-Endpoint Security 10.x problemi noti.
Dove posso trovare la documentazione del prodotto ENS?
Dove è possibile trovare una spiegazione per i messaggi dell'evento ENS?
La messaggistica per eventi ENS utilizza stringhe di lingua naturale. Alcuni eventi potrebbero richiedere ulteriori spiegazioni rispetto alle informazioni fornite nella stringa di testo di piccole dimensioni in un evento. Per una spiegazione dettagliata dei messaggi di evento, consultare KB85494-elenco completo degli ID evento per Endpoint Security.
In che modo è possibile verificare lo stato del servizio ENS e degli altri servizi in un sistema? Utilizzare l'eseguibile C:\Program Files\Common Files\McAfee\SystemCore\mmsinfo.exe per verificare lo stato dei servizi come indicato di seguito. Questo eseguibile può essere utile se si utilizza uno strumento di monitoraggio di terze parti per tenere traccia dello stato del servizio ENS o per ottenere un rapporto sul numero di sistemi che l'ENS è in esecuzione.
Nota: Per verificare lo stato di tutti i nostri servizi, eseguire il comando C:\WINDOWS\system32>"C:\Program Files\Common Files\McAfee\SystemCore\mmsinfo.exe" -enum
Qual è il mfeensppl servizio? Il mfeensppl servizio è un servizio protected Process Light (PPL). Questo servizio viene utilizzato per la registrazione di mfetp con il servizio wscsvc Centro sicurezza PC Windows (WSC). Il servizio viene interrotto e avviato in base alle mfeensppl.exe esigenze. Il mfeensppl.exe servizio è simile al mfefire servizio, che viene eseguito solo quando è in uso. La registrazione con WSC avviene ogni volta che le policy vengono applicate sul sistema e anche quando il sistema viene riavviato. La registrazione con WSC viene effettuata tramite PPL in Windows 10 versione 1809 (ottobre 2018 Update) e versioni successive. Quando il mfeensppl.exe servizio viene eseguito, verifica se il sistema è compatibile con la tecnologia Windows 10 versione 1809 o successiva. Il servizio reagisce quindi di conseguenza. Nei sistemi che non eseguono Windows 10 versione 1809 (e versioni successive), il mfeensppl.exe servizio è presente. Dopo aver determinato che il sistema operativo non è supportato, mfeensppl.exe esce con garbo.
Perché la funzionalità della Guida in linea della console ePO apre una pagina del browser Web a docs.Trellix.com, anziché una pagina contestuale di informazioni sul prodotto? Questo comportamento è il risultato di una modifica della funzionalità che inizia con ENS 10.6.0. quando si utilizza la funzione guida facendo clic sul punto interrogativo ("?") all'interno della console ePO, apre il portale della documentazione (docs.Trellix.com), in cui è possibile eseguire una ricerca.
Qual è la $MfeDeepRem cartella, ad esempio, la cartella che si trova in root C:\?
Questa cartella viene utilizzata dalla funzionalità di remediation avanzata di ENS ATP. La cartella viene creata per unità. Le dimensioni della cartella variano in base alle dimensioni del file dell'unità. Questa cartella è protetta. Potrebbe essere necessario escludere le applicazioni che tentano di accedere a file o cartelle che non sono loro, ad esempio il software di backup. I tentativi di accesso alla cartella vengono negati.
In che modo è possibile determinare la versione del contenuto Real Protect?
Aprire la console ENS e accedere alla finestra informazioni su. Nella finestra informazioni su viene visualizzata la versione del contenuto Real Protect. Se si desidera visualizzare la versione del contenuto Real Protect senza aprire la console, visitare C:\Program Files\Common Files\McAfee\Engine\content\rpstatic il sito. Il nome della cartella Mostra la versione del contenuto. Ad esempio, 1.1.10005.6250. la versione del contenuto Real Protect non è memorizzata nel registro di sistema.
L'ENS può coesistere con i prodotti legacy SiteAdvisor Enterprise (SAE) e VirusScan Enterprise (VSE)?
No. Il programma di installazione di ENS rimuove sia SAE che VSE, indipendentemente dal modulo ENS selezionato per l'installazione. Per ulteriori informazioni, consultare KB86504-i prodotti legacy non possono coesistere con i moduli Endpoint Security.
Quali sono le piattaforme, gli ambienti e i sistemi operativi supportati per ENS? Per Endpoint Security, consultare le piattaforme supportate da l'articolo kb82761. In questo articolo è disponibile un elenco di sistemi operativi client e server supportati, infrastruttura virtuale, client email, requisiti hardware e browser Internet.
È supportato Microsoft Windows XP o Windows Server 2003?
No. Nessuno dei due è Windows 2009 punto di servizio incorporato perché si tratta di un sistema operativo basato su XP.
Perché si verificano problemi di compatibilità con applicazioni software di terze parti che "agganciare" i processi o tentare di, caricando il proprio codice (una dll) nel processo?
I nostri prodotti includono meccanismi di autoprotezione per impedire la manomissione di file, cartelle, processi, voci di registro ed eseguibili. I meccanismi di autoprotezione sono necessari per fornire e mantenere un elevato livello di sicurezza e fiducia nel software, in particolare per proteggersi contro gli attacchi malware. Per ulteriori informazioni, consultare la sezione KB83123: i problemi di compatibilità possono verificarsi quando applicazioni di terze partiinseriscono i processi.
Perché ENS Blocking System Information reporter (SIR) è stato ripristinato dal ripristino delle chiavi di registro? Il ripristino del registro di sistema di SIR non riesce in registri ENS protetti perché una regola ENS Self-Protection lo blocca. Per risolvere il problema, eseguire una delle seguenti operazioni:
Connettersi a AAC e aggiungere la regola di autorizzazione eccezionale per regedit.
Non utilizzare Regedit e aggiorna l'applicazione per apportare le modifiche direttamente al registro di sistema.
Dove posso trovare l'elenco di software di terze parti utilizzato da ENS? Su un computer in cui è distribuito ENS, l'elenco di software di terze parti utilizzato da ENS si trova nel seguente file:
In che modo i rilasci per ENS per Windows sono confezionati? Nel 2020 e versioni successive, ENS fornisce .MSI solo pacchetti per le release principali, secondarie e di aggiornamento standard. 1 questa decisione viene presa in base al feedback dei clienti relativamente alla necessità di ridurre la complessità e lo sforzo di implementazione.
Questo tipo di pacchetto singolo esegue le seguenti operazioni:
Installa ENS sui nuovi sistemi
Potenziate le installazioni esistenti di ENS
Per distribuire questi pacchetti per gli upgrade ENS, i clienti devono utilizzare un'attività di distribuzione dei prodotti di installazione e non devono più utilizzare un'attività di aggiornamento.
1 La presente decisione non si applica agli attuali ENS hotfix Delivery and Format, che restano invariati. È possibile utilizzare un'attività di aggiornamento per applicarle.
Possono essere installati moduli diversi (ad esempio Controllo Web e Prevenzione delle minacce), provenienti da diversi pacchetti di origine (ad esempio, l'aggiornamento di febbraio e l'aggiornamento di aprile), su un unico sistema specifico?
Tutti i moduli ENS installati in un sistema devono provenire dallo stesso pacchetto di origine, evitando una combinazione di componenti o moduli installati.
Quali sono le opzioni di installazione di Managed ENS?
Sono disponibili due opzioni di gestione: ePO e ePO cloud. Le principali differenze nella gestione dei due ambienti sono le seguenti:
ePO-gli amministratori installano i componenti del prodotto sul server di gestione; quindi, in genere configurano le impostazioni delle funzionalità (Policy) e distribuiscono il software client a più sistemi gestiti utilizzando le attività di distribuzione.
ePO cloud: l'utente o un altro fornitore di servizi configura ciascun account ePO cloud su un server di gestione esterno. Invia quindi una notifica all'amministratore locale quando i prodotti sono pronti per l'installazione sui sistemi gestiti. Gli amministratori locali creano quindi in genere e inviano un URL di installazione agli utenti per l'installazione sui sistemi locali.
Come si fa a migrare da una versione di valutazione di ENS a una versione con licenza?
Prima di installare la versione concessa in licenza di ENS, è necessario disinstallare prima il pacchetto di valutazione di ENS.
Come faccio a migrare I prodotti legacy a ENS?
Utilizzare il Migrazione endpoint guidata per migrare le impostazioni e le assegnazioni seguenti a ENS. Per istruzioni, consultare la Guida alla migrazioneEndpoint Security:
VSE8.8
Firewall host Intrusion Prevention (host IPS) 8.0
SAE 3.5
Dopo aver migrato la scansione all'accesso di VSE policy a ENS utilizzando l'Assistente migrazione, perché le esclusioni della scansione all'accesso non vengono applicate?
Questo problema si verifica quando la scansione all'accesso di VSE policy contiene dati di esclusione non validi o modelli di esclusione non supportati da ENS. L'Assistente migrazione non modifica i pattern di esclusione durante la migrazione. Per un elenco dei pattern di esclusione supportati da ENS, consultare la Guida alla migrazionedi Endpoint Security.
Ad esempio, l'esclusione "%systemroot%system32inetsrv" non è valida perché non è presente alcun ' \' tra la variabile di ambiente e i dati di file o cartelle successivi. L'esclusione corretta, in questo caso, è "%systemroot%\system32inetsrv" .
Se si verifica questo problema, nel registro degli errori della piattaforma ENS viene visualizzato un errore simile al seguente:
08/14/2017 09:35:31.225 AM mfetp(1924.2840) <SYSTEM> exclusion.EXCLUSION.Error (exclusionbl.cpp:5315): Sending exclusion policy to AMCore failed. Task name: EXCLUSION_EXCLUDE_OAS_PROCESS_GROUP_LOW, Error code: 0xA7F40511
Il Migrazione endpoint guidata migrare le regole assegnate in base ai tag?
No. Il Migrazione endpoint guidata non unisce e sostituisce le policy assegnate utilizzando le regole di tagging.
Come si distribuiscono I moduli ENS utilizzando ePO?
Per prima cosa, controllare i pacchetti del modulo ENS nel server ePO. Dal Gestore di prodotti software ePO, è presente un pacchetto di bundle. Questo pacchetto controlla i pacchetti di installazione del modulo, i file della guida e le estensioni del modulo nell'archivio principale di ePO. I pacchetti di installazione dei moduli includono la piattaforma di sicurezza, il firewall, il Prevenzione delle minacce e i moduli di protezione Web. Dal sito di download del prodotto, download ciascun pacchetto separatamente e archiviarlo nell'archivio principale di ePO.
Successivamente, creare un'attività di distribuzione. Le attività di distribuzione dei moduli firewall, Prevenzione delle minacce o Web Protection verificano la versione della piattaforma di sicurezza. Il programma di installazione del modulo Aggiorna automaticamente la versione della piattaforma di sicurezza prima di installare firewall, Prevenzione delle minacce o Web Protection.
Il modulo di ATP viene controllato separatamente dagli altri moduli ENS. Quando si installa il modulo ATP, la versione di ENS Prevenzione delle minacce deve essere identica. Ad esempio, non è possibile installare ATP 10.6.1 su un sistema in cui è in esecuzione ENS prevenzione delle minacce 10.6.0. non includere il modulo ATP quando si distribuiscono gli altri moduli ENS. L'attività di distribuzione di ePO potrebbe eseguire l'installazione del modulo ATP prima dell'installazione del modulo Prevenzione delle minacce. Si consiglia pertanto di disporre di un'attività di distribuzione separata per il modulo ATP.
Come si implementa ENS utilizzando soluzioni di distribuzione di terze parti?
La soluzione di terze parti deve soddisfare i seguenti requisiti:
Assicurarsi che tutti i file di installazione siano disponibili o accessibili.
Eseguire il programma di installazione eseguibile ( SetupEP.exe ) e non i file MSI.
Esegui con privilegi di sistema o amministratore.
Utilizzare il pacchetto autonomo ENS per i file di origine dell'installazione.
Nota: È possibile personalizzare questo pacchetto utilizzando il Progettazione di pacchetti.
L'ENS aggiornerà il mio vecchio McAfee Agent (MA) versione?
Dipende dal fatto che MA sia gestito:
Quando ePO gestisce MA, un'installazione di ENS non modifica il agent. Non è consentito farlo automaticamente quando il agent è in modalità gestita.
Quando MA non è gestito (autonomo), il SetupEP.exe programma di installazione esegue l'upgrade del Agent alla versione inclusa nel pacchetto ENS.
Come si installa ENS per gli utenti che non dispongono di diritti di amministratore?
Creare un URL di installazione e inviarlo agli utenti per installare ENS nei propri sistemi. Per istruzioni, consultare la Guida all'installazionedi Endpoint Security.
È possibile utilizzare Sysprep per includere ENS in un'immagine di base? Sì. Sysprep è un metodo di installazione supportato.
È possibile installare ENS in una lettera o un percorso di unità personalizzato? Sì.
Quali processi vengono installati dall'ENS? Per un elenco dei processi (Windows servizi e processi in esecuzione come servizio o come utente) che ENS installa, Vedi KB87791-processi che Endpoint Security installa.
Come si rimuove l'estensione In comune ENS da ePO?
L'estensione In comune non può essere rimossa se sono archiviate altre estensioni del modulo ENS. Rispostare prima tutte le estensioni del modulo ENS, prima di tentare di rispostare l'estensione In comune ENS.
In che modo è possibile migliorare le prestazioni con ENS?
Vedi KB88205-come migliorare le prestazioni con endpoint Security. Questo articolo viene aggiornato quando vengono raccolte informazioni sui problemi di prestazioni. Controllare prima l'articolo per assistenza se si riscontrano sintomi di prestazioni insufficienti.
Come si configurano le regole di protezione dell'accesso per bloccare malware? Per un elenco delle regole di protezione dell'accesso consigliate da implementare, Vedi KB91934-protezione contro ransomware-Rev J -lotta contro il ransomware.
È possibile utilizzare le variabili quando si creano le regole di protezione dell'accesso?
Non si consiglia di utilizzare le variabili perché possono avere risultati imprevisti. La procedura consigliata consiste nell'utilizzare i Wild Card. Ad esempio, C:\Users\%username%\SubFolder può essere rappresentato come C:\Users\*\SubFolder.
Perché gli eventi di protezione dell'accesso confermati si verificano sul sistema client e vengono registrati localmente non visibili in ePO dopo l'invio di eventi client? Vedi KB87149-gli eventi di protezione dell'accesso non sono disponibili in ePO. La configurazione predefinita per ENS esclude gli eventi dalla creazione. In alternativa, è possibile che i agent vengano eliminati anche gli eventi.
In che modo è possibile accedere alla console o rispostare ENS se si dimentica il password? La password predefinito è mcafee . Se si modifica il password e si è dimenticato il nuovo password, contattare Assistenza tecnica per istruzioni per rispostare il password. Prima di contattare Assistenza tecnica, assicurarsi di completare le azioni riportate di seguito.
Raccogliere i dati minimi di escalation requirement (MER) utilizzando lo strumento Mer.
Ottenere i diritti di amministratore e l'accesso fisico al sistema interessato.
Come si rimuove l'impostazione predefinita "scansione rapida" e "attività di scansione completa" ODS?
Questa domanda è preoccupante per i clienti che hanno creato un gruppo e accettato le impostazioni predefinite per le attività ODS. Il motivo è che le assegnazioni delle attività non possono essere modificate o eliminate. La soluzione più semplice è creare un gruppo in ePO Struttura dei sistemi e spostare i sistemi in quel gruppo. Non attivare le attività ODS per il nuovo gruppo.
Perché sono presenti voci delle attività server ePO quando si modificano le policy ENS? Quando si modificano le policy ENS su un server ePO 5.9 (o versioni successive), viene salvata una voce del registro delle attività server ePO denominata "Policy . Commento: "viene creato. Questa voce descrive le policy modifiche apportate, la data e l'ora in cui viene apportata la modifica e il nome utente di ePO. Questa modifica della funzionalità viene introdotta con ePO
5.9.
Nota: Quando si duplicano le policy predefinite (non modificabili), la prima policy modifica apportata al duplicato policy registra diverse modifiche policy dettaglio. Tuttavia, per qualsiasi modifica policy successiva, la voce dell'attività server registra solo le modifiche policy specifiche effettuate durante ogni modifica policy salvata.
In che modo è possibile importare le impostazioni (ad esempio, le impostazioni di firewall) al momento dell'installazione?
Utilizzare una delle seguenti opzioni:
ENS include un'utilità di Progettazione di pacchetti che consente di personalizzare le policy. Queste policy possono essere incluse nel pacchetto di installazione.
ENS include un'utilità denominata ESConfigTool.exe che consente di esportare e importare le policy. L' ESConfigTool.exe utilità si trova nella cartella ENS Platform (per impostazione predefinita C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform ). Distribuire ENS ad almeno un sistema client, configurare le impostazioni in base alle esigenze, quindi esportare le impostazioni utilizzando ESConfigTool.exe .
Note: È possibile importare il file generato ESConfigTool.exe utilizzando il comando setupEP.exe /import
Non utilizzare l'opzione testo normale quando si esporta se si intende importare le impostazioni.
Non specificare un'estensione per il file.
È necessario disattivare la regola di protezione dell'accesso che protegge ESConfig nella policy di protezione dell'accesso ENS prevenzione delle minacce.
Per visualizzare la Guida in linea e le opzioni, eseguire l'utilità senza parametri.
Come si configura la registrazione del traffico di rete di ENS firewall? All'interno delle opzioni del firewall ENS policy, attivare il registro tutti i consentiti o registrare tutte le opzioni bloccate . I registri del firewall ENS bloccano e autorizzano il \ProgramData\McAfee\Endpoint Security\Logs\FirewallEventMonitor.log traffico di rete al file. Se si desidera generare eventi ePO per il traffico di rete consentito o bloccato, attivare l'opzione del traffico di corrispondenza del registro in una regola di firewall specifica. Le regole generiche di generazione di eventi elevate possono causare problemi di prestazioni. Per ulteriori informazioni, consultare KB90177: l'attivazione delle opzioni di registrazione di "Gestisci corrispondenza come intrusione" o "registra corrispondenza traffico" potrebbe causare un utilizzo elevato della CPU.
Nota: La funzionalità di registro del FirewallEventMonitor.log Firewall ENS non consente di registrare nel file solo regole di firewall specifiche.
Fare clic su Accedi e immettere l'ID utente di ServicePortal e password. Se non si dispone ancora di un account ServicePortal o community, fare clic su registra per effettuare la registrazione per un nuovo account su entrambi i siti Web.
Nota: Il forum idee sostituisce il sistema di richiesta di miglioramento del prodotto precedente.
Qual è la modalità di presentazione "" quando si eseguono attività ODS?
La modalità di presentazione è una qualsiasi finestra in modalità a schermo intero. Questa modalità può essere applicata al software di riproduzione video, Microsoft presentazioni PowerPoint o Windows Remote Desktop Protocol.
In che modo è possibile gestire gli aggiornamenti dei contenuti DAT V3 in un ambiente in cui I sistemi non sono permanenti? In ambienti virtualizzati ( XEN/VMware/Citrix ) in cui i sistemi vengono generati da una "immagine Gold" o "modelli," è utile aggiornare le "Immagini Gold" o "modelli" con i contenuti più recenti ogni tanto. Questa pratica aggira la necessità di un nodo finale per scaricare un aggiornamento completo del contenuto (in genere, centinaia di magabytes di file) all'avvio. È possibile effettuare questi aggiornamenti come indicato di seguito. Avviare l'immagine "Gold," avviare l'attività di aggiornamento e connettersi a un archivio valido (ad esempio, ePO) e utilizzare un'immagine "Gold." Per un processo di aggiornamento automatico tramite ePO o il sito di aggiornamento pubblico ( update.nai.com ) in genere, vengono pubblicati aggiornamenti incrementali (in genere, 100 – 500 KB). Qualsiasi sistema generato da un modello di "" o "immagine Gold" può utilizzare gli aggiornamenti invece di un aggiornamento completo, se non è superiore a 35 versioni dietro la release di contenuti corrente.
Come funzionano i file di contenuto? Quando il motore di scansione esegue la scansione dei file per individuare le minacce, confronta il contenuto dei file sottoposti a scansione con le informazioni sulle minacce note memorizzate nei AMCore file di contenuto. Prevenzione exploit utilizza i propri file di contenuto per proteggersi da exploit.
Perché EICAR non viene rilevato? Perché la versione 0.5 del contenuto? Questo problema si verifica quando AMCore il contenuto non è stato ancora aggiornato dopo l'installazione del prodotto. Per risolvere il problema, aggiornare il contenuto.
Con
quale frequenzavengonorilasciati nuovi file di contenuto prevenzione delle minacce?
I nuovi file di contenuto di prevenzione exploit vengono rilasciati in base alle esigenze. La Guida del prodotto Endpoint Security indica erroneamente che i file di contenuto di prevenzione exploit vengono rilasciati una volta al mese.
Quali contenuti sono necessari per l'ENS? ENS prevenzione delle minacce utilizza "Endpoint Security contenuto di prevenzione exploit" e " AMCore pacchetto di contenuti."
Dove posso trovare AMCore i file dat? Come si aggiornano AMCore I contenuti manualmente?
È possibile aggiornare il AMCore contenuto dalla riga di comando su un sistema client? Sì. Per aggiornare il AMCore contenuto, eseguire il seguente comando sul sistema client: "C:\Program Files\McAfee\Endpoint Security\Threat Prevention\amcfg.exe" /update
perché ENS aggiorna automaticamente la versione del motore? Non sono in grado di download il motore in modo elettivo. Il concetto di aggiornamenti del motore è cambiato con AMCore la tecnologia; non sono più pacchetti separati dal contenuto. Quando AMCore il contenuto richiede un aggiornamento a uno dei suoi motori utilizzati durante la scansione, l'aggiornamento del motore è incluso nelle release di aggiornamento del contenuto V3. AMCoreIl declassamento del contenuto esegue anche il downgrade di un motore se non parte del contenuto precedente.
In che modo è possibile determinare la versione del contenuto di prevenzione exploit e la data del registro o del file System?
La data del contenuto di prevenzione exploit non è memorizzata nel registro di sistema. La data è la data dell'Ultima modifica del content.bin file trovato nella directory C:\Program Files\McAfee\Endpoint Security\Threat Prevention\IPS .
Per determinare la versione del contenuto di prevenzione exploit dal registro di sistema:
Prendere nota dei seguenti valori di stringa sotto la chiave:
ContentMajorVersion
ContentMinorVersion
ContentVersion
Per ottenere la versione del contenuto di prevenzione exploit, prendere il valore ContentVersion e sostituire il valore prima del primo periodo con ContentMajorVersion e il valore dopo il primo periodo con ContentMinorVersion. Ad esempio, se ContentVersion è 8.0.0.8137 , ContentMajorVersion è 10 e ContentMinorVersion è 7, la versione del contenuto di prevenzione exploit è 10.7.0.8137.
Esiste un modo per determinare la AMCore versione del contenuto dal registro o dal file System? Sì. Attenersi alla seguente procedura:
Convertire le versioni principale e secondaria da esadecimale a decimale. Nell'esempio seguente, la versione è 2556.0.
"dwContentMajorVersion"=dword:000009fc (000009fc è 2556 in decimale) "dwContentMinorVersion"=dword:00000000 (00000000 è 0 in decimale)
Sono presenti anche le chiavi di registro di data e ora seguenti. Nel seguente esempio, il AMCore contenuto è stato compilato il 22 marzo 2017 alle 08:44:00 GMT.
Dal file System (se gestito da ePO):
Individuare il valore di AvManifestVersion nel file C:\Program Files\McAfee\Endpoint Security\Threat Prevention\AvContentMgr.xml . Nell'esempio seguente, la versione è 2591.0 : 2591.0
Che cosa significa il numero finale in una versione DAT?
Il numero finale indica se si tratta di un pacchetto DAT di produzione, pre-produzione o beta V3.
xxxx.0 (Esempio: 3158.0 ) -Indica un pacchetto DAT di produzione V3
xxxx.1 (Esempio: 3158.1 ) -Indica un pacchetto DAT di pre-produzione V3
xxxx.3 (Esempio: 3158.3 ) -Indica un pacchetto DAT beta V3
Come si esegue il downgrade o il rollback del contenuto DAT?
Per installare la versione desiderata, utilizzare una delle seguenti opzioni:
Utilizzare ePO ed eseguire un'attività di aggiornamento DAT sul client.
Eseguire manualmente il file di contenuto DAT v3 sul client.
Come viene AMCore determinata la conformità dei contenuti?
Non è possibile modificare i criteri per "" conformi. La AMCore conformità del contenuto si basa sull'età del AMCore dat.
Se il file DAT è inferiore a sette giorni, viene considerato conforme.
Se il file DAT è maggiore o uguale a sette giorni fa, non è conforme.
Nota: L'età DAT non è correlata a quando il sistema viene aggiornato, ma quando il file DAT viene rilasciato.
L'opzione "la conformità delle versioni dat per VirusScan Enterprise si trovava nelle versioni X del file dat dell'archivio" esistere in ENS?
No. ENS stabilisce la conformità in base all'età del DAT e non alla versione DAT.
In che modo è possibile determinare la dimensione dei file di aggiornamento del AMCore contenuto? È possibile visualizzare i file di aggiornamento dei AMCore contenuti qui: https CommonUpdater o http CommonUpdater. L'indicatore di data e ora dei file è sempre la data corrente. Tuttavia, viene memorizzato un *.gem file di aggiornamento incrementale ogni giorno e vengono memorizzati gli aggiornamenti incrementali di 30 giorni.
Perché il DAT V3 è ancora un file 100 MB + quando mi è stato detto che i nuovi dat sono molto più piccoli?
Le dimensioni ridotte di DAT sono il confronto tra il pacchetto Avv e il (medio/basso) dat. Questi file dat offrono funzionalità equivalenti tra VSE e ENS.
Per ENS:
I dat MED si trovano nel percorso seguente (si noti che la cartella con versione cambia):
La dimensione combinata di medscan.dat, mednames.dat, and medclean.dat è 62.7 MB.
Per VSE:
I file dat pacchetto avv si trovano nel seguente percorso:
C:\Program Files (x86)\Common Files\McAfee\Engine
La dimensione combinata di avvscan.dat, avvnames.dat, and avvclean.dat è 143 MB, che è una riduzione delle dimensioni del 56%.
Qual è l'attività di "test incorporata di" dat? Il test incorporato di dat esegue alcuni controlli di base sullo stato di salute del sistema. È legato all'aggiornamento DAT come trigger per l'avvio. Viene eseguito sette volte a intervalli casuali tra AMCore gli aggiornamenti. L'attività non è configurabile. Viene eseguito solo se le opzioni seguenti sono attivate nella Endpoint Security prevenzione delle minacce, Opzioni Policy, sezione analisi dati proattiva :
Impulso di sicurezza
Feedback Global Threat Intelligence (GTI)
AMCore Reputazione del contenuto
Se l'attività non riesce, verificare che il sistema disponga della connettività di rete ed eseguire l'attività manualmente. L'attività viene eseguita mcdatrep.exe , un componente che utilizza TrustedSource. Pertanto, HTTPS deve essere consentito e il sistema proxy deve essere configurato correttamente affinché l'attività abbia esito positivo.
Che cosa fa ciascuno dei moduli ENS?
Sono disponibili tre moduli ENS:
Firewall : monitora e intercetta le comunicazioni sospette tra il computer e le risorse sulla rete e su Internet.
Prevenzione delle minacce : consente di verificare la presenza di virus, spyware, programmi indesiderati e altre minacce mediante la scansione automatica degli elementi quando gli utenti accedono a essi (all'accesso) o su richiesta in qualsiasi momento.
Controllo Web : Visualizza le classificazioni di sicurezza e i rapporti per i siti Web durante la navigazione e la ricerca online. Controllo Web consente all'amministratore del sito di bloccare l'accesso ai siti Web in base alle classificazioni di sicurezza o al contenuto.
Quale differenza nella copertura IPS esiste tra ENS e host IPS? Per un elenco di tutte le firme di prevenzione exploit e host IPS dell'ENS e delle relative direttive supportate correnti, consultare il supporto della direttiva KB51504-Signature-registered.
Nota: Il contenuto a cui si fa riferimento è disponibile solo per gli utenti che hanno effettuato l'accesso a ServicePortal. Per visualizzare il contenuto, fare clic sul collegamento e accedere quando richiesto. Cosa significa "consentire McAfee decidere" quando si esegue la scansione dei file?
È possibile specificare quando il programma di scansione all'accesso esegue la scansione dei file, ad esempio durante la scrittura sul disco o la lettura dal disco. In alternativa, è possibile decidere quando eseguire la scansione. Quando si seleziona Let McAfee decidere, il programma di scansione all'accesso utilizza la logica di affidabilità per ottimizzare la scansione. La logica di affidabilità migliora la sicurezza e aumenta le prestazioni evitando scansioni inutili. Per ulteriori informazioni, consultare la sezione Descrizione del Endpoint Security 10 prevenzione delle minacce modulo white paper.
L'ENS può rilevare un virus crittografato da un file system crittografato (EFS)?
Sì, se l'utente che possiede la cartella EFS accede al file quando viene eseguita la scansione, ENS può utilizzare il token di accesso. In caso contrario, ENS non è in grado di eseguire la scansione all'interno di file o pacchetti crittografati e nessuno dei programma di scansione antivirus. I registri ENS mostrano quanto segue quando viene rilevato un EFS: non sottoposto a scansione (il file è crittografato). Il rilevamento viene eseguita solo quando il file viene decrittografato o aperto.
In che modo l'ENS all'accesso programma di scansione gestire le interazioni di caching lato client? Il file è locale o remoto?
Microsoft la tecnologia dei file e delle cartelle offline o la memorizzazione nella cache lato client consente di accedere localmente a un dispositivo che si trova su una risorsa remota quando il dispositivo non è connesso alla rete. Questa funzione è denominata memorizzazione nella cache lato client perché Windows crea una copia locale del file in una cartella protetta. Viene da questa copia locale che il dispositivo legge e modifica il contenuto del file in base alle esigenze. Quando il dispositivo viene nuovamente connesso alla rete e il file remoto è accessibile, le modifiche vengono sincronizzate per aggiornare entrambe le copie.
Il file memorizzato nella cache in questo modo viene sempre considerato un file remoto. Anche quando il dispositivo è scollegato dalla rete, l'utente o i programmi che accedono al file utilizzano la stessa posizione remota. Si tratta di Windows che gestisce il reindirizzamento necessario che consente di accedere alla copia locale memorizzata nella cache.
Poiché il file viene sempre considerato remoto, affinché l'OAS esegua la scansione di questi file, è necessario attivare la funzione di scansione dell'unità di rete. Analogamente, per la programma di scansione su richiesta per la scansione dei file offline, deve essere fornita la posizione originale (remota).
Perché il file della Guida ENS viene aperto in un browser che non è il browser predefinito? ENS avvia l'applicazione associata all' .html estensione. Se il browser predefinito non è associato all' .html estensione, viene aperto un altro browser. Per ulteriori informazioni, consultare il file KB86558: la Guida in linea viene visualizzata in un browser non predefinito.
McShield.exePerché si dispone di un utilizzo elevato della CPU? McShield.exe è la modalità utente programma di scansione che analizza i file per determinare se sono puliti o malwareti. Deve utilizzare i cicli della CPU per eseguire il proprio lavoro.
Perché l'utilizzo elevato della CPU viene McShield.exe continuamente visualizzato? McShield.exe è anche il programma di scansione di hosting per eseguire i lavori necessari per le attività ODS. Se si dispone di un'attività ODS pianificata in esecuzione, è possibile McShield.exe utilizzare i cicli della CPU per eseguire le scansioni richieste. In ENS 10.7 esiste un'opzione che consente di limitare l'utilizzo della CPU durante un'attività ODS.
Dove si trova EmailScan? Perché l'ENS non include un email programma di scansione come VSE?
Attualmente non è presente alcun plug-in per i client di Outlook o Lotus mail. Questa funzione non è inclusa perché la funzionalità di EmailScan è in gran parte ridondante o sovrapposta con la scansione in tempo reale. Se è presente un caso di utilizzo specifico per questa funzionalità, contattare il proprio account di assistenza Manager e inoltrare la propria storia utente alla gestione del prodotto.
L'ENS segnala l'errore "errore di pulizia in quanto non è disponibile alcun detergente ed Elimina" in sospeso per un file di minaccia rilevato. Che cosa significa questo errore?
In genere, questo errore indica che il file non è pulibile e deve essere eliminato. L'eliminazione dei file può restituire risultati incoerenti a causa della natura transitoria dei file. Il prodotto potrebbe indicare che un'azione di eliminazione è in sospeso quando il file è già stato eliminato (dal sistema operativo) prima che il prodotto possa eseguire l'azione di eliminazione.
Che cosa significa il valore "durata prima del rilevamento" visualizzato nella "Endpoint Security: comportamento delle minacce" ePO Dashboard significa?
Questo valore è il tempo che intercorre tra la data di creazione del file (quando viene scritta sul disco) e il tempo di rilevamento.
Come funziona l'integrazione con Windows interfaccia di scansione antimalware (AMSI)?
AMSI è uno standard di interfaccia generico che Microsoft fornisce. AMSI è supportato sui sistemi Windows 10, Windows Server 2016 e Windows Server 2019. AMSI permette alle applicazioni e ai servizi di integrarsi con ENS Prevenzione delle minacce, garantendo una migliore protezione contro malware. L'integrazione con AMSI offre una scansione avanzata delle minacce in script non basati su browser, ad esempio PowerShell, JavaScript e VBScript.
Come si attiva la registrazione di debug in ENS?
Attivare la registrazione di debug per ogni modulo ENS tramite il policy In comune ENS. Assicurarsi di applicare il policy sul client prima di tentare di riprodurre il problema. Per imporre il policy, eseguire una chiamata di attivazione di agent al sistema dalla console ePO oppure fare clic su Raccogli e invia puntelli dal monitor di stato del client ma. I file di registro di debug vengono memorizzati in %ProgramData%\McAfee\Endpoint Security\Log o C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs in base al sistema operativo. Per istruzioni, consultare KB91797: attivare la registrazione di debug per risolvere i problemi Endpoint Security.
Come si attiva la registrazione dettagliata per MA?
La registrazione dettagliata in MA consente di risolvere i problemi relativi all'aggiornamento, all'installazione e all'upgrade. Attivare la registrazione dettagliata per MA tramite il policy generale di MA. Fare clic sulla scheda registrazione , quindi selezionare Attiva registrazione dettagli. Aumenta il limite di dimensione del file di registro (MB) a 20 e supera il conteggio fino a 2. Per istruzioni, consultare KB82170-come attivare la registrazione di debug per McAfee Agent per la risoluzione dei problemi Windows.
Perché gli eventi non vengono segnalati nelle dashboard di ePO?
Gli eventi del prodotto gestito hanno un livello di gravità. Per impostazione predefinita, i moduli ENS registrano solo eventi importanti e critici. Se un evento presenta un livello di gravità informativo, non viene registrato. Per registrare tutti gli eventi, modificare il In comune ENS policy e modificare il livello di gravità della registrazione eventi su tutti.
In che modo è possibile impedire agli utenti di disattivare l'estensione Controllo Web da un browser?
La policy di autoprotezione nella Policy ENS In comune impedisce agli utenti finali di disattivare la barra degli strumenti Controllo Web e Controllo Web Browser Helper Object (BHO) in Internet Explorer. La Autoprotezione non impedisce agli utenti di disattivare l'estensione Controllo Web in Chrome o Firefox.
Se un utente disattiva l'estensione Controllo Web in Firefox, Controllo Web viene attivata nelle sessioni di navigazione future dopo un riavvio Firefox. Non è possibile impedire a un utente di disattivare Controllo Web in Firefox.
Se un utente elimina l'estensione Controllo Web in Chrome, Controllo Web non viene più visualizzato in Chrome anche dopo una reinstallazione di ENS. È necessario eliminare il Chrome profilo utente o reinstallare Chrome. Per impedire agli utenti di eliminare l'estensione Controllo Web in Chrome, consultare l'estensione del browser KB87568-controllo Web deve essere attivata dall'utente. Questo articolo contiene informazioni sull'attivazione forzata dell'estensione Controllo Web tramite Active Directory gruppo policy.
È possibile attivare la forza di estensioni SAE e Controllo Web in Chrome contemporaneamente?
No. È necessario rispostare SAE APPID dal modello di policy di gruppo Chrome. La forza di estensione SAE installata con l'estensione Controllo Web causa problemi di navigazione dai messaggi di imposizione. Non forzare l'installazione delle estensioni SAE e Controllo Web in Chrome.
In che modo Controllo Web determinare se un sito dispone di un indirizzo IP privato o interno?
Controllo Web non agisce su indirizzi IP privati o interni. I siti privati e interni presenti in un elenco vietati non sono bloccati. Controllo Web stabilisce che un sito dispone di un indirizzo IP privato o interno se fa parte dei seguenti intervalli di indirizzi IP:
Intervalli di indirizzi IP privati IPv4 predefiniti: 10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
localhost or 127.0.0.1
Intervallo di indirizzi IP private IPv6 predefinito:
Indirizzi locali del sito e del collegamento che iniziano con
FEC, FED, FEE, FEF or FE8, FE9, FEA, FEB
Perché la versione di controllo Web in Chrome segnala in modo diverso rispetto alla versione di controllo Web nella console ENS?
La console ENS riporta la versione corrente di Controllo Web installata. Chrome segnala la versione dell'estensione Controllo Web ospitata nel negozio di Google Play. Quando vengono rilasciate nuove versioni di Controllo Web, l'estensione Controllo Web nel negozio di Google Play potrebbe non essere aggiornata. Chrome possibile segnalare una versione diversa per l'estensione Controllo Web rispetto alla versione mostrata nel campo ENS about o nelle proprietà del prodotto ePO. Chrome utilizza l'estensione Controllo Web installata localmente.
Che cosa non fa visualizzare le annotazioni nei risultati di ricerca quando eseguo la ricerca con un motore di ricerca supportato?
Controllo Web utilizza gli script per annotare i risultati delle ricerche con le classificazioni. Se un motore di ricerca modifica la pagina Web utilizzata per presentare i risultati dei motori di ricerca, Controllo Web potrebbe non annotare la pagina. Per ulteriori informazioni, consultare KB87640-controllo Web le classificazioni delle annotazioni di ricerca non vengono visualizzate nei risultati del motore di ricerca.
Perché un sito nell'elenco Controllo Web consentiti è ancora presente in email annotazioni come URL con classificazione rossa?
Controllo Web le annotazioni email si basano solo sulla classificazione GTI. Il policy di autorizzazione locale non esegue l'override della classificazione GTI per l'annotazione email.
Perché il controllo Web browser Balloon Orange e perché Visualizza "errore durante il recupero delle informazioni controllo Web"?
Se il servizio Controllo Web non è in grado di comunicare con i server GTI, il fumetto del browser è arancione. Per la procedura di risoluzione dei problemi, consultare KB87930-Endpoint Security controllo Web lo stato del fumetto è arancione.
Perché i rapporti ePO non elencano un URL per i siti classificati in verde?
Controllo Web non tiene traccia degli URL classificati in verde nei rapporti inviati a ePO per privacy utente. Controllo Web invia un conteggio dei siti con classificazione verde totale per le categorie univoche negli eventi inviati a ePO. Per informazioni sulla configurazione di controllo Web per l'utilizzo di Web reporter per la visualizzazione di URL classificati in verde, consultare la sezione "come controllo Web collabora con Web reporter" della Guida del prodotto Endpoint Security controllo Web .
Perché un sistema deve accedere all'archivio Google Chrome per far funzionare l'estensione Controllo Web in Chrome o Edge?
Quando si apre il browser, viene controllata l'estensione Controllo Web locale rispetto all'estensione Controllo Web ospitata nell'Archivio Chrome. Se non è possibile accedere a Chrome.Google.com, l'estensione controllo Web non viene caricata in Chrome o cromo Edge. Per istruzioni su come utilizzare il cromo Edge, le policy di gruppo consentono all'estensione Controllo Web di caricare dal negozio Add-on Microsoft Edge, consultare KB94784-come installare l'estensione controllo Web nelle aree in cui il Chrome Web Store è inaccessibile.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.