Risoluzione dei problemi se Endpoint Security blocca le applicazioni di terze parti
Articoli tecnici ID:
KB88482
Ultima modifica: 2021-04-23 02:06:33 Etc/GMT
Ambiente
Protezione adattiva dalle minacce McAfee Endpoint Security (ENS) (ATP) 10.x
Firewall McAfee ENS 10.x
McAfee ENS Prevenzione delle minacce 10.x
Problema
Un'applicazione di terze parti ha smesso di funzionare dopo l'installazione di ENS.
Causa
Una delle funzioni di sicurezza ENS ha giudicato l'applicazione, o parte dell'applicazione, come dannoso o sospetto. Tale giudizio ha giustificato il contenimento o la pulizia. La causa è probabilmente il risultato di una delle seguenti funzionalità ENS. Se si stabilisce che l'applicazione è sicura, è possibile escluderla dalla funzionalità ENS che lo blocca. Le sezioni della soluzione descritte in questo articolo descrivono le funzionalità, le modalità di identificazione della funzionalità che causa il problema e le risoluzioni consigliate.
Modulo In comune:
Modulo Prevenzione delle minacce:
Modulo Protezione adattiva dalle minacce:
Il firewall ENS può anche bloccare il traffico di rete associato all'applicazione di terze parti. È importante sintonizzare correttamente la configurazione del firewall ENS sul client per assicurarsi che le applicazioni funzionino correttamente per i requisiti del traffico di rete.
Modulo Firewall:
Soluzione
1
In comune-> auto-protezione
Self-Protection fornisce protezione per file, cartelle, registro, processi e altri elementi per i componenti ENS. Analogamente alla protezione dell'accesso, le protezioni vengono implementate utilizzando una tecnologia di base denominata controllo degli accessi arbitrario (AAC).
Come determinare se la Autoprotezione sta bloccando l'applicazione
- Il problema non si verifica più dopo la disattivazione dell'autoprotezione in Endpoint Security In comune policy, categoria opzioni, Mostra avanzate, autoprotezione, attiva autoprotezione.
- Il SelfProtection_Activity.log indica che l'applicazione è stata bloccata dall'esecuzione di un'operazione e che il blocco ha provocato un problema per l'applicazione.
Come impedire l'autoprotezione impedendo il blocco di un'applicazione
- Aggiungere un'esclusione per il processo di blocco dell'autoprotezione.
- Disattiva autoprotezione (non consigliata).
Soluzione
2
Prevenzione delle minacce-> protezione dell'accesso
La protezione dell'accesso è una tecnologia basata sul comportamento che impone un blocco a azioni specifiche, come definito nelle regole di protezione dell'accesso attivate. L'ambito della funzionalità include i processi, i servizi, i file, le cartelle, le chiavi di registro e i valori. (La possibilità di bloccare le porte TCP e UDP si trova nel modulo Firewall). Come l'autoprotezione, la protezione dell'accesso viene applicata utilizzando una tecnologia di base denominata controllo degli accessi arbitrario (AAC).
Come determinare se la protezione dell'accesso sta bloccando l'applicazione
- Il problema non si verifica più dopo la disattivazione della protezione dell'accesso in Prevenzione delle minacce Endpoint Security policy, la categoria di protezione dell'accesso, la protezione dell'accesso , la protezione dell'accesso.
- Il AccessProtection_Activity.log indica che l'applicazione è stata bloccata dall'esecuzione di un'operazione (e che il blocco ha provocato un problema per l'applicazione).
Come impedire alla protezione dell'accesso di bloccare un'applicazione
- Identificare la regola di protezione dell'accesso che il processo ha violato ed escludere il processo da tale regola.
Soluzione
3
Prevenzione delle minacce-> scanner all'accesso
L'programma di scansione all'accesso (OAS) è il programma di scansione in tempo reale che viene eseguito in modo continuo. Esegue la scansione dei file quando vengono consultati per la lettura o dopo che sono stati modificati (scrittura). Alcune delle funzionalità che fanno parte di Protezione adattiva dalle minacce dipendono dalle impostazioni dell'OAS. Ad esempio, Real Protect non applica la scansione aggiuntiva a un processo che viene escluso dalla scansione dell'OAS.
Come determinare se il programma di scansione all'accesso sta bloccando l'applicazione
- Il problema non si verifica più dopo la disattivazione della programma di scansione all'accesso in Prevenzione delle minacce Endpoint Security policy, nella categoria scansione all'accesso, attiva la scansione all'accesso.
- Il OnAccessScan_Activity.log contiene informazioni sui rilevamenti per l'applicazione o i relativi file.
Come impedire al programma di scansione all'accesso di bloccare un'applicazione
- Aggiungere un'esclusione di file per l'applicazione o i relativi file, ad esempio escludendo la cartella contenente tali file.
- Utilizzare lo strumento getclean e, se identifica l'applicazione o i relativi file come elementi da sottoporre a McAfee, continuare a inviare i dettagli del file a McAfee.
Soluzione
4
Prevenzione delle minacce-> prevenzione exploit
La prevenzione exploit protegge i programmi dagli exploit in cui tali programmi potrebbero avere codice vulnerabile. Se si rileva che questa funzionalità influisce sul comportamento di un'applicazione di terze parti, è probabile che l'applicazione di terze parti contenga exploit comportamento, ad esempio l'esecuzione di codice dalla memoria di sola lettura. Pertanto, anche se si trova una soluzione alternativa al sintomo disattivando la funzionalità o creando un'esclusione, è consigliabile cercare una risposta a lungo termine da parte del fornitore di applicazioni di terze parti. Una soluzione a lungo termine vi protegge dall'esecuzione di codice potenzialmente vulnerabile nell'ambiente.
Come determinare se la prevenzione exploit sta bloccando l'applicazione
- Il problema non si verifica più dopo la disattivazione di una delle seguenti funzionalità di prevenzione exploit in Prevenzione delle minacce Endpoint Security policy, categoria prevenzione exploit:
- Generic Privilege escalation Prevention (GPEP): questa funzionalità è disattivata per impostazione predefinita.
- Protezione esecuzione programmi di Windows e esclusioni DEP-DEP è disattivato per impostazione predefinita.
- Firme: solo le firme ad alto livello di gravità sono attivate per impostazione predefinita.
- Regole di Protezione applicazioni: i processi denominati in modo esplicito vengono monitorati per impostazione predefinita. è possibile che siano stati aggiunti altri processi.
- Il ExploitPrevention_Activity log indica che l'applicazione è stata bloccata.
Come impedire a prevenzione exploit di bloccare un'applicazione
- Per la prevenzione della diffusione dei privilegi generici, disattivare la funzione.
- Per Protezione esecuzione programmi di Windows, aggiungere un'esclusione per il processo monitorato o disattivare DEP.
- Per le firme, impostare la firma pertinente su solo rapporto, oppure disattivare il blocco e il rapporto.
- Per le regole di Protezione applicazioni, disattivare la regola che blocca il processo applicabile.
Soluzione
5
Prevenzione delle minacce-> ScriptScan
ScriptScan è applicabile solo se il processo interessato è Internet Explorer o eventuali componenti aggiuntivi o funzionalità che variano in base alla Internet Explorer. Un oggetto browser helper viene utilizzato per facilitare la scansione degli script che Internet Explorer carichi.
Come determinare se ScriptScan sta bloccando l'applicazione
- Il problema non si verifica più dopo la disattivazione di ScriptScan in Prevenzione delle minacce Endpoint Security policy, la categoria scansione all'accesso, attiva ScriptScan.
Come impedire a ScriptScan di bloccare un'applicazione
- Escludere l'URL o il dominio se il problema di compatibilità è specifico di un determinato URL o pagina Web.
- Disattiva ScriptScan.
Soluzione
6
Protezione adattiva dalle minacce-> Contenimento dinamico delle applicazioni
Contenimento dinamico delle applicazioni (DAC) utilizza altre regole di protezione dell'accesso basate sul comportamento per monitorare un processo contenuto. Un processo contenuto è quello che ha soddisfatto il Punteggio di reputazione configurato per DAC e che intelligence sulle minacce o altra funzionalità del prodotto ha consigliato DAC da contenere. Un processo contenuto nel DAC può essere bloccato perché le regole DAC possono impedire al processo di eseguire determinate attività. (Ogni regola DAC attivata definisce le attività riportate di seguito).
Come determinare se Contenimento dinamico delle applicazioni sta bloccando l'applicazione
- L'ID evento 37275 "applicazione contenuta" è presente nel registro eventi di minaccia di ePolicy Orchestrator dal sistema interessato e viene trovato localmente nel registro eventi della console ENS del sistema interessato.
- Il DynamicApplicationContainment_Activity.log include il testo che indica che l'applicazione "è stata contenuta su richiesta di" un prodotto o una funzionalità.
- Il problema non si verifica più se l'applicazione DAC è configurata per l'utilizzo della modalità di osservazione solo in Endpoint Security Protezione adattiva dalle minacce policy, categoria opzioni, Sezione Enforcement azione, attiva modalità di osservazione. (Gli eventi vengono generati ma policy non viene imposta).
Come impedire a Contenimento dinamico delle applicazioni di bloccare un'applicazione
- Disattivare la regola DAC applicabile o deselezionare l'opzione "blocca" per tale regola.
- Escludere il processo nell'policy di esclusione DAC.
- Utilizzare il Server Threat Intelligence Exchange per impostare manualmente una reputazione valida nota per il processo.
Soluzione
7
Protezione adattiva dalle minacce-> Real Protect
Real Protect fornisce l'analisi post-esecuzione di un processo, utilizzando la scansione basata su client, la scansione basata su cloud o entrambi. Sulla base dei suoi risultati può portare a una convinzione come malware e successiva pulizia.
Come determinare se Real Protect sta bloccando l'applicazione
- Il problema non si verifica più dopo la disattivazione dell'opzione "Attiva scansione basata su client" o "Attiva scansione basata su cloud" in Endpoint Security Protezione adattiva dalle minacce policy, categoria opzioni, sezione di scansione Real Protect.
- Il AdaptiveThreatPrevention_Activity.log registra un rilevamento dell'applicazione (ad esempio, Orchestrator.Action.Activity: Action Details: File: , Mode: Enforce , Scanner: Real Protect Client , Reputation: , ActionTaken: Clean).
- Il AdaptiveThreatPrevention_Debug.log registra un rilevamento statico dell'applicazione (ad esempio, Orchestrator.RealProtectStatic.Debug: File: : RP Static reputation classification 1 silent 0 detection name JCM reputation (la voce importante è il valore di classificazione 1)).
- Il AdaptiveThreatPrevention_Debug.log registra un rilevamento cloud dell'applicazione (ad esempio, Orchestrator.RepChangeListener.Debug: real protect cloud found in process id , file ).
Come impedire a Real Protect di bloccare un'applicazione
- Utilizzare le esclusioni programma di scansione all'accesso per escludere i file rilevati.
Nota Le esclusioni programma di scansione all'accesso impediscono inoltre a Protezione adattiva dalle minacce di richiedere Contenimento dinamico delle applicazioni di contenere un processo.
- Utilizzare Server Threat Intelligence Exchange per modificare la reputazione Enterprise per i file in modo appropriato.
- Utilizzare Server Threat Intelligence Exchange per aggiungere il certificato per i file desiderati.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|