Solução de problemas de um aplicativo/tráfego de rede ao usar o ENS Firewall
Artigos técnicos ID:
KB90662
Última modificação: 2022-09-12 16:56:51 Etc/GMT
Última modificação: 2022-09-12 16:56:51 Etc/GMT
Ambiente
Endpoint Security (ENS) Firewall 10.x
Resumo
Atualizações recentes deste artigo
Os aplicativos de terceiros que o ENS firewall bloqueia:
Se o ENS Firewall impede que um aplicativo de terceiro funcione corretamente, entre em contato com a equipe de suporte do fornecedor de aplicativos de terceiros. Solicite a documentação sobre o tráfego de rede específico que deve ser permitido por meio da Firewall do ENS. O site de fornecedores terceirizados também pode conter documentação sobre o tráfego de rede necessário para o aplicativo. Com os requisitos de tráfego de rede documentados, você pode criar regras de firewall para permitir o tráfego de rede por meio do Firewall do ENS para que o aplicativo de terceiros funcione corretamente.
Use as etapas a seguir para solucionar problemas de um aplicativo ou de um tráfego de rede ao usar o ENS Firewall:
Ativar log de depuração para o módulo de Firewall do ENS
Ativar o "registrar todos os" de tráfego bloqueados e "registrar todos os tráfegos permitidos" firewall opções de registro
Teste ativando o recurso de modo adaptável do ens firewall
Esteja ciente das limitações do recurso de modo adaptável do ENS Firewall. Há condições em que o ENS Firewall não é possível criar regras de cliente automaticamente. Consulte a seção "perguntas frequentes-modo adaptável" do Guia de produto do Endpoint Security relevante para obter detalhes.
A ativação do recurso de modo adaptável do ENS Firewall permite duas etapas de solução de problemas.
Voltar ao início
Teste usando uma política permitir qualquer
Para implementar uma permissão para qualquer política, você deve modificar as políticas de Firewall do Endpoint Security, Opções e regras com as configurações descritas abaixo.
Teste isolando o tipo de tráfego de rede que resolve o problema
Para determinar que tipo de tráfego de rede está relacionado ao problema, isole o tráfego de rede por diferentes critérios. Combinações genéricas diferentes podem ajudá-lo a determinar o tipo de tráfego de rede no qual se concentrar ao revisar as entradas bloqueadas noFirewallEventMonitor.log arquivo.
Nota: A lista fornecida abaixo é apenas um guia para alguns exemplos de critérios e não se destina a ser uma lista completa.
Exemplo de uso:
Se permitir todo o tráfego de entrada resolver o problema, restrinja ainda mais a regra para TCP versus UDP versus ICMP.
Se permitir todo o tráfego TCP de entrada resolver o problema, revise os registros de firewall para o tráfego TCP de entrada bloqueado .
Exemplos de combinação genérica:
Teste permitindo protocolos incompatíveis
Ativar a opção Permitir tráfego para protocolos incompatíveis na Firewall do Endpoint Security, a política de Opções e o novo teste para verificar se essa ação resolve o problema.
Voltar ao início
Teste desativando a funcionalidade de reputação de rede do GTI
Defina o limite de reputação da rede de entrada e o limite de reputação da rede de saída para que o não seja bloqueado na política de Opções do Firewall do Endpoint Security. Em seguida, teste novamente e confirme se essa ação resolve o problema. O recurso de reputação de rede do GTI processa o tráfego de rede antes das outras regras de firewall contidas na política de regras de Firewall , que pode conter uma regra permitir qualquer firewall. Se a funcionalidade de reputação de rede do GTI bloquear o tráfego de rede, consulte KB90837-perguntas frequentes para Firewall do Endpoint Security Global Threat Intelligence.
Voltar ao início
Teste desativando o GTI "bloquear todos os executáveis não confiáveis" funcionalidade
Desativar a opção bloquear todos os executáveis não confiáveis na Firewall do Endpoint SecurityOpções de política. Em seguida, teste novamente e confirme se essa ação resolve o problema. Esse recurso bloqueia todos os executáveis que não são assinados ou que têm uma reputação de GTI desconhecida. Para obter informações sobre esse recurso, consulte KB90096-explicação sobre a regra de verificação de "executável." OFirewallEventMonitor.log tráfego de rede bloqueado por esse recurso é registrado no arquivo com a entrada: regra correspondente:regra de verificação de executável.
Voltar ao início
Teste desativando a "permitir somente tráfego de saída até que os serviços firewall tenham iniciado" recurso
Desativar a opção Permitir somente o tráfego de saída até que os serviços de firewall iniciados na política Firewall do Endpoint Security, Opções . Em seguida, faça um novo teste e verifique se essa ação resolve o problema. Esse recurso cria um conjunto de regras de firewall embutidas no código no kernel durante Windows tempo de inicialização. As regras são removidas quando os serviços do ENS são totalmente iniciados. Essas regras podem bloquear o tráfego de rede do aplicativo durante o processo de inicialização do Windows, o que pode causar problemas. Para um problema conhecido com esse recurso, consulte KB90765-depois de desinstalar o módulo Firewall do Endpoint Security, o cliente bloqueia as conexões de rede de entrada.
Voltar ao início
Teste desativando as regras principais de rede
As regras principais de rede permitem alguns tipos de tráfego básico de rede. Para obter mais informações, consulte KB91206-perguntas frequentes sobre firewall do Endpoint Security "desativar McAfee principais regras de rede" recurso. Se você tiver uma regra de bloqueio que bloqueie adequadamente o tráfego da rede, ative a opção Desativar McAfee principais regras de rede na política Firewall do Endpoint Security, Opções . Faça um novo teste para confirmar se essa ação resolve o problema. Com a opção log do ENS registrar tudo bloqueado ativado, oFirewallEventMonitor.log arquivo deve documentar os nomes de regra aplicáveis do grupo de regras de rede principal quando qualquer uma dessas regras permitir o tráfego de rede.
Voltar ao início
Teste ativando as principais regras de rede
As regras principais de rede permitem alguns tipos de tráfego básico de rede. Para obter mais informações, consulte KB91206-perguntas frequentes sobre firewall do Endpoint Security "desativar McAfee principais regras de rede" recurso. Alguns tráfegos de rede podem precisar ser permitidos por essas regras de firewall embutidas em código. Alguns clientes podem optar por desativar as regras de rede principais e essa opção pode causar problemas.
Nota: A opção Desativar McAfee principais regras de rede está desmarcada por padrão. Os clientes que ativaram essa opção (para desativar essas regras) talvez precisem redefinir esse recurso de volta para o padrão para fins de teste.
Verifique os valores de status do ens firewall e do Windows Defender Firewall no Windows Security Center
O ENS Firewall assume mais de algumas categorias de Firewall em um sistema de Windows quando essa é ativada. Execute onetsh advfirewall show global comando usando um prompt de comando de administrador para verificar se os valores da categoria estão definidos da seguinte maneira:
Voltar ao início
Data | Atualização |
23 de junho de 2022 | Alterações de formatação secundárias; nenhuma alteração de conteúdo. |
Os aplicativos de terceiros que o ENS firewall bloqueia:
Se o ENS Firewall impede que um aplicativo de terceiro funcione corretamente, entre em contato com a equipe de suporte do fornecedor de aplicativos de terceiros. Solicite a documentação sobre o tráfego de rede específico que deve ser permitido por meio da Firewall do ENS. O site de fornecedores terceirizados também pode conter documentação sobre o tráfego de rede necessário para o aplicativo. Com os requisitos de tráfego de rede documentados, você pode criar regras de firewall para permitir o tráfego de rede por meio do Firewall do ENS para que o aplicativo de terceiros funcione corretamente.
Use as etapas a seguir para solucionar problemas de um aplicativo ou de um tráfego de rede ao usar o ENS Firewall:
Nota: Nem todas essas etapas precisam ser executadas. Alguns testes abaixo somente são aplicáveis, dependendo problema no qual você está Solucionando problemas e as configurações de firewall de configuração em uso. As etapas mais importantes abaixo são ativar o registro em log de depuração, "registrar todo o tráfego bloqueado," e "registrar todo o tráfego permitido."
- Ativar log de depuração para o módulo de Firewall do ENS
- Ativar o "registrar todos os" de tráfego bloqueados e "registrar todos os tráfegos permitidos" firewall opções de registro
- Teste ativando o recurso de modo adaptável do ENS Firewall
- Etapas de solução de problemas se a ativação do ENS Firewall o recurso do modo adaptável resolver o problema
- Teste usando uma política permitir qualquer
- Teste isolando o tipo de tráfego de rede que resolve o problema
- Teste permitindo protocolos incompatíveis
- Teste desativando a funcionalidade de reputação de rede do Global Threat Intelligence (GTI)
- Teste desativando o GTI "bloquear todos os executáveis não confiáveis" funcionalidade
- Teste desativando a "permitir somente tráfego de saída até que os serviços firewall tenham iniciado" recurso
- Teste desativando as regras principais de rede
- Teste ativando as principais regras de rede
- Verifique os valores de status do ENS Firewall e do Windows Defender Firewall no Windows Security Center
- Coletar dados usando o mínimo de requisitos de escalação (MER),
FWInfo AMTrace ferramentas e software de captura de rede
Ativar log de depuração para o módulo de Firewall do ENS
- Para sistemas gerenciados do ePolicy Orchestrator (ePO):
- Abra o console do ePO.
- Edite a política de opções em comum do Endpoint Security.
- Clique em Mostrar opções avançadas.
- Selecione Ativar para firewall na seção log de depuração .
- Salve a política.
- Para sistemas independentes que o ePO não gerencia:
- Abra o console do ENS a partir do ícone da área de notificação McAfee Agent ou executando o aplicativo
\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform\MFEConsole.exe . - Clique no módulo Firewall ou clique na seta para baixo no canto superior direito e, em seguida, clique em configurações.
Nota: Talvez seja necessário primeiro desbloquear o console do ENS usando o administrador de logon.
- Clique na seção em comum .
- Clique em Mostrar opções avançadas.
- Selecione Ativar para firewall na seção log de depuração .
- Clique em Aplicar.
- Abra o console do ENS a partir do ícone da área de notificação McAfee Agent ou executando o aplicativo
Ativar o "registrar todos os" de tráfego bloqueados e "registrar todos os tráfegos permitidos" firewall opções de registro
- Ativar o registro de todo o tráfego bloqueado e Registre todo o tráfego permitido firewall opções de registro:
- Para sistemas gerenciados pelo ePO:
- Abra o console do ePO.
- Edite a Firewall do Endpoint Security, as opções de política.
- Clique em Mostrar opções avançadas.
- Selecione registrar todo o tráfego bloqueado e registrar todo o tráfego permitido na seção Opções de ajuste .
- Para atividades relacionadas ao GTI, selecione registrar o tráfego correspondente na seção McAfee GTI reputação de rede .
- Salve a política.
- Para sistemas independentes que o ePO não gerencia:
- Abra o console do ENS.
- Abra as configurações do módulo Firewall .
- Selecione registrar todo o tráfego bloqueado e registrar todo o tráfego permitido na seção Opções de ajuste .
- Para atividades relacionadas ao GTI, selecione registrar o tráfego correspondente na seção McAfee GTI reputação de rede .
- Clique em Aplicar.
- Para sistemas gerenciados pelo ePO:
- Reproduza o problema.
- Revise a
FirewallEventMonitor.log arquivo para obter detalhes sobre o tráfego de rede bloqueado e permitido. OFirewallEventMonitor.log arquivo está localizado no diretório\ProgramData\McAfee\Endpoint Security\Logs\
Teste ativando o recurso de modo adaptável do ens firewall
Esteja ciente das limitações do recurso de modo adaptável do ENS Firewall. Há condições em que o ENS Firewall não é possível criar regras de cliente automaticamente. Consulte a seção "perguntas frequentes-modo adaptável" do Guia de produto do Endpoint Security relevante para obter detalhes.
Para obter documentos do produto, vá para o portal de documentação do produto.
- Edite o Firewall do Endpoint Security, Opções de política no console do EPO ou no console do ens.
- Clique em Mostrar opções avançadas.
- Selecione Ativar modo adaptável (cria regras no cliente automaticamente) na seção Opções de ajuste .
Nota: Se o cliente do ENS for gerenciado pelo ePO, habilite também as regras do modo adaptável que foram adicionadas pelo usuário e que a política seja imposta . Essa opção permite que o cliente do ENS retenha essas regras de cliente e não exclua as regras de cliente, caso ocorra uma imposição de política de McAfee Agent. Ele permite que as regras de cliente sejam carregadas no servidor ePO para gerenciamento de políticas. A tarefa ENS Firewall conversor de propriedade ePO Server processa as regras de cliente e as converte de regras de cliente individuais para regras de cliente gerenciáveis do ePO no menu geração de relatórios, firewall regras de cliente . Essa tarefa não é a tarefa do ENSFW conversor de propriedade Server listada, mas uma tarefa interna oculta que é executada automaticamente a cada 15 minutos. Mantenha a tarefa do ENSFW conversor de propriedade Server desativada sempre em um estado desativado.
- Aplique a política modificada ao cliente e teste novamente o problema. Se o problema for resolvido, prossiga para a próxima etapa. Se o problema não for resolvido, continue para a próxima seção.
- Abra o console do ENS e abra o menu Firewall .
- Role para baixo até a seção regras e revise o grupo de firewall adaptável .
- Expanda o grupo de firewall adaptável e revise as regras de cliente para determinar por que as novas regras foram criadas. As regras de cliente do Firewall podem ser criadas por vários motivos. Modifique as regras existentes conforme o necessário ou crie firewall regras na política, se outras regras de firewall existirem na política para o tráfego específico do aplicativo ou da rede. Se você achar que as regras foram criadas por engano, entre em contato com o Suporte técnico para obter mais detalhes. Consulte a seção "informações relacionadas a" para obter detalhes de contato.
A ativação do recurso de modo adaptável do ENS Firewall permite duas etapas de solução de problemas.
- Verifique se alguma regra de cliente do modo adaptável foi criada para o tráfego de rede aplicável. Abra o menu do cliente do ENS Firewall e navegue até a seção regras . Localize o grupo de firewall adaptável . Clique no sinal de > e abra o grupo e liste as regras de cliente locais. Se o grupo estiver esmaecido e não puder ser aberto, nenhuma regra de cliente foi criada localmente no sistema. Se o cliente do ENS for gerenciado pelo ePO, essas regras de cliente do modo adaptável serão enviadas para o servidor ePO para Firewall gerenciamento de regras de cliente. Revise as regras de cliente do Firewall sob o menu relatóriofirewall regras de cliente .
- ENS Firewall modo adaptável também altera a regra de todos os tráfegos do bloqueio padrão na parte inferior da política do cliente. Ele altera esse padrão para um "permitir todas as regras de" denominada regra adaptável. Se nenhuma regra de cliente adaptável tiver sido criada a partir da etapa acima, revise a arquivo para registrar em log a
FirewallEventMonitor.log regra correspondente: entradas de regra adaptável . Essas entradas contêm o tráfego de rede que outras regras de firewall não são permitidas ou bloqueadas e que o modo adaptável não aprende. Você deve criar manualmente firewall regras, localmente no cliente ou por meio da política do ePO, para esse tráfego correspondente. Essas regras ajudam você a identificar qual tráfego de rede resolve o problema. É possível que mais de um tipo de tráfego de rede resolva um problema de aplicativo de terceiros específico. Para o tráfego de rede permitido por meio da regra de firewall chamada regra adaptável, o caminho do executável é normalmente, o que significa que o executável dentro da regra de firewall definida deve ser < também>em branco.
Exemplo:
Time: 01/13/2020 11:30:38 AM
Event: Traffic
IP Address: 10.10.10.1
Description:
Path:
Message: Allowed Incoming UDP - Source 10.10.10.1 : (56711) Destination 10.10.10.2 : (49284)
Matched Rule: Adaptive Rule
Voltar ao início
Teste usando uma política permitir qualquer
Para implementar uma permissão para qualquer política, você deve modificar as políticas de Firewall do Endpoint Security, Opções e regras com as configurações descritas abaixo.
- Edite a Firewall do Endpoint Security, Opções de política da seguinte maneira, usando o console do EPO ou o console do ens:
- Clique em Mostrar opções avançadas.
- Na seção Firewall , selecione Ativar firewall.
- Na seção Opções de proteção , configure as seguintes opções:
- Permitir tráfego para protocolos incompatíveis- ativado
- Permitir somente tráfego de saída até que os serviços firewall iniciados- desativados
- Permitir tráfego de ponte ativado
- Na seção Opções de ajuste , configure as seguintes opções:
- Modo adaptável do Ativar- desativado
- Desativar principais regras de rede- ativado
Observação: recomendamos que você deixe esse recurso ativado; a desativação das regras de rede principais pode interromper as comunicações de rede no cliente.
- Registrar todos os tráfego bloqueados- ativado
- Registrar todos os tráfegos permitidos- ativados
- Na seção McAfee GTI reputação de rede , configure as seguintes opções:
- Tratar correspondência de GTI como intrusão- desativada
- Registrar em log o tráfego correspondente
- Bloquear todos os executáveis não confiáveis- desativado
- Limite de reputação da rede de entrada- não bloquear
- Limite de reputação da rede de saída- não bloquear
- Para o ENS 10.6.0 e versões posteriores, o servidor de classificações do GTI não é acessível e nenhuma configuração é necessária.
- Na seção bloqueio de DNS , nenhuma configuração é necessária.
- Na seção redes definidas , nenhuma configuração é necessária.
- Na seção executáveis confiáveis , nenhuma configuração é necessária.
- Edite o Firewall do Endpoint Security, política de regras , da seguinte maneira, no console do EPO ou no console do ens:
- Clique em Adicionar regra.
- Na seção Descrição , defina as seguintes configurações:
- Nome- permitir qualquer
- Status- regra de ativar
- Ações- permitir
- Tratar correspondência como intrusão- desativada
- Registrar em log o tráfego correspondente- desativado
- Direção -
- Na seção redes , defina as seguintes configurações:
- Protocolo de rede- qualquer protocolo
- Tipos de conexão-selecionar todos os tipos mostrados.
- Especificar redes -nenhuma configuração é necessária.
Na seção transporte , defina a seguinte configuração: - Protocolo de transporte: todos os protocolos
- Na seção aplicativos , nenhuma configuração é necessária.
- Na seção programar , defina a seguinte configuração:
- Agenda Ativar- desativada
- Agenda Ativar- desativada
- Teste novamente o problema.
Se o problema for resolvido, expanda todos os grupos de regras de firewall na política nomeada e analise cada uma das regras de firewall de cima para baixo. Preste atenção especial às regras que foram bloqueadas como a ação. Com base nessa revisão, mova a regra qualquer-qualquer para baixo para várias posições no conjunto de regras. Se uma regra não estiver localizada, adicione a regra apropriada ao conjunto de políticas de firewall e teste-a novamente. Se você fizer isso várias vezes e testar o problema novamente, poderá determinar qual regra está bloqueando o aplicativo.
Nota: Verifique se os detalhes do aplicativo correspondem aos detalhes do executável de forma apropriada. Por exemplo, o valor da Descrição do arquivo deve ser a descrição exata do aplicativo; Esse valor não é um valor de comentário para o aplicativo. Para obter mais informações, consulte KB71735-propósito do campo Descrição do arquivo executável em Firewall do Endpoint Security e Host Intrusion Prevention.
Teste isolando o tipo de tráfego de rede que resolve o problema
Para determinar que tipo de tráfego de rede está relacionado ao problema, isole o tráfego de rede por diferentes critérios. Combinações genéricas diferentes podem ajudá-lo a determinar o tipo de tráfego de rede no qual se concentrar ao revisar as entradas bloqueadas no
Nota: A lista fornecida abaixo é apenas um guia para alguns exemplos de critérios e não se destina a ser uma lista completa.
Exemplo de uso:
Se permitir todo o tráfego de entrada resolver o problema, restrinja ainda mais a regra para TCP versus UDP versus ICMP.
Se permitir todo o tráfego TCP de entrada resolver o problema, revise os registros de firewall para o tráfego TCP de entrada bloqueado .
Exemplos de combinação genérica:
- Permitir todo o tráfego de saída
- Permitir todo o tráfego de entrada
- Permitir todo o tráfego IPv4
- Entrada versus saída
- TCP versus UDP versus ICMP
- Permitir todo o tráfego IPv6
- Entrada versus saída
- TCP versus UDP versus ICMP
- Permitir todo o tráfego TCP
- Entrada versus saída
- Entrada versus saída
- Permitir todo o tráfego UDP
- Entrada versus saída
- Entrada versus saída
- Permitir todo o tráfego ICMP
- Entrada versus saída
- ICMPv4 versus ICMPv6
- Permitir todo o tráfego de broadcast ( 255.255.255.255 )
- Permitir todo o tráfego de multicast ( 224.0.0.252 - 239.255.255.250 )
Teste permitindo protocolos incompatíveis
Ativar a opção Permitir tráfego para protocolos incompatíveis na Firewall do Endpoint Security, a política de Opções e o novo teste para verificar se essa ação resolve o problema.
Voltar ao início
Teste desativando a funcionalidade de reputação de rede do GTI
Defina o limite de reputação da rede de entrada e o limite de reputação da rede de saída para que o não seja bloqueado na política de Opções do Firewall do Endpoint Security. Em seguida, teste novamente e confirme se essa ação resolve o problema. O recurso de reputação de rede do GTI processa o tráfego de rede antes das outras regras de firewall contidas na política de regras de Firewall , que pode conter uma regra permitir qualquer firewall. Se a funcionalidade de reputação de rede do GTI bloquear o tráfego de rede, consulte KB90837-perguntas frequentes para Firewall do Endpoint Security Global Threat Intelligence.
Voltar ao início
Teste desativando o GTI "bloquear todos os executáveis não confiáveis" funcionalidade
Desativar a opção bloquear todos os executáveis não confiáveis na Firewall do Endpoint SecurityOpções de política. Em seguida, teste novamente e confirme se essa ação resolve o problema. Esse recurso bloqueia todos os executáveis que não são assinados ou que têm uma reputação de GTI desconhecida. Para obter informações sobre esse recurso, consulte KB90096-explicação sobre a regra de verificação de "executável." O
Voltar ao início
Teste desativando a "permitir somente tráfego de saída até que os serviços firewall tenham iniciado" recurso
Desativar a opção Permitir somente o tráfego de saída até que os serviços de firewall iniciados na política Firewall do Endpoint Security, Opções . Em seguida, faça um novo teste e verifique se essa ação resolve o problema. Esse recurso cria um conjunto de regras de firewall embutidas no código no kernel durante Windows tempo de inicialização. As regras são removidas quando os serviços do ENS são totalmente iniciados. Essas regras podem bloquear o tráfego de rede do aplicativo durante o processo de inicialização do Windows, o que pode causar problemas. Para um problema conhecido com esse recurso, consulte KB90765-depois de desinstalar o módulo Firewall do Endpoint Security, o cliente bloqueia as conexões de rede de entrada.
Voltar ao início
Teste desativando as regras principais de rede
As regras principais de rede permitem alguns tipos de tráfego básico de rede. Para obter mais informações, consulte KB91206-perguntas frequentes sobre firewall do Endpoint Security "desativar McAfee principais regras de rede" recurso. Se você tiver uma regra de bloqueio que bloqueie adequadamente o tráfego da rede, ative a opção Desativar McAfee principais regras de rede na política Firewall do Endpoint Security, Opções . Faça um novo teste para confirmar se essa ação resolve o problema. Com a opção log do ENS registrar tudo bloqueado ativado, o
NOTAS:
- Não recomendamos que você desative as regras de rede principais. Ele pode causar problemas de comunicação de rede no cliente, conforme indicado na mensagem de pop-up que ocorre quando você ativa esse recurso na interface do usuário: "desativaçãa McAfee as regras principais de rede podem interromper as comunicações de rede no cliente. "
- Este teste é verificar se alguma das regras principais de rede de código permitem o tráfego de rede antes de qualquer uma das regras de firewall listadas na política de regras de firewall . Essa etapa normalmente é uma solução de problemas. Ele pode ajudá-lo a determinar por que o tráfego de rede está sendo permitido quando uma regra de firewall personalizada para permitir que o tráfego não exista. (Por exemplo, quando você tenta bloquear o tráfego de ping de ICMP de saída, mas a regra padrão permite que aplicativos de sistema de saída permitam o tráfego de rede gerado pelo processo do sistema antes que quaisquer regras de bloqueio sejam processadas.)
Voltar ao início
Teste ativando as principais regras de rede
As regras principais de rede permitem alguns tipos de tráfego básico de rede. Para obter mais informações, consulte KB91206-perguntas frequentes sobre firewall do Endpoint Security "desativar McAfee principais regras de rede" recurso. Alguns tráfegos de rede podem precisar ser permitidos por essas regras de firewall embutidas em código. Alguns clientes podem optar por desativar as regras de rede principais e essa opção pode causar problemas.
Nota: A opção Desativar McAfee principais regras de rede está desmarcada por padrão. Os clientes que ativaram essa opção (para desativar essas regras) talvez precisem redefinir esse recurso de volta para o padrão para fins de teste.
- Desmarque a opção Desativar McAfee principais regras de rede na política Firewall do Endpoint Security. Opções .
- Atualize a política localmente no cliente.
- Verifique se as regras principais de rede da McAfee não estão em um estado desativado no cliente local.
- Teste novamente o problema.
Verifique os valores de status do ens firewall e do Windows Defender Firewall no Windows Security Center
O ENS Firewall assume mais de algumas categorias de Firewall em um sistema de Windows quando essa é ativada. Execute o
Categorias:
BootTimeRuleCategory McAfee Endpoint Security Firewall
FirewallRuleCategory McAfee Endpoint Security firewall
StealthRuleCategory McAfee Endpoint Security
ConSecRuleCategory Firewall Windows Defender firewall
Voltar ao início
Coletar dados usando o mínimo de requisitos de escalação (Mer), FWInfo AMTrac e ferramentas e software de captura de rede
Alguns problemas de firewall avançados podem requerer um rastreamento de pacote de rede enquanto o problema é reproduzido. Quando necessário, Capture dois conjuntos de dados; um com o problema e o outro sem o problema, para fornecer um cenário funcional e que não funcione. Você pode comparar os rastreamentos para determinar qualquer diferença com o tráfego do pacote de rede. Um conjunto de dados de um cenário fora do funcionamento é geralmente o mínimo necessário, a menos que seja direcionado de outra forma por Suporte técnico.
Alguns problemas de firewall avançados podem requerer um rastreamento de pacote de rede enquanto o problema é reproduzido. Quando necessário, Capture dois conjuntos de dados; um com o problema e o outro sem o problema, para fornecer um cenário funcional e que não funcione. Você pode comparar os rastreamentos para determinar qualquer diferença com o tráfego do pacote de rede. Um conjunto de dados de um cenário fora do funcionamento é geralmente o mínimo necessário, a menos que seja direcionado de outra forma por Suporte técnico.
- (Opcional) Instale o software de captura de rede no cliente de teste.
NOTAS:- Um rastreamento de captura de rede não é necessário em todas as situações, a menos que o problema esteja relacionado a problemas de desempenho ou de temporização. Suporte técnico pode solicitar especificamente um rastreamento de rede quando necessário.
- Os problemas de captura de rede ocorreram no passado com o software WinPcap incluído com o Wireshark. O NETRESEC
RAWCap é um software de captura de rede alternativo que você pode usar para evitar esses problemas.
- Obtenha a
AMTrace ferramenta. Consulte KB86691-etapas mínimas de coleta de dados para obter Endpoint Security problemas. - Ativar o log de depuração no produto ENS. Consulte KB86691-etapas mínimas de coleta de dados para obter Endpoint Security problemas.
- Ativar o registro de todos os tráfegos bloqueados e registre todas as opções de registro de tráfego permitido na política Opções de firewall . Devido à maior atividade de registro de tráfego de rede, talvez seja necessário ajustar os limites de tamanho do registro do ENS. (Geralmente, esse ajuste não é necessário.) Ajuste as seguintes opções de registro do ENS na política Opções de em comum do ens, se necessário:
- Tamanho limite (em MB) de cada arquivo de log de depuração -o tamanho padrão é de 50 MB
- Tamanho limite (em MB) de cada arquivo de registro de atividades-o tamanho padrão é de 10 MB
- Iniciar a captura de um rastreamento de rede.
- Inicie a
AMTrace ferramenta. Há várias maneiras de executar aAMTrace ferramenta. Executeamtrace.exe para iniciar ou interromper a ferramenta manualmente ou use as seguintes opções de linha de comando:- Para começar:
AMTrace.exe -b now -m 2GB - Para parar:
AMTrace -e
- Para começar:
- Reproduza o problema.
Nota: Documente a data e a hora precisas do problema que está sendo reproduzido, para que Suporte técnico revisão do registro.
- Interrompa a captura de rastreamento de rede.
- Interrompa a
AMTrace ferramenta. - Colete uma MER arquivo do sistema. O MER deve incluir os arquivos de log do ENS Firewall
\ProgramData\McAfee\Endpoint Security\Logs\Firewall*.log - Coletar o tráfego de rede e os detalhes do aplicativo apropriados:
- Endereços IP de origem e destino, incluindo quaisquer outros detalhes de endereço de rede relacionados, se necessário.
- Números de portas de origem e destino, se aplicável.
- Detalhes do executável do aplicativo, por exemplo, o nome do fornecedor, o caminho de instalação, o caminho do executável e o nome do arquivo.
- Data e hora da reprodução do problema.
- Qualquer entrada de bloqueio ou permissão relevante dos arquivos de log do Firewall do ENS, se aplicável.
- Às vezes, uma cópia exportada das políticas de Firewall do ENS é necessária para uma análise completa. As políticas de Firewall necessárias são geralmente as políticas de Firewall ou regras de Opções . Se você puder fornecer essas políticas paro Suporte técnico a serem revisadas, exporte-as do menu do console do ePO Catálogo de políticas , e não do menu de catálogo do firewall . Exporte as políticas como arquivos XML de política.
- Coletar
FWInfo dados:- Abra um prompt de comando como administrador. Por exemplo, se você usar o Windows 10, digite cmd na caixa de pesquisa iniciar, clique com o botão direito do mouse em prompt de comando, selecione Executar como administradore clique em Sim.
- No prompt de comando administrador, execute os seguintes comandos:
ipconfig /all > c:\ipconfig.txt
Observação:fwinfo está emC:\Program Files\Common Files\McAfee\SystemCore\fwinfo.exe .
fwinfo -configdisplay > c:\fwinfo-configdisplay1.txt
fwinfo -ipconfig > c:\fwinfo-ipconfig1.txt
fwinfo -policydisplayxml > c:\fwinfo-policydisplayxml1.txt
Nota: Execute o comando a seguir no Windows Vista SP1 ou em sistemas posteriores. O comando cria um arquivo nomeadowfpstate.xml . Renomear o arquivo comowfpstate1.xml .
netsh wfp show state
- Entre em contato com o Suporte técnico e forneça os dados coletados acima para análise adicional. Consulte a seção "informações relacionadas a" para obter detalhes de contato.
Informações relacionadas
Para entrar em contato com o Suporte técnico, vá para a página criar uma solicitação de serviço e entre no ServicePortal.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
- Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: