A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Endpoint Security (ENS) Proteção adaptável contra ameaças (ATP)
ENS Firewall 10.x
ENS Prevenção contra ameaças 10.x
ENS Controle da Web 10.x
Resumo
Este artigo é uma lista consolidada de perguntas e respostas comuns destinadas a usuários que são novos no produto. No entanto, ele pode ser usado para todos os usuários.
Atualizações recentes deste artigo
Data
Atualização
12 de maio de 2022
Alterações de formatação secundárias; nenhuma alteração de conteúdo.
4 de maio de 2022
Adicionado expandir tudo/recolher todas as seções.
1º de novembro de 2021
Adicionou as perguntas frequentes "por que um sistema precisa de acesso à loja do Google Chrome para que a extensão do controle da Web funcione no Chrome ou no Edge?" na seção "controle da Web.
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Sumário Clique para expandir a seção que você deseja exibir:
Onde posso encontrar problemas conhecidos com o ENS? Para obter uma lista de problemas conhecidos com uma classificação alta ou média e que estejam pendentes com uma versão fornecida, consulte KB82450-Endpoint Security 10.x problemas conhecidos.
Onde posso encontrar a documentação do produto ENS?
Onde posso encontrar uma explicação para as mensagens de evento do ENS?
A mensagem de evento do ENS usa cadeias de caracteres de linguagem natural. Alguns eventos podem exigir mais explicações do que o que foi fornecido na pequena cadeia de texto em um evento. Para obter uma explicação detalhada sobre as mensagens de evento, consulte KB85494-lista completa de IDs de evento para Endpoint Security.
Como posso verificar o status do serviço ENS e de seus outros serviços em um sistema? Use o executável C:\Program Files\Common Files\McAfee\SystemCore\mmsinfo.exe para verificar o status dos serviços da seguinte maneira. Esse executável pode ser útil se você estiver usando uma ferramenta de monitoramento de terceiros para rastrear o status do serviço ENS ou obter um relatório sobre o número de sistemas que o ENS está executando.
Nota: Para verificar o status de todos os nossos serviços, execute o comando C:\WINDOWS\system32>"C:\Program Files\Common Files\McAfee\SystemCore\mmsinfo.exe" -enum
O que é o mfeensppl serviço? O serviço é um serviço de luz do mfeensppl processo protegido (PPL). Esse serviço é usado para o registro do com o serviço wscsvc do mfetp Windows Security Center (WSC). O mfeensppl.exe serviço é interrompido e iniciado conforme o necessário. O mfeensppl.exe serviço é semelhante ao mfefire serviço, que também é executado somente quando está em uso. O registro com a WSC ocorre toda vez que as políticas são impostas no sistema e também quando o sistema é reiniciado. O registro com a WSC é feito por meio da PPL no Windows 10 versão 1809 (atualização de outubro de 2018) e posterior. Quando o mfeensppl.exe serviço é executado, ele verifica se o sistema é compatível com a tecnologia Windows 10 versão 1809 ou posterior. Em seguida, o serviço reage de acordo. Em sistemas que não estão em execução Windows 10 versão 1809 (e posterior), o mfeensppl.exe serviço está presente. Depois de determinar que o sistema operacional não é compatível, mfeensppl.exe é encerrado normalmente.
Por que o recurso ajuda no console do ePO abre uma página do navegador da Web para o docs.Trellix.com, em vez de uma página contextual de informações do produto? Esse comportamento é o resultado de uma alteração de recurso iniciada em ENS 10.6.0. quando você usa o recurso ajuda clicando no ponto de interrogação ("?") dentro do console do ePO, ele abre o portal da documentação (docs.Trellix.com), no qual é possível executar uma pesquisa.
Qual é a $MfeDeepRem pasta, por exemplo, a pasta localizada em raiz C:\?
Essa pasta é usada pelo recurso de correção aprimorada do ENS ATP. A pasta é criada por unidade. O tamanho da pasta varia de acordo com o tamanho arquivo da unidade. Esta pasta está protegida. Talvez seja necessário excluí-los por aplicativos que tentam acessar arquivos ou pastas que não são próprios, como software de backup. As tentativas de acesso à pasta têm acesso negado.
Como posso determinar a versão do conteúdo Real Protect?
Abra o console do ENS e vá para a janela sobre. A janela sobre mostra a versão do conteúdo Real Protect. Se você quiser ver a Real Protect versão de conteúdo sem abrir o console, vá para C:\Program Files\Common Files\McAfee\Engine\content\rpstatic . O nome da pasta mostra a versão do conteúdo. Por exemplo, 1.1.10005.6250. a versão de conteúdo real Protect não é armazenada no registro.
ENS pode coexistir com os produtos legados SiteAdvisor Enterprise (SAE) e VirusScan Enterprise (VSE)?
Não. O instalador do ENS remove o SAE e o VSE, qualquer que seja o módulo ENS selecionado para instalação. Para obter mais informações, consulte KB86504-os produtos legados não podem coexistir com os módulos Endpoint Security.
Quais são as plataformas, os ambientes e os sistemas operacionais compatíveis com o ens? Consulte as plataformas compatíveis com KB82761 para obter Endpoint Security. Este artigo fornece uma lista de sistemas operacionais de cliente e servidor compatíveis, infraestrutura virtual, clientes de e-mail, requisitos de hardware e navegadores da Internet.
O Microsoft Windows XP ou o Windows Server 2003 são compatíveis?
Não. Nenhum deles é Windows 2009 ponto de serviço incorporado porque trata-se de um sistema operacional baseado em XP.
Por que tenho problemas de compatibilidade com aplicativos de software de terceiros que "interceptar" processos, ou tentar fazer o carregamento de seu próprio código (uma dll) para o processo?
Nossos produtos incluem mecanismos de autoproteção para impedir a adulteração de arquivos, pastas, processos, entradas de registro e executáveis. Os mecanismos de autoproteção são necessários para fornecer e manter um alto nível de segurança e confiança no software, especialmente para proteção contra ataques de malware. Para obter mais informações, consulte KB83123-os problemas de compatibilidade podem ocorrer quando aplicativos de terceiros injetam nossos processos.
Por que o ENS está bloqueando a restauração de chaves de registro do System Information Reporter (SIR)? Falha na restauração do registro do SIR em registros protegidos por ENS, pois uma regra de ENS Self-Protection está bloqueando-o. Para resolver esse problema, execute uma das seguintes ações:
Conecte-se ao AAC e adicione a regra de permissão excepcional para o regedit.
Não use o regedit e atualização o aplicativo para fazer as alterações diretamente no registro.
Onde posso encontrar a lista de softwares de terceiros que o ENS usa? Em um computador no qual o ENS é distribuído, a lista de softwares de terceiros que o ENS usa está na seguinte arquivo:
Como as versões do ENS para o Windows são empacotadas? No 2020 e versões posteriores, o ENS fornece .MSI apenas pacotes para as versões principais, secundárias e atualização padrão. 1 essa decisão é feita com base no comentários de clientes em relação à necessidade de reduzir a complexidade e o esforço de distribuição.
Esse tipo de pacote único executa o seguinte:
Instalar o ENS em novos sistemas
Fazer upgrade de instalações existentes do ENS
Para distribuir esses pacotes para upgrades do ENS, os clientes devem usar uma tarefa de distribuição de produtos de instalação e não precisam mais usar uma tarefa de atualização.
1 Essa decisão não se aplica à entrega e ao formato de hotfix ENS atuais, o que permanece inalterado. Uma tarefa de atualização pode ser usada para aplicá-las.
Pode haver diferentes módulos (por exemplo, Controle da Web e Prevenção contra ameaças), originários de pacotes de origem diferentes (por exemplo, atualização de fevereiro e atualização de abril), ser instalado em um único sistema específico?
Todos os módulos do ENS instalados em um sistema devem ser originados do mesmo pacote de origem, evitando uma combinação e correspondência de componentes ou módulos instalados.
Quais são as opções de instalação gerenciada do ENS?
Existem duas opções de gerenciamento: ePO e ePO Cloud. As principais diferenças no gerenciamento dos dois ambientes são as seguintes:
ePO-os administradores instalam os componentes do produto no servidor de gerenciamento; em seguida, eles normalmente definem as configurações do recurso (políticas) e distribuem o software cliente para vários sistemas gerenciados usando tarefas de distribuição.
ePO Cloud-nós ou outro provedor de serviços configura cada conta do ePO Cloud em um servidor de gerenciamento externo. Em seguida, ele notifica o administrador local quando os produtos estão prontos para serem instalados em sistemas gerenciados. Normalmente, os administradores locais criam e enviam um URL de instalação para os usuários em sistemas locais.
Como migrar de uma versão de avaliação do ENS para uma versão licenciada?
Primeiro, você deve desinstalar o pacote de avaliação do ENS antes de instalar a versão licenciada do ENS.
Como faço para migrar produtos legados para o ENS?
Use o Assistente de migração de ponto de extremidade para migrar as configurações e atribuições a seguir para o ENS. Para obter instruções, consulte o Guia de migraçãodo Endpoint Security:
VSE 8.8
A Firewall do Host Intrusion Prevention (host IPS) 8.0
SAE 3.5
Depois de migrar a política de varredura ao acessar do VSE para o ENS usando o assistente de migração, por que as exclusões de varredura ao acessar não são cumpridas?
Esse problema ocorre quando a política de varredura ao acessar do VSE contém dados de exclusão ou padrões de exclusão inválidos que o ENS não oferece suporte. O assistente de migração não altera os padrões de exclusão durante a migração. Para obter uma lista de padrões de exclusão que o ENS oferece suporte, consulte o Guia de migraçãodo Endpoint Security.
Por exemplo, a exclusão "%systemroot%system32inetsrv" é inválida porque não há ' \ ' entre a variável de ambiente e os dados do próximo arquivo ou da pasta. A exclusão correta nesse caso é "%systemroot%\system32inetsrv" .
Se você encontrar esse problema, o log de erros da plataforma ENS mostrará um erro semelhante ao seguinte:
08/14/2017 09:35:31.225 AM mfetp(1924.2840) <SYSTEM> exclusion.EXCLUSION.Error (exclusionbl.cpp:5315): Sending exclusion policy to AMCore failed. Task name: EXCLUSION_EXCLUDE_OAS_PROCESS_GROUP_LOW, Error code: 0xA7F40511
O Assistente de migração de ponto de extremidade migrar regras que são atribuídas com base em marcas?
Não. O Assistente de migração de ponto de extremidade não mescla e substitui políticas que são atribuídas usando regras de marcação.
Como distribuir os módulos do ENS usando o ePO?
Primeiro, verifique os pacotes do módulo ENS no servidor ePO. No Gerenciador de software do ePO, há um pacote de pacotes. Este pacote verifica os pacotes de instalação do módulo, os arquivos de ajuda e as extensões de módulo no repositório mestre do ePO. Os pacotes de instalação do módulo incluem os módulos plataforma de segurança, Firewall, Prevenção contra ameaças e proteção na Web. No site de downloads de produtos, download cada pacote separadamente e faça check-in no repositório mestre do ePO.
Em seguida, crie uma tarefa de distribuição. As tarefas de distribuição dos módulos Firewall, Prevenção contra ameaças ou Web Protection verificam a versão da plataforma de segurança. O instalador de módulo atualiza automaticamente a versão da plataforma de segurança antes de instalar Firewall, Prevenção contra ameaças ou proteção na Web.
O módulo de ATP faz uma nova verificação separada dos outros módulos ENS. Ao instalar o módulo de ATP, a versão do ENS Prevenção contra ameaças deve ser a mesma. Por exemplo, não é possível instalar ATP 10.6.1 em um sistema executando o ENS prevenção contra ameaças 10.6.0. não inclua o módulo de ATP quando você distribuir os outros módulos do ens. A tarefa de distribuição do ePO pode executar a instalação do módulo ATP antes da instalação do módulo Prevenção contra ameaças. Portanto, recomendamos que você tenha uma tarefa de distribuição separada para o módulo de ATP.
Como distribuir o ENS usando soluções de distribuição de terceiros?
A solução de terceiros deve atender aos seguintes requisitos:
Verifique se todos os arquivos de instalação estão disponíveis ou acessíveis.
Execute o instalador executável ( SetupEP.exe ) e não os arquivos MSI.
Executar com privilégios de sistema ou de administrador.
Use o pacote independente do ENS para os arquivos de origem de instalação.
Nota: Você pode personalizar este pacote usando o Designer de pacotes.
O ENS será upgrade minha versão antiga do McAfee Agent (MA)?
Depende se o MA é gerenciado:
Quando o ePO gerencia o MA, uma instalação do ENS não modifica o agente. Não é permitido fazê-lo automaticamente quando o agente está no modo gerenciado.
Quando o MA é não gerenciado (independente), o SetupEP.exe instalador atualiza o agente para a versão incluída no pacote ens.
Como instalo o ENS para usuários que não têm direitos de administrador?
Crie um URL de instalação e envie-o aos usuários para instalar o ENS em seus sistemas. Para obter instruções, consulte o Guia de instalaçãodo Endpoint Security.
Posso usar Sysprep para incluir o ENS em uma imagem base? Sim. O Sysprep é um método de instalação compatível.
Posso instalar o ENS em uma letra de unidade personalizada ou local? Sim.
Que processos o ENS instala? Para obter uma lista dos processos (Windows os serviços e os processos em execução como um serviço ou usuário) que o ENS instala, consulte KB87791-processos que o Endpoint Security instala.
Como faço para remover a extensão de Em Comum do ENS do ePO?
A extensão Em Comum não pode ser removida se for feito check-in de qualquer outra extensão de módulo ENS. Remova todas as extensões do módulo do ENS primeiro, antes de tentar remover a extensão de Em Comum do ENS.
Consulte KB88205-como melhorar o desempenho com o Endpoint Security. Este artigo é atualizado à medida que as informações são coletadas sobre problemas de desempenho. Verifique o artigo primeiro para obter assistência se você enfrentar sintomas de mau desempenho.
Como configurar regras de proteção de acesso para bloquear malware? Para obter uma lista de regras de proteção de acesso sugeridas para implementar, consulte KB91934-protegendo-se do ransomware-Rev. J -combatendo ransomware.
Posso usar variáveis ao criar regras de proteção de acesso?
Não recomendamos o uso de variáveis, pois ela pode ter resultados inesperados. A prática recomendada é usar caracteres curingas. Por exemplo, C:\Users\%username%\SubFolder o pode ser representado como C:\Users\*\SubFolder.
Por que os eventos de proteção de acesso que são confirmados ocorrem no sistema cliente e ficam registrados localmente que não estão visíveis no ePO após o envio de eventos de cliente? Consulte KB87149-os eventos de proteção de acesso não estão disponíveis no ePO. A configuração padrão do ENS exclui esses eventos de serem criados. Ou o agente também pode estar suprimindo os eventos.
Como posso acessar o console ou remover o ENS se eu esquecer a senha? A senha padrão é mcafee . Se você alterar a senha e tiver esquecido a nova senha, entre em contato com Suporte técnico para obter instruções sobre como remover a senha. Verifique se você concluir as seguintes ações antes de entrar em contato com o Suporte técnico:
Colete os dados do requisito de escalonamento mínimo (MER) usando a ferramenta Mer.
Obtenha direitos de administrador e acesso físico ao sistema afetado.
Como faço para remover o "" de varredura rápida padrão e "tarefas de varredura completa" de ODS?
Essa pergunta é importante para os clientes que criaram um grupo e aceitaram as configurações padrão para tarefas de ODS. O motivo é que as atribuições de tarefas não podem ser editadas ou excluídas. A solução mais simples é criar um grupo no ePO Árvore de sistemas e mover sistemas para esse grupo. Não ative as tarefas de ODS para o novo grupo.
Por que existem entradas de tarefas do servidor ePO ao editar políticas do ENS? Ao editar políticas do ens em um servidor ePO 5.9 (ou posterior), uma entrada de log de tarefas do servidor ePO chamada "política é salva. Comentário: "é criado. Essa entrada descreve quais alterações de política são feitas, a data e a hora em que a alteração foi feita e por qual nome de usuário do ePO. Essa alteração de recurso é introduzida com o ePO
5.9.
Nota: Quando você duplica políticas padrão (não editáveis), a primeira alteração de política feita nos registros de política duplicados é alterada para várias alterações de detalhe de política. No entanto, para qualquer alteração de política subsequente, a entrada de tarefa do servidor registra somente as alterações de política específicas feitas durante cada alteração de política salva.
Como posso importar as configurações (por exemplo, firewall configurações) no momento da instalação?
Use uma das seguintes opções:
O ENS inclui um utilitário Designer de pacotes que permite personalizar políticas. Essas políticas podem ser incluídas no pacote de instalação.
O ENS inclui um utilitário nomeado ESConfigTool.exe que permite exportar e importar políticas. O ESConfigTool.exe utilitário está na pasta da plataforma ENS (por padrão, C:\Program Files\McAfee\Endpoint Security\Endpoint Security Platform ). Distribua o ENS a pelo menos um sistema cliente, defina as configurações conforme o necessário e, em seguida, exporte as configurações usando ESConfigTool.exe o.
Notas: Você pode importar o arquivo gerado ESConfigTool.exe usando o comando setupEP.exe /import
Não use a opção de texto sem formatação ao exportar se pretender importar as configurações.
Não especifique uma extensão para o arquivo.
Você deve desativar a proteção da regra ESConfig de proteção de acesso na política de proteção de acesso do ENS prevenção contra ameaças.
Para exibir a ajuda e as opções, execute o utilitário sem parâmetros.
Como configuro o registro de tráfego de rede do ENS Firewall? Na política opções de Firewall do ENS, ative o registro todos os permitidos ou Registre todas as opções bloqueadas . ENS Firewall registros bloqueiam e permitem o tráfego de rede para o \ProgramData\McAfee\Endpoint Security\Logs\FirewallEventMonitor.log arquivo. Se você desejar gerar eventos do ePO para o tráfego de rede permitido ou bloqueado, ative a opção registrar tráfego correspondente em uma regra de firewall específica. Regras genéricas e de geração de eventos de alto nível podem causar problemas de desempenho. Para obter mais informações, consulte KB90177-a ativação das opções de registro ' tratar correspondência como intrusão ' ou ' registrar tráfego correspondente ' pode causar alto uso da CPU.
Nota: A funcionalidade de log de Firewall do ENS não permite que apenas as regras de firewall específicas sejam registradas FirewallEventMonitor.log no arquivo.
Clique em entrar e digite a sua ID de usuário e a senha do ServicePortal . Se você ainda não tiver uma conta do ServicePortal ou da Comunidade, clique em registrar para registrar-se em uma nova conta em qualquer um dos sites.
Nota: O fórum de ideias substitui o sistema de solicitação de aprimoramento de produto anterior.
O que é "modo de apresentação" ao executar tarefas de ODS?
O modo de apresentação é qualquer janela no modo de tela inteira. Esse modo pode ser aplicado a software de reprodução de vídeo, apresentações Microsoft de PowerPoint ou Windows de protocolo de área de trabalho remota.
Como tratar as atualizações de conteúdo DAT v3 em um ambiente em que os sistemas não são persistentes? Em ambientes virtualizados ( XEN/VMware/Citrix ) em que os sistemas são gerados a partir de um "" de imagens Gold ou "modelos," é útil atualizaçãor as imagens de ouro "ou" modelos "com o conteúdo mais recente, a cada vez. Essa prática evita a necessidade de um nó final para download um atualização de conteúdo completo (geralmente, centenas de magabytes de arquivos) ao serem iniciados. Você pode fazer essas atualizações da seguinte maneira. Inicie a imagem do "Gold," iniciar a tarefa de atualização e conectar-se a um repositório válido (por exemplo, ePO) e obter uma imagem do "Gold." Para um processo de atualização automatizado por meio do ePO ou do site público do atualização ( update.nai.com ) em geral, publicamos atualizações incrementais (geralmente, de 100 a 500 KB). Qualquer sistema gerado por um modelo "" ou "imagem dourada" pode consumir as atualizações, em vez de um atualização completo, se não houver mais de 35 versões por trás da versão de conteúdo atual.
Como os arquivos de conteúdo funcionam? Quando o mecanismo de varredura varre os arquivos em busca de ameaças, ele compara o conteúdo dos arquivos examinados com as informações de ameaças conhecidas armazenadas nos AMCore arquivos de conteúdo. A Prevenção de exploração usa seus próprios arquivos de conteúdo para proteger contra explorações.
Por que o EICAR não está sendo detectado? Por que a minha versão 0.5 de conteúdo é a? Esse problema ocorre quando AMCore o conteúdo ainda não foi atualizado após a instalação do produto. Para resolver esse problema, atualização o conteúdo.
Com que frequência vocêlibera arquivos de conteúdo novos prevenção contra ameaças?
Lançamos os novos arquivos de conteúdo da prevenção de exploração conforme o necessário. O Guia de produto do Endpoint Security informa incorretamente que os arquivos de conteúdo da prevenção de exploração são liberados uma vez por mês.
Qual conteúdo o ENS precisa? O ens prevenção contra ameaças usa "Endpoint Security conteúdo de prevenção de exploração" e " AMCore pacote de conteúdo."
Onde posso obter AMCore os arquivos dat? Como posso atualização AMCore conteúdo manualmente?
Posso atualização o AMCore conteúdo da linha de comando em um sistema cliente? Sim. Para atualização o AMCore conteúdo, execute o seguinte comando no sistema cliente: "C:\Program Files\McAfee\Endpoint Security\Threat Prevention\amcfg.exe" /update
por que o ens atualização a versão do mecanismo automaticamente? Não consigo fazer download o mecanismo. O conceito de atualizações de mecanismos foi alterado com AMCore tecnologia; eles não são mais separados de conteúdo. Quando AMCore o conteúdo requer um atualização para qualquer um de seus mecanismos que é usado durante a varredura, o mecanismo atualização está incluído no conteúdo V3 atualização versões. AMCoreO downgrade de conteúdo também faz o downgrade de um mecanismo, caso ele não faça parte desse conteúdo mais antigo.
Como posso determinar a versão e a data do conteúdo da prevenção de exploração a partir do registro ou do sistema do arquivo?
A data do conteúdo da prevenção de exploração não é armazenada no registro. A data é a data da última modificação do content.bin arquivo encontrada no diretório C:\Program Files\McAfee\Endpoint Security\Threat Prevention\IPS .
Para determinar a versão do conteúdo da prevenção de exploração a partir do registro:
Observe os seguintes valores de cadeia de caracteres sob a chave:
ContentMajorVersion
ContentMinorVersion
ContentVersion
Para obter a versão do conteúdo da prevenção de exploração, tire o valor do ContentVersion e substitua o valor antes do primeiro período pelo ContentMajorVersion, e o valor após o primeiro período com o ContentMinorVersion. Por exemplo, se o ContentVersion for 8.0.0.8137 , ContentMajorVersion for 10 e ContentMinorVersion for 7, a versão do conteúdo da prevenção de exploração será 10.7.0.8137.
Existe alguma maneira de determinar a AMCore versão do conteúdo a partir do registro ou do sistema do arquivo? Sim. Execute as seguintes etapas:
Converta as versões principais e secundárias de hexadecimal para Decimal. No exemplo a seguir, a versão é 2556.0.
"dwContentMajorVersion"=dword:000009fc (o 000009fc é 2556 em decimal) "dwContentMinorVersion"=dword:00000000 (00000000 é 0 em decimal)
As seguintes chaves de registro de data e hora também estão presentes. No exemplo a seguir, o AMCore conteúdo foi criado em 22 de março de 2017 às 08:44:00 GMT.
No sistema arquivo (se for gerenciado pelo ePO):
Localize o valor de AvManifestVersion no arquivo C:\Program Files\McAfee\Endpoint Security\Threat Prevention\AvContentMgr.xml . No exemplo a seguir, a versão é 2591.0 : 2591.0
O que significa o número mais à direita de uma versão de DAT?
O número à direita indica se é um pacote de DAT de produção, pré-produção ou beta v3.
xxxx.0 (Exemplo: 3158.0 ) -Indica um pacote de DAT de produção v3
xxxx.1 (Exemplo: 3158.1 ) -Indica um pacote de DAT de pré-produção v3
xxxx.3 (Exemplo: 3158.3 ) -Indica um pacote de DAT da versão beta v3
Como posso fazer downgrade ou reverter o conteúdo DAT?
Use uma das opções a seguir para instalar a versão desejada:
Use o ePO e execute uma tarefa de atualização DAT no cliente.
Execute o conteúdo DAT v3 arquivo manualmente no cliente.
Como a conformidade com conteúdo é AMCore determinada?
Os critérios de "em conformidade com o" não podem ser alterados. A AMCore conformidade do conteúdo é baseada na idade do AMCore dat.
Se o DAT tiver menos de sete dias de idade, ele será considerado em conformidade.
Se o DAT for maior ou igual a sete dias de idade, ele estará fora de conformidade.
Nota: A idade do DAT não está relacionada ao momento em que o sistema é atualizado, mas quando o DAT é liberado.
A opção "conformidade de versão do dat para o VirusScan Enterprise estava dentro das versões X do repositório dat" existem no ENS?
Não. O ENS determina a conformidade com base na idade do DAT, e não na versão do DAT.
Como posso determinar o tamanho dos arquivos de atualização de AMCore conteúdo? Você pode exibir o AMCore conteúdo atualização arquivos aqui: https CommonUpdater ou http CommonUpdater. O carimbo de data ou hora dos arquivos é sempre a data atual. No entanto, um arquivo de *.gem atualização incremental é liberado todos os dias e 30 dias de atualizações incrementais são armazenados nesse local.
Por que o DAT v3 ainda é de 100 MB + arquivo quando fui informado de que os novos DATs são muito menores?
O tamanho menor do DAT é a comparação entre o pacote AVV e os DATs do MED (médio). Esses DATs oferecem funcionalidade equivalente entre o VSE e o ENS.
Para ENS:
Os DATs do MED encontram-se no seguinte local (Observe que a pasta com versão é alterada):
O tamanho combinado de medscan.dat, mednames.dat, and medclean.dat é 62.7 MB.
Para o VSE:
Os DATs do pacote AVV são encontrados no seguinte local:
C:\Program Files (x86)\Common Files\McAfee\Engine
O tamanho combinado de é de avvscan.dat, avvnames.dat, and avvclean.dat 143 MB, o que é uma redução de tamanho de 56%.
Qual é a tarefa de "de teste interna" dat? O teste embutido dat executa algumas verificações básicas na integridade do sistema. Ele está vinculado ao DAT atualização como o disparador de quando ele é iniciado. Ele é executado sete vezes em intervalos aleatórios entre AMCore as atualizações. A tarefa não pode ser configurada. Ele é executado somente se as seguintes opções estiverem ativadas no Endpoint Security prevenção contra ameaças, na política de Opções , na seção análise de dados proativa :
Pulsação da segurança
Global Threat Intelligence (GTI) comentários
AMCore Reputação de conteúdo
Se a tarefa não for bem-sucedida, verifique se o sistema tem conectividade de rede e execute a tarefa manualmente. A tarefa é executada mcdatrep.exe , um componente que usa o TrustedSource. Portanto, o HTTPS deve ser permitido e a proxy do sistema deve ser configurada corretamente para que a tarefa seja bem-sucedida.
O que cada um dos módulos do ENS faz?
Há três módulos ENS:
Firewall -monitora e intercepta a comunicação suspeita entre o computador e os recursos da rede e da Internet.
Prevenção contra ameaças -verifica se há vírus, spyware, programas indesejados e outras ameaças fazendo a varredura de itens automaticamente quando os usuários os acessam (ao acessar) ou por solicitação a qualquer momento.
Controle da Web -exibe relatórios e classificações de segurança para sites durante a navegação e pesquisa on-line. O Controle da Web permite que o administrador do site bloqueie o acesso a sites com base na classificação de segurança ou no conteúdo.
Qual é a diferença na cobertura do IPS entre o ENS e o host IPS? Para obter uma lista de todas as assinaturas do ENS Exploit Prevention e host IPS, bem como suas diretivas compatíveis atuais, consulte KB51504-suporte de política de assinatura registrada.
Nota: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado. O que "permite que a McAfee decida" ao fazer a varredura de arquivos?
Você pode especificar quando a mecanismo de varredura de varredura ao acessar varre os arquivos, como ao gravar em disco ou ler o disco. Ou então, você pode decidir quando varrer. Quando você seleciona permitir que McAfee decida, o mecanismo de varredura ao acessar usa a lógica de confiança para otimizar a varredura. A lógica de confiança melhora a segurança e aumenta o desempenho ao evitar varreduras desnecessárias. Para obter mais informações, consulte noções básicas sobre o White paper do módulo Endpoint Security 10 prevenção contra ameaças.
O ENS pode detectar um vírus criptografado por um sistema de arquivo criptografado (EFS)?
Sim, se o usuário que possui a pasta EFS acessar o arquivo quando a varredura for executada, o ENS poderá usar seus token de acesso. Caso contrário, o ENS não poderá varrer dentro de arquivos criptografados ou pacotes, e nenhum antivírus mecanismo de varredura. Os registros do ENS mostram o seguinte quando um EFS é encontrado: não examinado (o arquivo está criptografado). A detecção ocorre somente quando o arquivo é descriptografado ou aberto.
Como o ENS ao mecanismo de varredura acessar lida com as interações de cache do lado cliente? O arquivo local ou remoto?
Microsoft tecnologia de arquivos/pastas off-line ou armazenamento em cache no lado cliente, o permite que arquivos hospedados em um recurso remoto sejam acessíveis localmente por um dispositivo quando esse dispositivo não está conectado à rede. Essa função é chamada armazenamento em cache no lado cliente porque Windows cria uma cópia local do arquivo em uma pasta protegida. Essa é a partir dessa cópia local que o dispositivo lê e modifica o conteúdo arquivo conforme o necessário. Quando o dispositivo for conectado novamente à rede e o arquivo remoto estiver acessível, as alterações serão sincronizadas para atualização as duas cópias.
A arquivo que está sendo armazenada em cache dessa maneira é sempre considerada um arquivo remota. Mesmo quando o dispositivo está desconectado da rede, o usuário ou os programas que acessam o arquivo usam o mesmo local remoto. É Windows que lida com o redirecionamento necessário que fornece acesso à cópia local, armazenada em cache.
Como o arquivo é sempre considerado remoto, para que o OAS Examine esses arquivos, o recurso de varredura de unidade de rede deve estar ativado. Da mesma forma, para que a mecanismo de varredura por solicitação faça a varredura dos arquivos off-line, ele deve ser fornecido pelo local original (remoto).
Por que a ajuda do ENS arquivo aberta em um navegador que não é meu navegador padrão? O ENS inicia o aplicativo associado .html à extensão. Se o navegador padrão não estiver associado .html à extensão, um navegador diferente será aberto. Para obter mais informações, consulte KB86558-Help arquivo é exibido em um navegador não padrão.
McShield.exePor que o tem um alto nível de utilização da CPU? McShield.exe é o modo de usuário mecanismo de varredura que analisa os arquivos para determinar se eles estão limpos ou malware. Ele deve usar ciclos de CPU para realizar seu trabalho.
Por que o mostra o McShield.exe alto uso da CPU continuamente? McShield.exe também é o mecanismo de varredura de hospedagem para executar o trabalho necessário para tarefas de ODS. Se houver uma tarefa de ODS programada em execução, você verá McShield.exe usar ciclos de CPU para executar as varreduras solicitadas. Em ENS 10.7 , há uma opção para limitar o uso da CPU durante uma tarefa de ODS.
Onde está o EmailScan? Por que o ENS não inclui uma mecanismo de varredura de e-mail como o VSE?
Atualmente, não há plug-in para os clientes de Outlook ou do Lotus mail. Esse recurso não está incluído porque a funcionalidade do EmailScan é amplamente redundante ou sobrepondo-se à varredura em tempo real. Se houver um caso de uso específico desejado para esse recurso, entre em contato com a sua conta de suporte Manager e retransmita a sua história de usuário para o gerenciamento de produtos.
O ens relata o erro "erro ao limpar porque nenhum limpador estava disponível e exclua" pendentes para um arquivo de ameaça detectada. O que significa este erro?
Esse erro normalmente significa que a arquivo não pode ser limpa e deve ser excluída. A exclusão de arquivos pode retornar resultados inconsistentes devido à natureza transitória dos arquivos. O produto pode indicar que uma ação de exclusão está pendente quando a arquivo já está excluída (pelo sistema operacional) antes que o produto possa executar a ação de exclusão.
O
que significa o valor "duração antes da" de detecção exibida no "Endpoint Security: comportamento da ameaça" Dashboard do ePO ?
Esse valor é o tempo entre a data de criação do arquivo (quando ele é gravado no disco) e a hora da detecção.
Como funciona a integração com a interface de varredura antimalware do Windows (AMSI)?
O AMSI é um padrão de interface genérico que o Microsoft fornece. O AMSI é compatível com os sistemas Windows 10, Windows Server 2016 e Windows Server 2019. O AMSI permite que os aplicativos e serviços se integrem ao ENS Prevenção contra ameaças, proporcionando melhor proteção contra malware. A integração com a AMSI fornece varredura avançada de ameaças em scripts não baseados em navegador, como PowerShell, JavaScript e VBScript.
Como ativar o registro em log de depuração no ENS?
Ativar log de depuração para cada módulo ENS por meio da política de Em Comum do ENS. Verifique se você impõe a política no cliente antes de tentar reproduzir o problema. Para impor a política, execute uma chamada de ativação do agente para o sistema a partir do console do ePO ou clique em coletar e enviar props do monitor de status do ma de cliente. Os arquivos de log de depuração são armazenados em %ProgramData%\McAfee\Endpoint Security\Log ou C:\Documents and Settings\All Users\Application Data\McAfee\Endpoint Security\Logs dependendo sistema operacional. Para obter instruções, consulte log de depuração do KB91797-ativar para solucionar problemas de Endpoint Security.
Como posso ativar o registro detalhado MA?
O login detalhado MA ajuda a solucionar problemas de atualização, instalação e upgrade. Ativar registro detalhado MA por meio da política geral de MA. Clique na guia registro e selecione Ativar registro de detalhes. Aumente o limite de tamanho do arquivo de log (MB) para 20 e reverta a contagem para 2. Para obter instruções, consulte KB82170-como ativar o registro de depuração de McAfee Agent para solucionar problemas de Windows.
Por que os eventos não são relatados nos dashboards do ePO?
Os eventos de produto gerenciados têm um nível de gravidade. Por padrão, os módulos ENS registram somente eventos críticos e importantes. Se um evento tiver uma gravidade de informativa, ele não será registrado. Para registrar todos os eventos, edite a política de Em Comum do ENS e altere o nível de gravidade do registro de eventos para todos.
Como impedir que os usuários desativem a extensão do Controle da Web a partir de um navegador?
A política de autoproteção na política ENS Em Comum impede que os usuários finais desativem a barra de ferramentas Controle da Web e o objeto auxiliar de navegador do Controle da Web (BHO) no Internet Explorer. A autoproteção não impede que os usuários desativem a extensão do Controle da Web em Chrome ou Firefox.
Se um usuário desativar a extensão Controle da Web no Firefox, o Controle da Web será ativado nas próximas sessões de procura após uma reinicialização do Firefox. Não é possível impedir que um usuário desative Controle da Web no Firefox.
Se um usuário excluir a extensão Controle da Web em Chrome, o Controle da Web não aparecerá mais no Chrome mesmo depois de uma reinstalação do ENS. Você deve excluir o perfil de usuário do Chrome ou reinstalar Chrome. Para impedir que os usuários excluam a extensão do Controle da Web em Chrome, consulte a extensão do navegador do KB87568-controle da Web deve ser ativada pelo usuário. Este artigo contém informações sobre como forçar a ativação da extensão do Controle da Web por meio do Active Directory política de grupo.
Posso ter a força de extensões do SAE e do Controle da Web ativada no Chrome ao mesmo tempo?
Não. Você precisa remover a APPID do SAE do modelo de política de grupo Chrome. Ter a força de extensão do SAE instalada com a extensão Controle da Web causa problemas com a navegação das mensagens de cumprimento. Não force a instalação das extensões SAE e Controle da Web em Chrome.
Como o Controle da Web determina se um site tem um endereço IP privado ou interno?
A Controle da Web não funciona em endereços IP privados ou internos. Sites privados e internos em uma lista de proibições não são bloqueados. Controle da Web determina que um site tem um endereço IP privado ou interno se ele fizer parte das seguintes faixas de endereços IP:
Intervalos de endereços IP privados do IPv4 padrão: 10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
localhost or 127.0.0.1
Faixa de endereços IP de IPv6 privada padrão:
Endereços de sites locais e de conexões locais que começam com
FEC, FED, FEE, FEF or FE8, FE9, FEA, FEB
Por que a versão do controle da Web no relatório Chrome de forma diferente da versão do controle da Web no console do ens?
O console do ENS relata a versão atual do Controle da Web instalada. Chrome relata a versão da extensão do Controle da Web hospedada no armazenamento do Google Play. À medida que novas versões do Controle da Web são liberadas, a extensão do Controle da Web na loja do Google Play pode não ser atualizada. Chrome pode relatar uma versão diferente para a extensão do Controle da Web do que a versão mostrada no campo ENS sobre ou nas propriedades do produto ePO. Chrome usa a extensão de Controle da Web instalada localmente.
O que não faz com que as anotações sejam exibidas nos resultados da pesquisa quando eu executo a pesquisa com um mecanismo de pesquisa compatível?
O Controle da Web usa scripts para anotar os resultados da pesquisa com classificações. Se um mecanismo de pesquisa alterar a página da Web usada para apresentar os resultados do mecanismo de pesquisa, Controle da Web poderá não anotar a página. Para obter mais informações, consulte as classificações de anotação de pesquisa do KB87640-controle da Web não são exibidas nos resultados do mecanismo de pesquisa.
Por que um site na lista de permissão de Controle da Web ainda aparece em anotações de e-mail como um URL com classificação vermelha?
Controle da Web anotações de e-mail são baseadas apenas na classificação GTI. A política de permissão local não substitui a classificação de GTI para a anotação de e-mail.
Por que o balão do controle da Web do navegador é laranja e por que ele exibe "erro ao recuperar controle da Web informações"?
Se o serviço de Controle da Web não puder se comunicar com os servidores GTI, o balão do navegador será laranja. Para obter etapas de solução de problemas, consulte KB87930-Controle da Web do Endpoint Securityo balão de status é laranja.
Por que os relatórios do ePO não listam um URL para sites com classificação verde?
Controle da Web não rastreia URLs com classificação de cor verde nos relatórios enviados ao ePO para a privacidade do usuário. A Controle da Web envia um número total de sites classificados como verde para categorias exclusivas nos eventos enviados para o ePO. Consulte a seção "como o controle da Web trabalha com o Web Reporter" do Guia do produto Endpoint Security controle da Web para obter informações sobre como configurar o controle da Web para trabalhar com o Web reporter para ver URLs com classificação verde.
Por que um sistema precisa acessar a Google Chrome Store para que a extensão do Controle da Web funcione no Chrome ou no Edge?
Quando o navegador é aberto, ele verifica a extensão de Controle da Web local em relação à extensão de Controle da Web hospedada no armazenamento de Chrome. Se não houver acesso ao Chrome.google.com, a extensão controle da Web não será carregada no Chrome ou no Edge Chromium. Para obter instruções sobre a Chromium de borda use políticas de grupo para permitir que a extensão do Controle da Web seja carregada no armazenamento do complemento do Microsoft Edge, consulte KB94784-como instalar a extensão do controle da Web em regiões onde o Chrome Web Store está inacessível.
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.