Dépannage d’un trafic réseau ou application lors de l’utilisation du pare-feu ENS
Articles techniques ID:
KB90662
Date de la dernière modification : 2022-09-12 16:57:27 Etc/GMT
Date de la dernière modification : 2022-09-12 16:57:27 Etc/GMT
Environnement
Pare-feu Endpoint Security (ENS) 10.x
Synthèse
Mises à jour récentes de cet article
Les applications tierces qui ens pare-feu bloquent les éléments suivants :
Si le pare-feu ENS empêche un application tiers de fonctionner correctement, contactez l’équipe de support technique des application tiers. Demander de la documentation sur le trafic réseau spécifique qui doit être autorisé via le pare-feu ENS. Le site Web d’un fournisseur tiers peut également contenir une documentation sur le trafic réseau requis par le application. Avec les exigences de trafic réseau documentées, vous pouvez créer des règles de pare-feu pour autoriser le trafic réseau via le pare-feu ENS pour que le application tiers fonctionne correctement.
Suivez la procédure ci-dessous pour résoudre un application ou un trafic réseau lorsque vous utilisez le pare-feu ENS :
Activation de la journalisation de débogage pour le module pare-feu ENS
Cliquez sur le "consigner tous les trafics bloqués" et "consigner tout le trafic autorisé" options de journalisation du pare-feu
Test en activant la fonctionnalité de mode adaptatif du pare-feu ens
Tenez compte des limitations de la fonctionnalité du mode adaptatif du pare-feu ENS. Il existe des conditions dans lesquelles le pare-feu ENS ne peut pas créer automatiquement de règles client. Pour plus d’informations, reportez-vous à la section "FAQ-mode adaptatif" du Guide produit Endpoint Security correspondant.
L’activation du mode adaptatif du pare-feu ENS permet deux étapes de dépannage.
Retour au début
Tester à l’aide d’une stratégie autoriser
Pour mettre en œuvre une stratégie autoriser , vous devez modifier les stratégies pare-feu Endpoint Security, options et règles à l’aide des paramètres décrits ci-dessous.
Test en isolant le type de trafic réseau qui résout le problème
Pour déterminer le type de trafic réseau associé au problème, isolez le trafic réseau en fonction de différents critères. Différentes combinaisons génériques peuvent vous aider à déterminer le type de trafic réseau qui doit se concentrer lors de l’examen des entrées bloquées dans leFirewallEventMonitor.log fichier.
Remarque : La liste fournie ci-dessous n’est qu’un guide pour certains exemples de critères et n’est pas une liste complète.
Exemple d’utilisation :
Si l’autorisation de l’ensemble du trafic entrant résout le problème, limitez la règle à TCP et UDP contre ICMP.
Si l’autorisation de tout le trafic TCP entrant résout le problème, examinez les journaux pare-feu pour le trafic TCP entrant bloqué .
Exemples de combinaison générique :
Test en autorisant les protocoles non pris en charge
Activez l’option autoriser le trafic pour les protocoles non pris en charge dans la pare-feu Endpoint Security, la stratégie options , puis retestez pour vérifier si cette action résout le problème.
Retour au début
Test en désactivant la fonctionnalité de réputation du réseau GTI
Définissez le seuil de réputation du réseau entrant et le seuil de réputation du réseau sortant sur ne pas bloquer dans la stratégie pare-feu Endpoint Security, options . Ensuite, retestez et confirmez si cette action résout le problème. La fonctionnalité de réputation du réseau GTI traite le trafic réseau avant les autres règles de pare-feu contenues dans la stratégie de règles de pare-feu , qui peut contenir une règle de pare-feu autoriser n' importe quelle. Si la fonctionnalité de réputation du réseau GTI bloque le trafic réseau, voir KB90837-FAQ pour Pare-feu Endpoint Security global Threat Intelligence.
Retour au début
Le test consiste à désactiver la "GTI bloquer tous les fichiers exécutables non approuvés" fonctionnalité
Désactivez l’option bloquer tous les fichiers exécutables non approuvés dans la stratégie pare-feu Endpoint Security, options . Ensuite, retestez et confirmez si cette action résout le problème. Cette fonctionnalité bloque tous les fichiers exécutables qui ne sont pas signés ou dont la réputation GTI est inconnue. Pour plus d’informations sur cette fonctionnalité, voir la section KB90096-explication de la règle de vérification des fichiers exécutables "." Le trafic réseau bloqué par cette fonctionnalité est consigné dans leFirewallEventMonitor.log fichier avec l’entrée : règle correspondante : règle de vérification des fichiers exécutables.
Haut de la page
Le test consiste à désactiver l' "autoriser uniquement le trafic sortant jusqu’à ce que les services de pare-feu aient démarré" fonctionnalité
Désactivez l’option autoriser uniquement le trafic sortant jusqu’au démarrage des services de pare-feu dans la stratégie pare-feu Endpoint Security, options . Ensuite, relancez le test et vérifiez si cette action résout le problème. Cette fonctionnalité crée un ensemble de règles de pare-feu codées en dur dans le noyau au cours du temps d’Windows démarrage. Les règles sont supprimées lorsque les services ENS ont entièrement démarré. Ces règles peuvent bloquer application le trafic réseau au cours du processus de démarrage du Windows, ce qui peut provoquer des problèmes. Pour un problème connu de cette fonctionnalité, voir la section KB90765-après la désinstallation du module pare-feu Endpoint Security, le client bloque les connexions réseau entrantes.
Retour au début
Test en désactivant les règles de réseau de base
Les règles de réseau de base autorisent certains types de trafic réseau de base. Pour plus d’informations, reportez-vous à la section KB91206-FAQ pour pare-feu Endpoint Security "désactiver McAfee règles de réseau central". Si vous disposez d’une règle de blocage qui bloque le trafic réseau correctement, activez l’option désactiver McAfee les règles réseau de base dans la stratégie pare-feu Endpoint Security, options . Relancez le test pour vérifier si cette action résout le problème. Lorsque le Source de l’option de JOURNALisation ens est activé, leFirewallEventMonitor.log fichier doit documenter les noms de règle applicables à partir du groupe de règles réseau de base lorsque l’une de ces règles autorise le trafic réseau.
Retour au début
Tester en activant les règles de réseau de base
Les règles de réseau de base autorisent certains types de trafic réseau de base. Pour plus d’informations, reportez-vous à la section KB91206-FAQ pour pare-feu Endpoint Security "désactiver McAfee règles de réseau central". Il se peut que certains trafics réseau doivent être autorisés par ces règles de pare-feu codées en dur. Certains clients peuvent choisir de désactiver les règles de réseau de base et ce choix peut provoquer des problèmes.
Remarque : L’option désactiver McAfee les règles de réseau de base est désélectionnée par défaut. Les clients ayant activé cette option (pour désactiver ces règles) devront peut-être réinitialiser cette fonctionnalité à la valeur par défaut à des fins de test.
Vérification du pare-feu ens et des valeurs d’État du pare-feu Windows defender dans Windows Security Center
Le pare-feu ENS prend en charge certaines catégories de pare-feu sur un système Windows lorsqu’il est activé. Exécutez lanetsh advfirewall show global commande à l’aide d’une invite de commande d’administrateur pour vérifier que les valeurs de catégorie sont définies comme suit :
Haut de la page
Date | Mise à jour |
23 juin, 2022 | Modifications mineures de la mise en forme ; aucune modification du contenu. |
Les applications tierces qui ens pare-feu bloquent les éléments suivants :
Si le pare-feu ENS empêche un application tiers de fonctionner correctement, contactez l’équipe de support technique des application tiers. Demander de la documentation sur le trafic réseau spécifique qui doit être autorisé via le pare-feu ENS. Le site Web d’un fournisseur tiers peut également contenir une documentation sur le trafic réseau requis par le application. Avec les exigences de trafic réseau documentées, vous pouvez créer des règles de pare-feu pour autoriser le trafic réseau via le pare-feu ENS pour que le application tiers fonctionne correctement.
Suivez la procédure ci-dessous pour résoudre un application ou un trafic réseau lorsque vous utilisez le pare-feu ENS :
Remarque : Toutes ces étapes ne doivent pas être exécutées. Certains tests ci-dessous s’appliquent uniquement en fonction du problème que vous êtes en train de résoudre et des paramètres de configuration du pare-feu utilisés. Les étapes les plus importantes ci-dessous permettent la journalisation de débogage, "consigner tous les trafics bloqués," et "consigner tout le trafic autorisé."
- Activation de la journalisation de débogage pour le module pare-feu ENS
- Cliquez sur le "consigner tous les trafics bloqués" et "consigner tout le trafic autorisé" options de journalisation du pare-feu
- Test en activant la fonctionnalité de mode adaptatif du pare-feu ENS
- Procédure de dépannage Si l’activation du mode adaptatif du pare-feu ENS résout le problème
- Tester à l’aide d’une stratégie autoriser
- Test en isolant le type de trafic réseau qui résout le problème
- Test en autorisant les protocoles non pris en charge
- Test en désactivant la fonctionnalité de réputation du réseau Global Threat Intelligence (GTI)
- Le test consiste à désactiver la "GTI bloquer tous les fichiers exécutables non approuvés" fonctionnalité
- Le test consiste à désactiver l' "autoriser uniquement le trafic sortant jusqu’à ce que les services de pare-feu aient démarré" fonctionnalité
- Test en désactivant les règles de réseau de base
- Tester en activant les règles de réseau de base
- Vérification du pare-feu ENS et des valeurs d’État du pare-feu Windows Defender dans Windows Security Center
- Collecte des données à l’aide des exigences minimales de la procédure d’escalade (MER),
FWInfo AMTrace des outils et du logiciel de capture réseau
Activation de la journalisation de débogage pour le module pare-feu ENS
- Pour les systèmes managés ePolicy Orchestrator (ePO) :
- Ouvrez la console ePO.
- Modifiez la stratégie Endpoint Security Common, options .
- Cliquez sur Afficher les paramètres avancés.
- Sélectionnez activer pour le pare-feu dans la section journalisation de débogage .
- Enregistrez la stratégie.
- Pour les systèmes autonomes non managés par ePO :
- Ouvrez la console ENS à partir de l’icône de la zone McAfee Agent notification ou en exécutant la application
\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform\MFEConsole.exe . - Cliquez sur le module pare-feu ou cliquez sur la flèche vers le bas dans le coin supérieur droit, puis cliquez sur paramètres.
Remarque : Il se peut que vous deviez tout d’abord déverrouiller la console ENS à l’aide de la connexion administrateur.
- Cliquez sur la section partagés .
- Cliquez sur Afficher les paramètres avancés.
- Sélectionnez activer pour le pare-feu dans la section journalisation de débogage .
- Cliquez sur Appliquer.
- Ouvrez la console ENS à partir de l’icône de la zone McAfee Agent notification ou en exécutant la application
Cliquez sur le "consigner tous les trafics bloqués" et "consigner tout le trafic autorisé" options de journalisation du pare-feu
- Cliquez sur le journal de l' ensemble du trafic bloqué et consignez toutes les options de journalisation du pare-feu du trafic autorisé :
- Pour les systèmes managés par ePO :
- Ouvrez la console ePO.
- Modifiez la stratégie pare-feu Endpoint Security, options .
- Cliquez sur Afficher les paramètres avancés.
- Sélectionnez consigner dans le journal tous les trafics bloqués et consigner tous les trafics autorisés dans la section options de réglage .
- Pour les activités liées à GTI, sélectionnez trafic de correspondance de journalisation dans la section McAfee GTI la réputation du réseau .
- Enregistrez la stratégie.
- Pour les systèmes autonomes non managés par ePO :
- Ouvrez la console ENS.
- Ouvrez les paramètres du module pare-feu .
- Sélectionnez consigner dans le journal tous les trafics bloqués et consigner tous les trafics autorisés dans la section options de réglage .
- Pour les activités liées à GTI, sélectionnez trafic de correspondance de journalisation dans la section McAfee GTI la réputation du réseau .
- Cliquez sur Appliquer.
- Pour les systèmes managés par ePO :
- Reproduisez le problème.
- Examinez le
FirewallEventMonitor.log fichier pour obtenir des informations sur le trafic réseau bloqué et autorisé. LeFirewallEventMonitor.log fichier se trouve dans le répertoire\ProgramData\McAfee\Endpoint Security\Logs\
Test en activant la fonctionnalité de mode adaptatif du pare-feu ens
Tenez compte des limitations de la fonctionnalité du mode adaptatif du pare-feu ENS. Il existe des conditions dans lesquelles le pare-feu ENS ne peut pas créer automatiquement de règles client. Pour plus d’informations, reportez-vous à la section "FAQ-mode adaptatif" du Guide produit Endpoint Security correspondant.
Pour les documents relatifs aux produits, accédez au portail de la documentation produit.
- Modifiez la stratégie pare-feu Endpoint Security, options à partir de la console ePO ou de la console ens.
- Cliquez sur Afficher les paramètres avancés.
- Sélectionnez activer le mode adaptatif (crée automatiquement des règles sur le client) dans la section options de réglage .
Remarque : Si le client ENS est managé par ePO, activez également l’option conserver les règles existantes ajoutées par l’utilisateur et les règles Adaptive en mode adaptatif lorsque cette stratégie est mise en œuvre. Cette option permet au client ENS de conserver ces règles client et de ne pas supprimer les règles client si une mise en œuvre de stratégie McAfee Agent se produit. Elle permet de charger les règles client sur le serveur ePO pour la gestion des stratégies. Le pare-feu ENS traducteur de propriétés tâche serveur ePO traite les règles client et les convertit à partir de règles client individuelles en règles client ePO-gérables dans le menu des règles client de génération de rapportset de pare-feu . Cette tâche n’est pas la tâche serveur ENSFW traducteur de propriétés répertoriée, mais une tâche interne masquée est exécutée automatiquement toutes les 15 minutes. Conservez la tâche serveur ENSFW traducteur de propriétés non masquée toujours dans un état désactivé .
- Appliquez la stratégie modifiée au client et retestez le problème. Si le problème est résolu, passez à l’étape suivante. Si le problème n’est pas résolu, passez à la section suivante.
- Ouvrez la console ENS et ouvrez le menu pare-feu .
- Faites défiler vers le bas jusqu’à la section des règles et examinez le groupe de pare-feu adaptatif .
- Développez le groupe de pare-feu adaptatif et passez en revue les règles client pour déterminer la raison pour laquelle les nouvelles règles ont été créées. Des règles client de pare-feu peuvent être créées pour de nombreuses raisons. Modifiez les règles existantes en fonction de vos besoins ou créez des règles de pare-feu dans la stratégie, si d’autres règles de pare-feu existent dans la stratégie pour le application ou le trafic réseau spécifique. Si vous pensez que les règles ont été créées par erreur, contactez Support technique pour obtenir de plus amples recherches. Pour en savoir plus, reportez-vous à la section "informations connexes".
L’activation du mode adaptatif du pare-feu ENS permet deux étapes de dépannage.
- Vérifiez si des règles client en mode adaptatif sont créées pour le trafic réseau applicable. Ouvrez le menu client pare-feu ens, puis accédez à la section règles . Recherchez le groupe de pare-feu adaptatif . Cliquez sur le signe > et ouvrez le groupe et affichez les règles client local. Si le groupe est grisé et qu’il ne peut pas être ouvert, aucune règle client n’a été créée localement sur le système. Si le client ENS est managé par ePO, ces règles cliente en mode adaptatif sont envoyées au serveur ePO pour la gestion des règles client pare-feu. Passez en revue les règles du client de pare-feu dans le menu rapports, règles du client pare-feu .
- Le mode adaptatif du pare-feu ENS modifie également la règle bloquer tout le trafic par défaut en bas de la stratégie du client. Il remplace cette valeur par défaut par une "autoriser toutes les" règle nommée règle adaptative. Si aucune règle client Adaptive n’a été créée à partir de l’étape ci-dessus, examinez la règle de correspondance du
FirewallEventMonitor.log fichier journal : entrées de règles adaptatives . Ces entrées contiennent le trafic réseau que les autres règles de pare-feu n’autorisent pas ou bloquent et que le mode adaptatif n’apprend pas. Vous devez créer manuellement des règles de pare-feu, localement sur le client ou via la stratégie ePO, pour ce trafic de concordance. Ces règles vous aident à identifier le trafic réseau qui résout le problème. Il est possible que plus d’un type de trafic réseau résout un problème de application tiers particulier. Pour le trafic réseau autorisé via la règle de pare-feu nommée règle Adaptive, le chemin d’accès du fichier exécutable est en général, ce qui signifie que le fichier exécutable de la règle de pare-feu définie doit être < un>vide.
Exemple :
Time: 01/13/2020 11:30:38 AM
Event: Traffic
IP Address: 10.10.10.1
Description:
Path:
Message: Allowed Incoming UDP - Source 10.10.10.1 : (56711) Destination 10.10.10.2 : (49284)
Matched Rule: Adaptive Rule
Retour au début
Tester à l’aide d’une stratégie autoriser
Pour mettre en œuvre une stratégie autoriser , vous devez modifier les stratégies pare-feu Endpoint Security, options et règles à l’aide des paramètres décrits ci-dessous.
- Modifiez la stratégie pare-feu Endpoint Security, options comme suit, en utilisant la console ePO ou la console ens :
- Cliquez sur Afficher les paramètres avancés.
- Dans la section pare-feu , sélectionnez activer le pare-feu.
- Dans la section options de protection , configurez les options suivantes :
- Autoriser le trafic pour les protocoles non pris en charge- activé
- Autoriser uniquement le trafic sortant jusqu’à ce que les services de pare-feu aient démarré- désactivés
- Autoriser le trafic en pont- activé
- Dans la section options de réglage , configurez les options suivantes :
- Activer le mode adaptatif- désactivé
- Désactiver les règles de réseau central- activé
Remarque : il est conseillé de laisser cette fonctionnalité activée ; la désactivation des règles de réseau de base peut perturber les communications réseau sur le client.
- Consigner l’ensemble du trafic bloqué- activé
- Consigner tout le trafic autorisé- activé
- Dans la section réputation du réseau McAfee GTI , configurez les options suivantes :
- Considérer les correspondances GTI comme des intrusions désactivées
- Consigner le trafic correspondant- activé
- Bloquer tous les fichiers exécutables non approuvés- désactivé
- Seuil de réputation du réseau entrant- ne pas bloquer
- Seuil de réputation du réseau sortant- ne pas bloquer
- Pour ENS 10.6.0 et versions ultérieures, le serveur d’évaluation GTI n’est pas accessible et aucune configuration n’est nécessaire.
- Dans la section de blocage DNS , aucune configuration n’est nécessaire.
- Dans la section réseaux définis , aucune configuration n’est nécessaire.
- Dans la section fichiers exécutables approuvés , aucune configuration n’est nécessaire.
- Modifiez la pare-feu Endpoint Security, la stratégie règles comme suit sur la console ePO ou la console ens :
- Cliquez sur Ajouter une règle.
- Dans la section Description , configurez les paramètres suivants :
- Nom- autoriser tout
- Statut- activer la règle
- Actions- autoriser
- Considérer les correspondances comme des intrusions désactivées
- Consigner le trafic de correspondance- désactivé
- Direction : soit
- Dans la section réseaux , configurez les paramètres suivants :
- Protocole réseau- tous les protocoles
- Types de connexion : sélectionnez tous les types affichés.
- Spécifier les réseaux : aucune configuration n’est nécessaire.
Dans la section transport , configurez le paramètre suivant : - Protocole de transport : tous les protocoles
- Dans la section applications , aucune configuration n’est nécessaire.
- Dans la section planification , configurez le paramètre suivant :
- Activer la planification- désactivée
- Activer la planification- désactivée
- Testez à nouveau le problème.
Si le problème est résolu, développez tous les groupes de règles de pare-feu dans la stratégie nommée et analysez chacune des règles de pare-feu à partir du haut vers le bas. Soyez particulièrement attentif aux règles dont l’action est bloquer . En fonction de cette révision, déplacez la règle any-any vers un grand nombre de positions dans le jeu de règles. Si aucune règle n’est localisée, ajoutez la règle appropriée au jeu de stratégies du pare-feu et retestez-la. Si vous effectuez cette opération plusieurs fois et que vous testez à nouveau le problème, vous pouvez déterminer la règle qui bloque les application.
Remarque : Vérifiez que les détails de la application correspondent aux détails du fichier exécutable de manière appropriée. Par exemple, la valeur de Description du fichier doit être la description exacte du application ; Cette valeur n’est pas une valeur de commentaire pour le application. Pour plus d’informations, voir la section KB71735-Purpose du champ Description du fichier exécutable dans pare-feu Endpoint Security et Host Intrusion Prevention.
Test en isolant le type de trafic réseau qui résout le problème
Pour déterminer le type de trafic réseau associé au problème, isolez le trafic réseau en fonction de différents critères. Différentes combinaisons génériques peuvent vous aider à déterminer le type de trafic réseau qui doit se concentrer lors de l’examen des entrées bloquées dans le
Remarque : La liste fournie ci-dessous n’est qu’un guide pour certains exemples de critères et n’est pas une liste complète.
Exemple d’utilisation :
Si l’autorisation de l’ensemble du trafic entrant résout le problème, limitez la règle à TCP et UDP contre ICMP.
Si l’autorisation de tout le trafic TCP entrant résout le problème, examinez les journaux pare-feu pour le trafic TCP entrant bloqué .
Exemples de combinaison générique :
- Autoriser tout le trafic sortant
- Autoriser tout le trafic entrant
- Autoriser tout le trafic IPv4
- Trafic entrant et sortant
- TCP et UDP contre ICMP
- Autoriser tout le trafic IPv6
- Trafic entrant et sortant
- TCP et UDP contre ICMP
- Autoriser tout le trafic TCP
- Trafic entrant et sortant
- Trafic entrant et sortant
- Autoriser tout le trafic UDP
- Trafic entrant et sortant
- Trafic entrant et sortant
- Autoriser tout le trafic ICMP
- Trafic entrant et sortant
- Trafic ICMPv4 et ICMPv6
- Autoriser tout le trafic de diffusion ( 255.255.255.255 )
- Autoriser tout le trafic de multidiffusion ( 224.0.0.252 - 239.255.255.250 )
Test en autorisant les protocoles non pris en charge
Activez l’option autoriser le trafic pour les protocoles non pris en charge dans la pare-feu Endpoint Security, la stratégie options , puis retestez pour vérifier si cette action résout le problème.
Retour au début
Test en désactivant la fonctionnalité de réputation du réseau GTI
Définissez le seuil de réputation du réseau entrant et le seuil de réputation du réseau sortant sur ne pas bloquer dans la stratégie pare-feu Endpoint Security, options . Ensuite, retestez et confirmez si cette action résout le problème. La fonctionnalité de réputation du réseau GTI traite le trafic réseau avant les autres règles de pare-feu contenues dans la stratégie de règles de pare-feu , qui peut contenir une règle de pare-feu autoriser n' importe quelle. Si la fonctionnalité de réputation du réseau GTI bloque le trafic réseau, voir KB90837-FAQ pour Pare-feu Endpoint Security global Threat Intelligence.
Retour au début
Le test consiste à désactiver la "GTI bloquer tous les fichiers exécutables non approuvés" fonctionnalité
Désactivez l’option bloquer tous les fichiers exécutables non approuvés dans la stratégie pare-feu Endpoint Security, options . Ensuite, retestez et confirmez si cette action résout le problème. Cette fonctionnalité bloque tous les fichiers exécutables qui ne sont pas signés ou dont la réputation GTI est inconnue. Pour plus d’informations sur cette fonctionnalité, voir la section KB90096-explication de la règle de vérification des fichiers exécutables "." Le trafic réseau bloqué par cette fonctionnalité est consigné dans le
Haut de la page
Le test consiste à désactiver l' "autoriser uniquement le trafic sortant jusqu’à ce que les services de pare-feu aient démarré" fonctionnalité
Désactivez l’option autoriser uniquement le trafic sortant jusqu’au démarrage des services de pare-feu dans la stratégie pare-feu Endpoint Security, options . Ensuite, relancez le test et vérifiez si cette action résout le problème. Cette fonctionnalité crée un ensemble de règles de pare-feu codées en dur dans le noyau au cours du temps d’Windows démarrage. Les règles sont supprimées lorsque les services ENS ont entièrement démarré. Ces règles peuvent bloquer application le trafic réseau au cours du processus de démarrage du Windows, ce qui peut provoquer des problèmes. Pour un problème connu de cette fonctionnalité, voir la section KB90765-après la désinstallation du module pare-feu Endpoint Security, le client bloque les connexions réseau entrantes.
Retour au début
Test en désactivant les règles de réseau de base
Les règles de réseau de base autorisent certains types de trafic réseau de base. Pour plus d’informations, reportez-vous à la section KB91206-FAQ pour pare-feu Endpoint Security "désactiver McAfee règles de réseau central". Si vous disposez d’une règle de blocage qui bloque le trafic réseau correctement, activez l’option désactiver McAfee les règles réseau de base dans la stratégie pare-feu Endpoint Security, options . Relancez le test pour vérifier si cette action résout le problème. Lorsque le Source de l’option de JOURNALisation ens est activé, le
REMARQUES :
- Il est déconseillé de désactiver les règles de réseau de base. Cela peut provoquer des problèmes de communication réseau sur le client, comme indiqué dans le message contextuel qui s’affiche lorsque vous activez cette fonctionnalité dans l’interface utilisateur : "ladésactivation des règles de réseau de base McAfee peut perturber les communications réseau sur le client. "
- Ce test permet de vérifier si l’une des règles de réseau central codées en dur autorise le trafic réseau avant l’une des règles de pare-feu répertoriées dans la stratégie règles de pare-feu . Il s’agit en général d’une procédure de dépannage. Cela peut vous aider à déterminer la raison pour laquelle le trafic réseau est autorisé lorsqu’une règle de pare-feu personnalisée autorise le trafic n’existe pas. (Par exemple, lorsque vous essayez de bloquer le trafic ping ICMP sortant, mais que la règle par défaut autorise les applications système sortantes à autoriser le trafic réseau généré par le processus système avant que toutes les règles de blocage ne soient traitées.)
Retour au début
Tester en activant les règles de réseau de base
Les règles de réseau de base autorisent certains types de trafic réseau de base. Pour plus d’informations, reportez-vous à la section KB91206-FAQ pour pare-feu Endpoint Security "désactiver McAfee règles de réseau central". Il se peut que certains trafics réseau doivent être autorisés par ces règles de pare-feu codées en dur. Certains clients peuvent choisir de désactiver les règles de réseau de base et ce choix peut provoquer des problèmes.
Remarque : L’option désactiver McAfee les règles de réseau de base est désélectionnée par défaut. Les clients ayant activé cette option (pour désactiver ces règles) devront peut-être réinitialiser cette fonctionnalité à la valeur par défaut à des fins de test.
- Désélectionnez l’option désactiver McAfee les règles de réseau de base dans la stratégie pare-feu Endpoint Security, options .
- Mettez à jour la stratégie localement sur le client.
- Vérifiez que les règles de réseau de base McAfee ne sont pas désactivées sur le client local.
- Testez à nouveau le problème.
Vérification du pare-feu ens et des valeurs d’État du pare-feu Windows defender dans Windows Security Center
Le pare-feu ENS prend en charge certaines catégories de pare-feu sur un système Windows lorsqu’il est activé. Exécutez la
Catégories :
BootTimeRuleCategory McAfee Endpoint Security pare
FirewallRuleCategory -feu McAfee Endpoint Security pare
StealthRuleCategory -feu McAfee Endpoint Security pare
ConSecRuleCategory -feu Windows Defender
Haut de la page
Collecte des données à l’aide des exigences minimales de la procédure d’escalade (mer), FWInfo AMTrac e des outils et du logiciel de capture réseau
Certains problèmes de pare-feu avancés peuvent nécessiter un traçage de paquets réseau pendant que le problème est reproduit. Le cas échéant, capturez deux ensembles de données. l’une avec le problème et l’autre sans le problème, pour fournir un scénario de travail et de non-travail. Vous pouvez comparer les traçages pour déterminer les éventuelles différences avec le trafic de paquets réseau. Un ensemble de données provenant d’un scénario de non-travail est généralement le minimum requis, sauf indication contraire de Support technique.
Certains problèmes de pare-feu avancés peuvent nécessiter un traçage de paquets réseau pendant que le problème est reproduit. Le cas échéant, capturez deux ensembles de données. l’une avec le problème et l’autre sans le problème, pour fournir un scénario de travail et de non-travail. Vous pouvez comparer les traçages pour déterminer les éventuelles différences avec le trafic de paquets réseau. Un ensemble de données provenant d’un scénario de non-travail est généralement le minimum requis, sauf indication contraire de Support technique.
- (Facultatif) Installez le logiciel de capture réseau sur le client de test.
REMARQUES :- Une trace de capture réseau n’est pas nécessaire dans toutes les situations à moins que le problème ne soit lié à des problèmes de performances ou de synchronisation. Support technique peut spécifiquement demander une trace réseau, le cas échéant.
- Des problèmes de capture réseau ont eu lieu dans le précédent avec le logiciel WinPcap inclus dans Wireshark. NETRESEC
RAWCap est un autre logiciel de capture réseau que vous pouvez utiliser pour éviter ces problèmes.
- Procurez-vous l'
AMTrace outil. Reportez-vous à la section KB86691-Etapes de collecte de données minimum pour les problèmes Endpoint Security. - Cliquez sur la journalisation de débogage dans le produit ENS. Reportez-vous à la section KB86691-Etapes de collecte de données minimum pour les problèmes Endpoint Security.
- Cliquez sur l’option consigner tout le trafic bloqué et consigner toutes les options de journalisation du trafic autorisé dans la stratégie options de pare-feu . En raison de l’augmentation de la journalisation du trafic réseau, il se peut que vous deviez ajuster les limites de taille du journal ENS. (Cet ajustement n’est généralement pas nécessaire.) Ajustez les options de journalisation ENS suivantes dans la stratégie options de ENS partagés , si nécessaire :
- Taille limite (Mo) de chacun des fichiers journaux de débogage-la taille par défaut est de 50 Mo
- Taille limite (Mo) de chaque fichier journal d’activité-la taille par défaut est de 10 Mo.
- Démarrez la capture d’une trace réseau.
- Démarrez l'
AMTrace outil. Il existe plusieurs façons d’exécuter l'AMTrace outil. Exécutezamtrace.exe pour démarrer ou arrêter l’outil manuellement ou utilisez les commutateurs de ligne de commande suivants :- Pour commencer, procédez comme suit :
AMTrace.exe -b now -m 2GB - Pour arrêter :
AMTrace -e
- Pour commencer, procédez comme suit :
- Reproduisez le problème.
Remarque : Documentez la date et l’heure précises du problème reproduit, pour la vérification du journal Support technique.
- Arrêtez la capture du traçage réseau.
- Arrêtez l'
AMTrace outil. - Collectez un fichier MER à partir du système. Les MER doivent inclure les fichiers journaux du pare-feu ENS
\ProgramData\McAfee\Endpoint Security\Logs\Firewall*.log - Collectez le trafic réseau approprié et les détails de application :
- Adresses IP source et de destination, y compris les autres détails de l’adresse réseau associée, le cas échéant.
- Numéros de port source et de destination, le cas échéant.
- Les détails du fichier exécutable de l’application, par exemple le nom du fournisseur, le chemin d’installation, le chemin d’accès au fichier exécutable et le nom du fichier.
- Date et heure de la reproduction des problèmes.
- Toutes les entrées de blocage ou d’autorisation appropriées des fichiers journaux de Pare-feu ENS, le cas échéant.
- Parfois, une copie exportée des stratégies de pare-feu ENS est nécessaire pour une analyse approfondie. Les stratégies de pare-feu requises sont généralement les stratégies règles de pare-feu ou options . Si vous pouvez fournir ces stratégies pour Support technique vérifier, exportez-les à partir du menu catalogue de stratégies de la console EPO, et non du menu catalogue du pare-feu . Exportez les stratégies en tant que fichiers XML de stratégie.
- Collecter
FWInfo les données :- Ouvrez une invite de commande en tant qu’administrateur. Par exemple, si vous utilisez Windows 10, tapez cmd dans la zone lancer la recherche, cliquez avec le bouton droit sur l' invite de commande, sélectionnez exécuter en tant qu’administrateur, puis cliquez sur Oui.
- A l’invite de commande de l’administrateur, exécutez les commandes suivantes :
ipconfig /all > c:\ipconfig.txt
Remarque :fwinfo est àC:\Program Files\Common Files\McAfee\SystemCore\fwinfo.exe .
fwinfo -configdisplay > c:\fwinfo-configdisplay1.txt
fwinfo -ipconfig > c:\fwinfo-ipconfig1.txt
fwinfo -policydisplayxml > c:\fwinfo-policydisplayxml1.txt
Remarque : Exécutez la commande suivante sur les systèmes Windows Vista SP1 ou versions ultérieures. La commande crée un fichier nomméwfpstate.xml . Renommez le fichierwfpstate1.xml .
netsh wfp show state
- Contactez Support technique et fournissez les données collectées ci-dessus à des fins d’analyse. Pour en savoir plus, reportez-vous à la section "informations connexes".
Informations connexes
Pour contacter Support technique, accédez à la page créer une demande de service et connectez-vous au ServicePortal.
- Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
- Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :