Domande frequenti per l'applicazione e il controllo delle modifiche 6.x.x
Articoli tecnici ID:
KB79576
Ultima modifica: 25/02/2021
Ambiente
McAfee applicazione e controllo delle modifiche (MACC) 6.x.x
Riepilogo
Questo articolo è un elenco consolidato di domande e risposte comuni per MACC 6.x.x. È destinata agli utenti che sono nuovi del prodotto, ma che possono essere utilizzati per tutti gli utenti.
Aggiornamenti recenti a questo articolo
Data
Aggiornamento
5 febbraio 2021
Modifiche di formato minori.
19 dicembre 2019
Contenuto aggiornato. Manutenzione di routine eseguita nelle sezioni.
23 aprile 2018
Consolidamento di tutti MACC 6.x.x FAQ. Aggiunte sezioni comprimibili.
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
In che modo è possibile verificare la versione del controllo delle applicazioni o modificare il controllo tramite il registro?
La versione controllo applicazione o modifica controllo è contenuta nella seguente voce della chiave di registro:
Novità di Application Control 6.2.0 Rilevamento delle policy?
Gli amministratori dei siti possono visualizzare e intraprendere un'azione solo per le richieste di rilevamento delle policy provenienti dai rispettivi host. Non possono intraprendere un'azione da parte di host a cui l'utente connesso non ha accesso.
Le osservazioni vengono ora generate per le operazioni di file basate su percorso di rete. Gli amministratori possono individuare Policy di directory affidabili per queste osservazioni. Le osservazioni ricevute dalle condivisioni di rete sono elencate nella pagina Individuazione Policy con l'attività Esecuzione del percorso di rete.
Nuove funzionalità per l'individuazione delle policy per facilitare una migliore gestione delle richieste di rilevamento delle policy:
Nella pagina Individuazione Policy ora sono presenti più filtri sull'attività, il livello di affidabilità e il nome del sistema.
Gli amministratori possono ora impostare regole di policy personalizzate diverse dalle regole suggerite dal Rilevamento delle policy, Azioni, Crea policy personalizzata opzione. A tale scopo, tutte le schede di policy sono ora visibili. Una nuova azione Clear and define rules è stato aggiunto. I dettagli della richiesta di azione sono ora disponibili sul Crea policy personalizzata video.
Nella pagina Dettagli rilevamento Policy, viene visualizzata una checksum binaria nella Proprietà binarie sezione.
Le colonne Nome utente, Nome host, e Percorso binario sono stati aggiunti alla pagina Dettagli individuazione Policy. Anche Ricerca rapida su Nome host è stato aggiunto.
Gli amministratori possono creare regole di policy personalizzate da eventi di minaccia direttamente. A tale scopo, un Crea policy personalizzata l'azione viene visualizzata in corrispondenza degli eventi. Questi eventi includono la scrittura negata, l'esecuzione negata, la modifica del pacchetto impedita e gli eventi di protezione della memoria. Da questa azione, gli amministratori possono esaminare i dettagli dell'evento e creare regole di policy di conseguenza.
Per ulteriori informazioni, consultare il controllo delle applicazioni 6.2.0 Guida del prodotto.
Novità di 6.1.2 Modalità di osservazione?
La modalità di osservazione migliora la scalabilità da questa release.
Rilevamento delle policy pagina per la creazione di policy per le osservazioni e gli eventi di approvazione automatica.
Modifiche chiave nel Modalità di osservazione opzione di menu:
L'interfaccia utente di auto-approvazione e modalità di osservazione è stata unita per creare un singolo Rilevamento delle policy video.
L'osservazione e l'autoapprovazione per la stessa applicazione sono costituite da una policy voce del candidato. È possibile eseguire il drill-down su una riga specifica per verificare la presenza di richieste di approvazione automatica o dettagli di osservazione.
Cosa è cambiato in 6.1.2 Modalità di osservazione?
La funzione modalità di osservazione è stata notevolmente migliorata per la scalabilità in questa versione. Gli amministratori noteranno una riduzione delle osservazioni e una qualità migliorata.
Modifiche che interessano i flussi di lavoro relativi a questa funzionalità:
La voce di menu modalità di osservazione è ora Obsoleto.
L'analisi della rilevazione delle regole viene ora eseguita negli endpoint per assicurarsi che solo gli eventi necessari vengano consegnati a ePolicy Orchestrator.
Il Struttura dei processi non è disponibile nell'interfaccia utente di rilevamento Policy (UI). Gli eventi di creazione della struttura dei processi (processi creati) sono stati tra i principali contributori alle osservazioni nelle versioni precedenti del controllo delle applicazioni.
Gli eventi identici (per lo stesso binario e attività) provenienti da più host vengono consolidati in un'unica riga nell'individuazione delle policy. Il consolidamento degli eventi consente l'elaborazione efficiente delle richieste e la riduzione dell'overhead. Questo consolidamento influisce sul meccanismo di creazione delle policy dalla pagina eventi disponibile nelle versioni precedenti.
Il focus è ora cambiato per scoprire i candidati alle policy che sono change agentper il contenuto dell'elenco Consenti. In tal modo si garantisce che ai processi giusti venga concessa l'autorizzazione di aggiornamento. Invece di vedere le osservazioni perEXECUTION_DENIEDgli eventi per i nuovi file, gli eventi equivalenti vengono visualizzati per le aggiunte di file all'elenco Consenti.
Le osservazioni non vengono generate per le operazioni di file basate su percorso di rete.
Temporaneaexecution allow le regole vengono create al primo richiamo del nuovo contenuto. Queste regole impediscono la generazione di nuove osservazioni sulle esecuzioni ripetute.
È stato implementato un meccanismo di memorizzazione nella cache per Attivare in modo che non vengano generate richieste di osservazione ripetute per lo stesso file binario.
Rinominato il Regole di approvazione automatica globali gruppo di regole a Regole globali.
Più gruppi di regole obsoleti correlati alla vecchia implementazione delle osservazioni e aggiunto il suffisso Obsoleto ai nomi dei gruppi di regole. Ad esempio, le regole di osservazione globali (obsolete).
Controllo delle applicazioni o controllo delle modifiche 6.x supporto di un ambiente cluster Windows 2008 R2?
Sì. Controllo delle applicazioni e controllo delle modifiche 6.x supporta Windows 2008 R2 in un ambiente cluster.
Il controllo delle applicazioni supporta SafeNet ProtectFile: crittografia e protezione file?
No. Esiste un'incompatibilità nota tra Application Control e SafeNet ProtectFile: File Encryption and Protection software.
Perché non è possibile installare il Agent solidcore su Windows XP?
Il motivo più comune di questo problema sono le autorizzazioni predefinite policy locali. Eseguire la procedura seguente e configurare le autorizzazioni necessarie:
Accedere al computer Windows XP.
Fare clic su Avvia, Esegui, digitare gpedit.msc, quindi fare clic su Ok.
Espandere Configurazione del computer, Impostazioni Windows, Impostazioni di protezione, Policy locali, Opzioni di sicurezza.
Fare doppio clic su Accesso di rete: modello di condivisione e sicurezza per gli account locali.
Nel Impostazioni di sicurezza locali , selezionareClassic - local machine try \host-name\admin$.
Nota Viene richiesto di fornire le credenziali. Dopo aver fornito le credenziali, Admin$ apre.
Tentativo di installazione del Agent solidcore.
È possibile utilizzare lo stesso programma di installazione per il controllo delle modifiche, la Integrity Monitor e il controllo delle applicazioni?
La chiave di licenza determina quali funzionalità sono attivate. È possibile utilizzare tutte le funzionalità contemporaneamente.
In che modo è possibile sapere se il Agent solidcore è installato e attivato su un client?
Per verificare che il Agent di solidcore sia stato distribuito correttamente:
Visualizzare il file di registro di Agent dalla console di ePolicy Orchestrator (ePO).
Accedere alla console di ePO.
Fare clic su Menu, Sistemi, Struttura dei sistemi e fare clic su un client nell'elenco visualizzato.
Fare clic su Azioni, Agent, Mostra registro Agent.
Al termine della distribuzione agent, fare clic su Attiva Agent e attenersi alla procedura seguente per visualizzare le proprietà di sistema di solidcore Agent:
Accedere alla console di ePO.
Fare clic su Menu, Sistemi, Struttura dei sistemi quindi selezionare un client.
Fare clic sull'host. Viene visualizzata la pagina Dettagli sistema.
Scorri verso il basso fino a Solidcore per consultare la versione del prodotto e il percorso di installazione.
Fare clic su Più per visualizzare lo stato del Agent, se attivato o disattivato. È inoltre possibile visualizzare le licenze di diverse funzioni installate nel computer.
È possibile distribuire il controllo delle applicazioni o il controllo delle modifiche su una macchina virtuale?
Sì. Il Agent solidcore viene eseguito correttamente su una macchina virtuale che dispone di un sistema operativo supportato dal Agent di solidcore.
Cosa accade durante gli upgrade dalle release precedenti a MAC 6.1.2?
La voce di menu modalità di osservazione è ancora disponibile, ma evidenziata come Obsoleto.
Le richieste di approvazione automatica generate nelle versioni precedenti vengono popolate nella Rilevamento delle policyUI.
Cosa accade durante le nuove installazioni di MAC 6.1.2 estensione?
Solo il Rilevamento delle policy viene visualizzata la pagina.
Tutte le richieste di auto-approvazione e le osservazioni rilevate in Osservazione o Attivare la modalità viene visualizzata in questa pagina.
Solo endpoint con 6.1.2 e versioni successive possono segnalare osservazioni in questa interfaccia utente.
Tutti gli endpoint con 6.1.0 e in seguito le build possono segnalare richieste di approvazione automatica in questa interfaccia utente.
Che cos'è FailSafeConf (sotto la chiave "Sadmin config Show") e come è possibile configurarlo?
FailSafeConf viene utilizzato per determinare la modalità di funzionamento del controllo applicazione se l'inventario degli eventi viene danneggiato.
FailSafeConf il valore può essere impostato su 0 o 1: Valore = 0 (impostazione predefinita): Il sistema viene riavviato con Application Control in disattivato modalità.
Valore = 1: Il sistema entra in un loop di riavvio continuo.
Quali eventi possono disattivare il controllo delle applicazioni o il controllo delle modifiche 6.x?
Gli eventi seguenti modificano lo stato su disattivato:
INVENTORY_CORRUPT (Controllo applicazione)
TRIAL_EXPIRED (Controllo delle applicazioni e controllo delle modifiche)
È possibile forzare l'output del controllo delle applicazioni o del controllo delle modifiche 6.x da visualizzare in inglese senza modificare le impostazioni internazionali del sistema operativo?
No. Non è possibile configurare la lingua per il controllo delle applicazioni o il controllo delle modifiche 6.x. Si basa sulla lingua impostata nel sistema operativo. L'output viene generato in inglese se solidcore rileva un'impostazione locale non supportata.
Nelle versioni future, cosa accade alle regole aggiunte ai gruppi di regole obsoleti?
Quando questi gruppi di regole vengono rimossi, tutte le regole di policy rilevanti nei gruppi di regole obsoleti vengono conservate e migrate ad altri gruppi di regole.
Perché il link "Mostra suggerimenti" non è presente nella pagina eventi per le nuove osservazioni?
Prima del 6.1.2 rilascio
Le osservazioni e gli eventi hanno avuto una mappatura uno-a-uno.
La pagina eventi includeva la Mostra suggerimenti collegamento per le osservazioni generate in modalità di attivazione che consente all'utente di rilevare le regole di policy.
A partire dal 6.1.2 Release e versioni successive:
La pagina Individuazione Policy funge da console centralizzata per la scoperta delle regole di policy, indipendentemente dalla modalità di esecuzione dell'endpoint.
La pagina Individuazione Policy consolida gli eventi identici (per lo stesso binario e attività) da più host. Questi eventi vengono consolidati in un singolo record. Questo consolidamento consente un'elaborazione efficiente delle richieste e riduce il sovraccarico.
Pertanto, il meccanismo di rilevamento unificato policy riduce la necessità del collegamento Mostra suggerimenti. È stata rimossa come parte della riprogettazione di questa funzionalità.
Quali eventi vengono generati con 6.1.2 in modalità di osservazione e modalità di attivazione?
Vedere la tabella riportata di seguito per gli eventi generati nel flusso di lavoro in modalità di osservazione e modalità di attivazione.
Tipo di evento
Modalità
Operazioni
Nega Exec (percorso non di rete)
Attiva
Genera osservazione per "Auth by checksum"
Osservazione
Solidificazione del/script binario
Consenti operazione
Nessuna osservazione
Nega scrittura
Attiva
Genera osservazione "Updater per nome"
Osservazione
Genera osservazione
Consenti operazione
Nega Exec (percorso di rete)
Attiva
Nessuna osservazione
Osservazione
Nessuna osservazione
Negazione del controllo del pacchetto
Attiva
Genera osservazione per "Updater by checksum"
Osservazione
Genera osservazione
Consenti operazione
Negazione ActiveX
Attiva
Genera osservazione per il certificato
Osservazione
Genera osservazione
Consenti operazione
Protezione della memoria NX/processo dirottamento
Attiva
Genera osservazione per l'esclusione attr
Osservazione
Genera osservazione
Consenti operazione
Estrazione eseguibile dei file MSI
Attiva
Genera osservazione per "Updater by checksum"
Osservazione
Genera osservazione
Consenti operazione
File binari di estrazione eseguibile (exe, dll, driver) e file script
Attiva
Genera osservazione per "Updater per nome"
Osservazione
Genera osservazione
Consenti operazione
Quali eventi vengono generati con 6.2.0 (Linux) in modalità di osservazione e modalità di attivazione?
Vedere la tabella riportata di seguito per gli eventi generati nel flusso di lavoro in modalità di osservazione
Nota Linux in genere non supporta il controllo del pacchetto, ActiveX, MP, rilevamento MSI e qualsiasi forma di programma di installazione da solo. Inoltre, non sono state create osservazioni in modalità attivata in Linux.
Tipo di evento
Modalità
Operazioni
Nega Exec
Attiva
Fuori ambito per la prima iterazione: genera regola per "autorizzazione attributo per nome"
Osservazione
Consenti operazione
Genera regola per "autorizzazione attributo per nome"
Fuori ambito per la prima iterazione: genera l'osservazione "Updater per nome"
Nega scrittura
Attiva
Fuori ambito per la prima iterazione: genera l'osservazione "Updater per nome"
Osservazione
Consenti operazione
Genera osservazione per "Updater per nome"
Fuori ambito per la prima iterazione: "contrassegna processo corrente un programma di aggiornamento come regola temporanea"
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
