Loading...

ID de l'événement : 516, Avertissement, le processus **\VSTSKMGR.EXE pid (XXXX) contient du code signé mais non approuvé (résolution des problèmes)
Articles techniques ID:   KB71083
Date de la dernière modification :  03/11/2016
Noté :


Environnement

McAfee VirusScan Enterprise 8,8
McAfee VirusScan Enterprise 8.7i avec Patch 5 (repost)
McAfee Agent 4.5 et versions ultérieures

 

Synthèse

IMPORTANT : l'événement 516 n'indique pas un problème avec le produit VirusScan Enterprise (VSE), mais renvoie à une nouvelle fonction de sécurité de VSE.

L'événement 516, déclenché pour des raisons légitimes, sert à alerter l'administrateur sur la menace qui pèse sur le code McAfee. Lorsqu'un processus a été autorisé à exécuter un code étranger depuis l'espace d'adresse d'un processus McAfee, il est possible de contourner des règles de protection de l'accès car la plupart de ces dernières approuvent les processus McAfee. De nombreuses applications tierces utilisent cette technique pour offrir des fonctionnalités utiles à une organisation. Toutefois, ces ID d'événement peuvent également indiquer que le système est infecté par un logiciel malveillant (malware), tel qu'un rootkit, ou que vous exécutez une application tierce intrusive.

VSE génère cet événement dans l'un des cas suivants :

  • Un ou plusieurs fichiers DLL chargés par le processus mentionné proviennent d'un fournisseur tiers (autre que McAfee et Microsoft) et contiennent un code non approuvé.
  • Les fichiers DLL chargés par le processus mentionné proviennent de Microsoft (fichiers censés être approuvés), mais le processus de validation et d'approbation a échoué.
  • McAfee Agent charge certains fichiers DLL ne contenant pas la signature McAfee nécessaire requise pour l'inspection effectuée par VSE 8.8.

Problème

Le journal des événements du système Windows signale plusieurs entrées pour l'ID d'événement 516. Des entrées similaires à celles qui suivent sont consignées dans le journal des événements du système Windows :

Type d'événement : Avertissement
Source de l'événement : mfehidk
Catégorie d'événement : (256)
ID de l'événement : 516
Date :  <Date>
Heure :  <heure>
Utilisateur : S/O
Ordinateur : <nom>
Description :
le processus**\VSTSKMGR.EXE pid (XXXX) contient un code signé, mais non approuvé. Il a toutefois été autorisé à effectuer une opération privilégiée avec un pilote McAfee
 

Sur certains systèmes, l'événement est consigné à quelques minutes d'intervalle.

Aucun autre symptôme n'est signalé sur le client.

IMPORTANT : il n'y a aucune incidence sur les performances et les fonctionnalités de VSE.

Cause

VSE génère cet événement lorsqu'une ou plusieurs DLL chargées par le processus mentionné proviennent d'un éditeur tiers (autre que McAfee ou Microsoft), et qu'il contient du code non approuvé. Cela peut se produire dans les cas suivants. McAfee recommande vivement d'analyser tous les rapports signalant ce problème, afin d'en déterminer la cause exacte.

Scénarios actuels :
  • Application de tiers (crochet)
    Se produit lorsque des applications de tiers accrochent ou injectent leur code dans des processus McAfee pour ajouter des fonctionnalités. Les logiciels malveillants (malwares) utilisent également cette technique. McAfee ne fait pas confiance à ces programmes de tiers (considérés en l'occurrence comme des logiciels malveillants) et génère l'événement, afin d'informer l'administrateur que le processus McAfee peut être menacé.

     
  • McAfee Agent
    Se produit lorsque l'agent McAfee charge certains fichiers DLL. Ces bibliothèques (cryptocme2.dll ou ccme_base.dll) ne contiennent pas de signature McAfee nécessaire pour l'inspection effectuée pour VSE 8.8. Ce scénario est résolu dans les versions les plus récentes de McAfee Agent.

     
  • Les magasins de certificats Microsoft doivent être actualisés
    Le problème peut venir de fichiers DLL Microsoft censés être approuvés, alors que le processus de validation échoue. Cela se produit lorsqu'aucun certificat correspondant ou valide n'est trouvé pour le fichier (cela a été constaté avec le fichier MSI.dll de l'installateur MSI 4.5.6001.22159).

Solution

Pour traiter ce problème logiquement, consultez les articles suivants dans l'ordre indiqué par les experts du produit.

Article
Problème
DLL de l'agent McAfee (correctif)
Application de tiers (crochet)
Les magasins de certificats Microsoft doivent être actualisés

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document

Beta Translate with

Select a desired language below to translate this page.