Articles techniques ID:
KB79576
Date de la dernière modification : 25/02/2021
Environnement
McAfee Application and Change Control (MACC) 6.x.x
Synthèse
Cet article répertorie les questions et réponses fréquentes concernant MACC 6.x.x. Il est destiné aux nouveaux utilisateurs du produit, mais peut être utilisé par tous les utilisateurs.
Mises à jour récentes de cet article
Date
Mise à jour
5 février 2021
Modifications mineures du format.
19 décembre 2019
Contenu actualisé. Effectuez une maintenance de routine sur les sections.
23 avril 2018
Consolidée tous les MACC 6.x.x Questions. Ajout de sections réductibles.
Table des matières
Cliquez pour développer la section que vous souhaitez afficher :
Comment puis-je vérifier que la version d’application Control ou change Control est disponible dans le registre ?
La version application Control ou change Control est contenue dans l’entrée de clé de Registre suivante :
Nouveautés dans application Control 6.2.0 Découverte de stratégie ?
Les administrateurs de site peuvent afficher et entreprendre une action uniquement pour les demandes de découverte de stratégie provenant de leurs hôtes. Ils ne peuvent pas effectuer d’action à partir des hôtes auxquels l’utilisateur connecté n’a pas accès.
Les observations sont désormais générées pour les opérations de fichier basées sur le chemin d’accès réseau. Les administrateurs peuvent découvrir des stratégies de répertoire approuvé pour ces observations. Les observations reçues des partages réseau sont répertoriées sur la page découverte de stratégie avec l’activité Exécution du chemin d’accès réseau.
Nouvelles fonctionnalités pour la découverte de stratégie afin de faciliter la gestion des demandes de découverte de stratégie :
La page découverte de stratégie contient désormais plus de filtres sur l’activité, le niveau de confiance et le nom du système.
Les administrateurs peuvent désormais définir des règles de stratégie personnalisées autres que les règles suggérées par le Découverte de stratégie, Actions, Créer une stratégie personnalisée option. A cette fin, tous les onglets de stratégie sont désormais visibles. Une nouvelle action Clear and define rules a été ajouté. Ces détails de la demande d’action sont désormais disponibles sur la page Créer une stratégie personnalisée -.
Sur la page Détails de la découverte de stratégie, une somme de contrôle binaire est affichée dans la Propriétés du fichier binaire section.
Les colonnes Nom d’utilisateur, Nom d’hôte, et Chemin d’accès du fichier binaire ont été ajoutés à la page Détails de la découverte de stratégie. Également Recherche rapide lors Nom d’hôte a été ajouté.
Les administrateurs peuvent créer des règles de stratégie personnalisées à partir d’événements de menace directement. A cette fin, un Créer une stratégie personnalisée une action est affichée correspondant aux événements. Il s’agit notamment des événements écriture refusée, exécution refusée, package modification bloquée et protection de la mémoire. A partir de cette action, les administrateurs peuvent consulter les détails de l’événement et créer des règles de stratégie en conséquence.
Pour plus d’informations, reportez-vous à application Control 6.2.0 Guide produit.
Nouveautés de 6.1.2 Mode d’observation ?
Mode d’observation améliorations de la fonctionnalité d’évolutivité à partir de cette version.
Découverte de stratégie page permettant de créer des stratégies pour les événements d’observation et d’auto-approbation.
Modifications clés dans Mode d’observation option de menu :
L’interface utilisateur d’auto-approbation et de mode d’observation a été fusionnée pour créer un seul Découverte de stratégie -.
L’observation et l’auto-approbation pour le même application disposent d’une entrée de candidat de stratégie. Vous pouvez accéder à une ligne spécifique pour vérifier les demandes d’auto-approbation ou les détails d’observation.
Ce qui a été modifié dans 6.1.2 Mode d’observation ?
La fonctionnalité mode d’observation a été considérablement améliorée en termes d’évolutivité dans cette version. Les administrateurs remarqueront une réduction des observations et une qualité améliorée.
Les modifications affectant les workflows autour de cette fonctionnalité sont les suivantes :
L’élément de menu mode d’observation est désormais Obsolète.
L’analyse de la découverte des règles est désormais effectuée sur les postes clients afin de s’assurer que seuls les événements nécessaires sont remis à ePolicy Orchestrator.
Cette Arborescence des processus n’est pas disponible dans l’interface utilisateur de découverte de stratégie (IU). Les événements de création de l’arborescence des processus (processus créé) étaient parmi les principaux contributeurs aux observations des versions précédentes d’application Control.
Les événements identiques (pour le même fichier binaire et activité) de plusieurs hôtes sont consolidés en une seule ligne dans la découverte de stratégie. La consolidation des événements permet un traitement efficace des demandes et la réduction de la surcharge. Cette consolidation a un impact sur le mécanisme de création de stratégie à partir de la page Evénements qui était disponible dans les versions précédentes.
Le focus est désormais remplacé par découvrir les candidats à la stratégie qui sont les change agentpour le contenu de la liste d’autorisation. Cela permet de s’assurer que l’autorisation de programme de mise à jour est accordée aux processus appropriés. Au lieu de voir les observations pourEXECUTION_DENIEDEvénements pour les nouveaux fichiers, des événements équivalents sont visibles pour les ajouts de fichiers à la liste d’autorisation.
Les observations ne sont pas générées pour les opérations de fichier basées sur le chemin d’accès réseau.
Provisoireexecution allow les règles sont créées lors de la première invocation de nouveau contenu. Ces règles empêchent la génération de nouvelles observations sur les exécutions répétées.
Un mécanisme de mise en cache a été mis en œuvre pour Activer mode de manière à ce que les demandes d’observation répétées ne soient pas générées pour le même fichier binaire.
Renommé Règles d’auto-approbation globales Groupe de règles à Règles globales.
Plusieurs groupes de règles déconseillés associés à l’ancienne mise en œuvre des observations et ajoutés au suffixe Obsolète aux noms des groupes de règles. Par exemple, les règles d’observation globales (obsolètes).
Est-ce que application Control ou change Control 6.x prendre en charge un environnement de cluster Windows 2008 R2 ?
Oui. Application Control et change Control 6.x prise en charge Windows 2008 R2 dans un environnement en cluster.
Application Control prend-il en charge SafeNet ProtectFile : chiffrement et protection des fichiers ?
Non.Il existe une incompatibilité connue entre application Control et SafeNet ProtectFile : logiciel de chiffrement et de protection des fichiers.
Pourquoi ne puis-je pas installer l'agent solidcore sur Windows XP ?
La cause la plus fréquente de ce problème est les autorisations de la stratégie locale par défaut. Suivez la procédure ci-dessous et configurez les autorisations nécessaires :
Connectez-vous à l’ordinateur Windows XP.
Cliquez sur Démarrer, Exécute, saisissez gpedit.msc, puis cliquez sur OK.
Développez Configuration de l’ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, Options de sécurité.
Double-cliquez sur Accès réseau : modèle de partage et de sécurité pour les comptes locaux.
Dans la Paramètre de sécurité local onglet, sélectionnezClassic - local machine try \host-name\admin$.
Veuillez Vous êtes invité à fournir des informations d’identification. Après avoir fourni les informations d’identification, Admin$ ouvertures.
Essayez d’installer l'agent solidcore.
Est-il possible d’utiliser le même programme d’installation pour change Control, Integrity Monitor et application Control ?
La clé de licence détermine les fonctionnalités qui sont activées. Toutes les fonctionnalités peuvent être utilisées en même temps.
Comment savoir si l'agent solidcore est installé et activé sur un client ?
Pour vérifier que la Agent solidcore a été déployée avec succès :
Affichez le fichier journal Agent à partir de la console ePolicy Orchestrator (ePO).
Connectez-vous à la console ePO.
Cliquez sur Menu, Systèmes, Arborescence des systèmes et cliquez sur un client dans la liste affichée.
Cliquez sur Actions, Agent, Afficher le journal des Agent.
Une fois le déploiement de l'agent terminé, cliquez sur Réactiver les agents Utilisez la procédure suivante pour afficher les propriétés du système solidcore Agent :
Connectez-vous à la console ePO.
Cliquez sur Menu, Systèmes, Arborescence des systèmes puis sélectionnez un client.
Cliquez sur votre hôte. La page Détails du système s’affiche.
Faites défiler vers le bas jusqu’à Solidcore pour afficher la version du produit et le chemin d’installation.
Cliquez sur Grand permet d’afficher l’état de la Agent, qu’elle soit activée ou désactivée. Vous pouvez également afficher les licences de plusieurs fonctionnalités installées sur l’ordinateur.
Est-il possible de déployer application Control ou change Control sur une machine virtuelle ?
Oui. L'agent solidcore s’exécute correctement sur une machine virtuelle dotée d’un système d’exploitation pris en charge par l'agent solidcore.
Que se passe-t-il lors des mises à niveau à partir de versions antérieures à MAC ? 6.1.2?
L’élément de menu mode d’observation est toujours disponible, mais mis en surbrillance comme Obsolète.
Les demandes d’auto-approbation générées dans les versions antérieures sont renseignées dans la Découverte de stratégieCODÉ.
Que se passe-t-il lors de nouvelles installations de MAC ? 6.1.2 extension?
Seuls les Découverte de stratégie page s’affiche.
Toutes les demandes d’auto-approbation et observations générées dans Observation ou Activer le mode s’affiche sur cette page.
Uniquement les postes clients avec 6.1.2 et les versions ultérieures peuvent signaler les observations dans cette interface utilisateur.
Tous les postes clients avec 6.1.0 et les versions ultérieures peuvent signaler les demandes d’auto-approbation dans cette interface utilisateur.
Qu’est-ce que FailSafeConf (sous la clé « Sadmin config Show ») et comment le configurer ?
FailSafeConf permet de déterminer le comportement d’application Control si l’inventaire des événements est corrompu.
FailSafeConf la valeur peut être définie sur 0 ou 1 : Valeur = 0 (par défaut) : Le système redémarre avec application Control dans activée non.
Valeur = 1: Le système passe en boucle de redémarrage continue.
Quels événements peuvent désactiver application Control ou change Control 6.x?
Les événements suivants transforment l’État en désactivé :
INVENTORY_CORRUPT (Application Control)
TRIAL_EXPIRED (Application Control et change Control)
Puis-je forcer la sortie d’application Control ou change Control 6.x s’affiche en anglais sans modifier les paramètres régionaux du système d’exploitation ?
Non.Vous ne pouvez pas configurer la langue pour application Control ou change Control 6.x. Elle est basée sur la langue définie dans le système d’exploitation. La sortie est générée en anglais si solidcore détecte une langue non prise en charge.
Dans les prochaines distributions, qu’arrive-t-il aux règles ajoutées aux groupes de règles obsolètes ?
Lorsque ces groupes de règles sont supprimés, toutes les règles de stratégie appropriées des groupes de règles obsolètes sont préservées et migrées vers d’autres groupes de règles.
Pourquoi le lien « Afficher les suggestions » est-il absent de la page Evénements pour les nouvelles observations ?
Avant que le 6.1.2 libér
Les observations et les événements ont un mappage un à un.
La page Evénements comprenait la Afficher les suggestions lien pour les observations générées en mode d’activation qui permettait à l’utilisateur de découvrir les règles de stratégie.
À compter de la 6.1.2 version et versions ultérieures :
La page découverte de stratégie sert de console centralisée pour découvrir les règles de stratégie, quel que soit le mode d’exécution du terminal.
La page découverte de stratégie consolide les événements identiques (pour les mêmes fichiers binaires et activités) à partir de plusieurs hôtes. Ces événements sont consolidés en un seul enregistrement. Cette consolidation permet un traitement efficace des demandes et réduit la surcharge.
Ainsi, le mécanisme de découverte de stratégie unifiée réduit la nécessité d’afficher le lien Afficher les suggestions. Elle a été supprimée dans le cadre de la reconception pour cette fonctionnalité.
Les événements qui sont générés 6.1.2 en mode d’observation et en mode d’activation ?
Reportez-vous au tableau ci-dessous pour connaître les événements générés en workflow en mode d’observation et en mode d’activation.
Type d’événement
Non
Activité
Refuser exec (chemin d’accès non réseau)
Activer
Générer l’observation pour "Auth by checksum"
Constater
Consolidez le fichier binaire/script
Opération d’autorisation
Aucune observation
Refuser l’écriture
Activer
Générer l’observation "programme de mise à jour par nom"
Constater
Générer l’observation
Opération d’autorisation
Deny exec (chemin d’accès réseau)
Activer
Aucune observation
Constater
Aucune observation
Déni de service de contrôle des packages
Activer
Générer une observation pour « programme de mise à jour par somme de contrôle »
Constater
Générer l’observation
Opération d’autorisation
Déni de l’ActiveX
Activer
Générer une observation pour le certificat
Constater
Générer l’observation
Opération d’autorisation
Protection de la mémoire NX/piratage de processus
Activer
Générer l’observation pour le contournement de l’attribut attr
Constater
Générer l’observation
Opération d’autorisation
Fichiers MSI en cours d’extraction
Activer
Générer une observation pour « programme de mise à jour par somme de contrôle »
Constater
Générer l’observation
Opération d’autorisation
Fichiers binaires extraits d’un fichier binaire (exe, dll, pilote) et script
Activer
Génération d’une observation pour « programme de mise à jour par nom »
Constater
Générer l’observation
Opération d’autorisation
Les événements qui sont générés 6.2.0 (Linux) en mode d’observation et en mode d’activation ?
Reportez-vous au tableau ci-dessous pour connaître les événements générés dans workflow en mode d’observation.
Veuillez Linux ne prend généralement pas en charge package Control, ActiveX, MP, MSI détection et toute autre forme de programme d’installation. De plus, aucune observation n’est créée en mode activé sur Linux.
Type d’événement
Non
Activité
Refuser exec
Activer
Hors de portée pour la première itération : générer une règle pour "autoriser les attributs par nom"
Constater
Opération d’autorisation
Générer une règle pour "autoriser un attribut par nom"
Hors de portée pour la première itération : générer l’observation "programme de mise à jour par nom"
Refuser l’écriture
Activer
Hors de portée pour la première itération : générer l’observation "programme de mise à jour par nom"
Constater
Opération d’autorisation
Génération d’une observation pour « programme de mise à jour par nom »
Hors de portée pour la première itération : « marquer le processus actuel en tant que règle temporaire »
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
