Résoudre les problèmes si Endpoint Security bloque des applications tierces
Articles techniques ID:
KB88482
Date de la dernière modification : 2021-04-23 02:06:43 Etc/GMT
Environnement
Protection adaptive contre les menaces McAfee Endpoint Security (ENS) (ATP) 10.x
Pare-feu McAfee Endpoint Security 10.x
McAfee ENS Prévention contre les menaces 10.x
Problème
Une application tierce cesse de fonctionner après l’installation de ENS.
Cause
L’une des fonctionnalités de sécurité ENS a jugé que le application, ou une partie du application, comme malveillant ou suspect. Cette décision justifie un confinement ou un nettoyage. La cause est probablement le résultat de l’une des fonctionnalités ENS suivantes. Si vous déterminez que le application est sûr, vous pouvez l’exclure de la fonctionnalité ENS qui le bloque. Les sections de la solution de cet article décrivent les fonctionnalités, expliquent comment identifier la fonctionnalité à l’origine du problème, ainsi que les résolutions recommandées.
Module Partagés :
Module Prévention contre les menaces :
Module Protection adaptive contre les menaces :
Le pare-feu ENS peut également bloquer le trafic réseau associé au application tiers. Il est important de régler correctement la configuration du pare-feu ENS sur le client pour vous assurer que les applications fonctionnent correctement pour les exigences de trafic réseau.
Module pare-feu :
Solution
1
Auto-protection Partagés->
L’autoprotection assure la sécurité des fichiers, des dossiers, du Registre, des processus et d’autres éléments pour les composants ENS. A l’instar de la protection de l’accès, les protections sont mises en œuvre à l’aide d’une technologie sous-jacente nommée contrôle de l’accès arbitraire.
Comment déterminer si l’auto-protection bloque le application
- Le problème ne se produit plus après la désactivation de l’autoprotection au niveau de Endpoint Security stratégie Partagés, options catégorie, , afficher les paramètres avancés, l’autoprotection et activer l’auto-protection.
- Cette SelfProtection_Activity.log indique que le application a été empêché d’effectuer une opération et que ce blocage provoquait un problème pour le application.
Comment empêcher l’auto-protection de bloquer un application
- Ajoutez un exclusion pour le processus de blocage de l’autoprotection.
- Désactivez l’auto-protection (non recommandé).
Solution
2
Prévention contre les menaces-protection de l’accès >
La protection de l’accès est une technologie comportementale qui met en œuvre un blocage pour les actions spécifiques telles que définies dans les règles de protection de l’accès activées. La portée de la fonctionnalité comprend les processus, les services, les fichiers, les dossiers, les clés de Registre et les valeurs. (La possibilité de bloquer les ports TCP et UDP se trouve dans le module pare-feu.) Tout comme l’autoprotection, la protection de l’accès est mise en œuvre à l’aide d’une technologie sous-jacente nommée contrôle d’accès arbitraire (AAC).
Comment déterminer si la protection de l’accès bloque le application
- Le problème ne se produit plus après la désactivation de la protection de l’accès à Endpoint Security stratégie de Prévention contre les menaces, la catégorie de protection de l’accès, la protection de l’accès, activer la protection de l’accès.
- Cette AccessProtection_Activity.log indique que le application a été empêché d’effectuer une opération (et que ce blocage entraînait un problème pour le application).
Comment empêcher la protection de l’accès de bloquer un application
- Identifiez la règle de protection de l’accès que le processus a enfreint et excluez le processus de cette règle.
Solution
3
Prévention contre les menaces-analyse à l’accès >
L’analyseur à l’accès (OAS) est le analyseur en temps réel qui s’exécute en continu. Il analyse les fichiers à mesure qu’ils sont ouverts pour lecture ou après qu’ils ont été modifiés (en écriture). Certaines des fonctionnalités qui font partie de Protection adaptive contre les menaces dépendent des paramètres OAS. Par exemple, Real Protect n’applique pas son analyse supplémentaire à un processus exclu de l’analyse OAS.
Comment déterminer si l’analyseur à l’accès bloque le application
- Le problème ne se produit plus après la désactivation de l’analyseur à l’accès à Prévention contre les menaces Endpoint Security catégorie analyse à l’accès, puis Cliquez sur l’analyse à l’accès.
- Cette OnAccessScan_Activity.log contient des informations sur la détection de application ou de ses fichiers.
Comment empêcher l’analyseur à l’accès de bloquer un application
- Ajoutez un exclusion de fichier pour le application ou ses fichiers, par exemple en excluant le dossier contenant ces fichiers.
- Utilisez l’outil GetClean et, si celui-ci identifie le application ou ses fichiers en tant qu’éléments à soumettre à McAfee, poursuivez l’envoi de ces détails de fichier à McAfee.
Solution
4
Prévention contre les exploits Prévention contre les menaces->
La prévention contre les exploits protège les programmes contre les exploits auxquels ces programmes peuvent avoir du code vulnérable. Si vous constatez que cette fonctionnalité a un impact sur le comportement d’un application tiers, il est probable que le application tiers contienne exploit comportement comme l’exécution de code à partir d’une mémoire en lecture seule. Ainsi, même si vous trouvez une solution temporaire au symptôme en désactivant la fonctionnalité ou en créant une exclusion, il est conseillé de rechercher une solution à long terme auprès du fournisseur de application tiers. Une solution à long terme vous protège contre l’exécution de code potentiellement vulnérable dans votre environnement.
Comment déterminer si la prévention contre les exploits bloque le application
- Le problème ne se produit plus après la désactivation de l’une des fonctionnalités de prévention contre les exploits suivantes dans Endpoint Security stratégie Prévention contre les menaces, catégorie prévention contre les exploits:
- Prévention des élévations de privilèges génériques (GPEP)-cette fonctionnalité est désactivée par défaut.
- Windows les exclusions de prévention de l’exécution des données (DEP) et DEP-DEP est désactivée par défaut.
- Signatures : seules les signatures de gravité élevée sont activées par défaut.
- Les règles de protection des applications : les processus nommés explicitement sont surveillés par défaut. vous avez peut-être ajouté d’autres processus par vous-même.
- Cette ExploitPrevention_Activity log indique que le application a été bloqué.
Comment empêcher la prévention contre les exploits de bloquer un application
- Pour la prévention générique des élévations de privilèges, désactivez la fonctionnalité.
- Pour Windows la prévention de l’exécution des données, ajoutez un exclusion pour le processus surveillé ou désactiver la prévention de l’exécution des données.
- Pour les signatures, définissez le signature approprié sur rapport uniquement ou désactivez les options bloquer et rapport.
- Pour les règles de protection des applications, désactivez la règle bloquant le processus applicable.
Solution
5
Prévention contre les menaces-> ScriptScan
ScriptScan est applicable uniquement si le processus concerné est Internet Explorer ou n’importe quel complément ou fonctionnalité dépendant de Internet Explorer. Un objet d’application d’assistance de navigateur est utilisé pour faciliter l’analyse des scripts que Internet Explorer charge.
Comment déterminer si ScriptScan bloque le application
- Le problème ne se produit plus après la désactivation de ScriptScan à Endpoint Security stratégie de Prévention contre les menaces, la catégorie analyse à l’accès, l' activation de ScriptScan.
Comment empêcher ScriptScan de bloquer un application
- Excluez l’URL ou le domaine si le problème de compatibilité est spécifique à une URL ou une page Web spécifique.
- Désactivez ScriptScan.
Solution
6
Protection adaptive contre les menaces-> Confinement d’application dynamique
Confinement d’application dynamique (DAC) utilise d’autres règles de protection de l’accès basées sur le comportement pour surveiller un processus confiné. Un processus confiné est un processus qui a satisfait à la réputation score configurée pour DAC, et que le module décisionnel face aux menaces ou une autre fonctionnalité du produit a recommandé le contenu du DAC. Un processus contenu dans DAC peut être bloqué, car les règles du DAC peuvent empêcher le processus d’effectuer certaines activités. (Chaque règle DAC activée définit ces activités.)
Comment déterminer si Confinement d’application dynamique bloque le application
- L’ID d’événement 37275 "contenu de l’application" est présent dans le journal des événements de menace ePolicy Orchestrator du système concerné et se trouve localement dans le journal des événements de la console ENS du système concerné.
- Cette DynamicApplicationContainment_Activity.log inclut le texte indiquant que la application "a été contenue à la demande d’un produit ou d’une fonctionnalité.
- Le problème ne se produit plus si DAC est configuré pour utiliser le mode d’observation uniquement à Endpoint Security Protection adaptive contre les menaces stratégie, options catégorie, Section mise en œuvre des actions, activez le mode d’observation. (Les événements sont générés, mais la stratégie n’est pas mise en œuvre).
Comment empêcher les Confinement d’application dynamique de bloquer un application
- Désactivez la règle du CAD applicable ou désélectionnez l’option bloquer pour cette règle.
- Excluez le processus dans la stratégie de exclusion DAC.
- Utilisez la Serveur Threat Intelligence Exchange pour définir manuellement une bonne réputation connue pour le processus.
Solution
7
Protection adaptive contre les menaces-> Real Protect
Real Protect fournit l’analyse post-exécution d’un processus, à l’aide d’une analyse basée sur les clients, d’une analyse cloud ou des deux. En fonction de ses conclusions, il peut provoquer une conviction comme un logiciel malveillant et un nettoyage ultérieur.
Comment déterminer si Real Protect bloque le application
- Le problème ne se produit plus après la désactivation de l’option "activer l’analyse basée sur les clients" ou "activer l’analyse basée sur cloud" dans Endpoint Security Protection adaptive contre les menaces stratégie, catégorie options, Real Protect section analyse.
- Cette AdaptiveThreatPrevention_Activity.log enregistre une détection de l’application (par exemple, Orchestrator.Action.Activity: Action Details: File: , Mode: Enforce , Scanner: Real Protect Client , Reputation: , ActionTaken: Clean).
- Cette AdaptiveThreatPrevention_Debug.log enregistre une détection statique du application (par exemple, Orchestrator.RealProtectStatic.Debug: File: : RP Static reputation classification 1 silent 0 detection name JCM reputation (l’entrée importante est la valeur classification 1).
- Cette AdaptiveThreatPrevention_Debug.log enregistre une cloud détection du application (par exemple, Orchestrator.RepChangeListener.Debug: real protect cloud found in process id , file ).
Comment empêcher les Real Protect de bloquer un application
- Utilisez les exclusions d’analyseur à l’accès pour exclure les fichiers détectés.
Veuillez Les exclusions analyseur à l’accès empêchent également les Protection adaptive contre les menaces de demander à Confinement d’application dynamique de contenir un processus.
- Utilisez Serveur Threat Intelligence Exchange pour modifier la réputation de l’entreprise pour les fichiers, le cas échéant.
- Utilisez Serveur Threat Intelligence Exchange pour ajouter le certificat pour les fichiers souhaités.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|