McAfee aplicativo e controle de alterações (MACC) 6.x.x
Resumo
Este artigo é uma lista consolidada de perguntas e respostas comuns para o MACC 6.x.x. Ele é destinado a usuários que não são novos no produto, mas pode ser usado para todos os usuários.
Atualizações recentes deste artigo
Data
Atualização
5 de fevereiro de 2021
Alterações de formato secundárias.
19 de dezembro de 2019
Conteúdo atualizado. Realizou a manutenção de rotina nas seções.
23 de abril de 2018
Todos os MACC consolidados 6.x.x Caráter. Seções recolhíveis adicionadas.
Sumário
Clique para expandir a seção que você deseja exibir:
Como posso verificar a versão do Application Control ou do Change Control por meio do registro?
A versão do Application Control ou do Change Control está contida na seguinte entrada de chave de registro:
O que há de novo no Application Control 6.2.0 Descoberta de políticas?
Os administradores de site podem exibir e executar uma ação somente para as solicitações de descoberta de políticas vindas de seus hosts. Eles não podem executar uma ação dos hosts aos quais o usuário conectado não tem acesso.
Agora, as observações são geradas para operações de arquivo baseadas em caminhos de rede. Os administradores podem descobrir políticas de diretório confiáveis para essas observações. As observações recebidas de compartilhamentos de rede são listadas na página descoberta de políticas com a atividade Execução de caminho de rede.
Novos recursos de descoberta de políticas para facilitar o gerenciamento melhor das solicitações de descoberta de políticas:
A página descoberta de políticas agora tem mais filtros sobre a atividade, o nível de confiança e o nome do sistema.
Os administradores agora podem definir regras de política personalizada diferentes das regras sugeridas pelo Descoberta de políticas, Ações, Criar política personalizada alternativa. Para essa finalidade, todas as guias de política agora ficam visíveis. Uma nova ação Clear and define rules foi adicionado. Esses detalhes da solicitação de ação agora estão disponíveis no Criar política personalizada Page.
Na página detalhes da descoberta de política, uma soma de verificação binária é mostrada no Propriedades de binário seção.
As colunas Nome do usuário, Nome do host, e Caminho binário foram adicionadas à página detalhes da descoberta de políticas. Igualmente Localização rápida num Nome do host foi adicionado.
Os administradores podem criar regras de política personalizadas diretamente dos eventos de ameaça. Para esse fim, uma Criar política personalizada a ação é mostrada correspondendo a eventos. Esses eventos incluem gravação negada, execução negada, alteração de pacote impedida e eventos de proteção de memória. A partir dessa ação, os administradores podem revisar os detalhes do evento e criar regras de política de acordo.
Para obter mais informações, consulte o controle do aplicativo 6.2.0 Guia de produto.
O que há de novo no 6.1.2 Modo de observação?
Modo de observação aprimoramentos de recursos para escalabilidade a partir dessa versão.
Descoberta de políticas página para criar políticas para os eventos de observações e de aprovação automática.
Alterações de chave no Modo de observação opção de menu:
A interface do usuário do modo de autoaprovação e observação foi mesclada para criar uma única Descoberta de políticas Page.
A observação e a autoaprovação do mesmo aplicativo têm uma entrada de candidato de política. Você pode fazer uma busca detalhada em uma linha específica para verificar se há solicitações de autoaprovação ou detalhes de observação.
O que foi alterado em 6.1.2 Modo de observação?
O recurso do modo de observação foi substancialmente aprimorado para a escalabilidade nesta versão. Os administradores observarão uma redução das observações e qualidade aprimorada.
As alterações que afetam os fluxos de trabalho em torno deste recurso são:
O item de menu do modo de observação agora é Reprovada.
A análise de descoberta de regras agora é feita nos pontos de extremidade para garantir que apenas os eventos necessários sejam entregues ao ePolicy Orchestrator.
O Árvore de processos Não está disponível na interface do usuário de descoberta de políticas (UI). Os eventos de criação da árvore de processos (processo criado) eram entre os colaboradores primários e as observações em versões anteriores do Application Control.
Eventos idênticos (para o mesmo binário e a mesma atividade) de vários hosts são consolidados em uma única linha na descoberta de políticas. A consolidação dos eventos permite um processamento eficiente de solicitações e a redução da sobrecarga. Essa consolidação afeta o mecanismo de criação de políticas na página eventos que estava disponível em versões anteriores.
O foco agora é alterado para descobrir candidatos a políticas que são o change agentpara obter o conteúdo da lista de permissões. Isso garante que os processos certos recebam a permissão do atualizador. Em vez de ver observações paraEXECUTION_DENIEDeventos para novos arquivos, eventos equivalentes são exibidos para arquivo adições à lista de permissão.
As observações não são geradas para operações de arquivo baseadas em caminhos de rede.
Essasexecution allow as regras são criadas na primeira invocação de novo conteúdo. Essas regras impedem a geração de novas observações em execuções repetidas.
Um mecanismo de cache foi implementado para Ativar para que as solicitações de observação repetidas não sejam geradas para o mesmo binário.
Renomeado o Regras globais de autoaprovação grupo de regras para Regras globais.
Vários grupos de regras reprovados relacionados à implementação de observações antigas e adicionados ao sufixo Reprovada aos nomes dos grupos de regras. Por exemplo, regras de observação global (reprovadas).
O Application Control ou o Change Control 6.x oferecer suporte a um ambiente de cluster Windows 2008 R2?
Sim. Controle de aplicativos e controle de alterações 6.x suporte Windows 2008 R2 em um ambiente em cluster.
O Application Control é compatível com o SafeNet Protectfile: criptografia e proteção de arquivos?
Não. Há uma incompatibilidade conhecida entre o Application Control e o SafeNet Protectfile: a criptografia de arquivos e o software de proteção.
Por que não consigo instalar o Solidcore Agent no Windows XP?
O motivo mais comum para esse problema são as permissões de política local padrão. Execute as etapas a seguir e configure as permissões necessárias:
Entre no computador Windows XP.
Clique Começo, Executar, digite gpedit.msc, e clique em OK.
Expansível Configuração do computador, Configurações de Windows, Configurações de segurança, Políticas locais, Opções de seguran?a.
Clique duas vezes em Acesso à rede: compartilhamento e modelo de segurança para contas locais.
Na guia Configuração de segurança local guia, selecioneClassic - local machine try \host-name\admin$.
OBSERVAÇÃO: Você será solicitado a fornecer as credenciais. Depois de fornecer as credenciais, Admin$ abrir.
Tente instalar o Solidcore Agent.
É possível usar o mesmo instalador para controle de alterações, Integrity Monitor e controle de aplicativos?
A chave de licença determina quais recursos estão ativados. Todos os recursos podem ser usados ao mesmo tempo.
Como sei se a Agent do Solidcore está instalada e ativada em um cliente?
Para confirmar que a Agent do Solidcore foi distribuída com êxito:
Exiba o arquivo de registro do Agent no console do ePolicy Orchestrator (ePO).
Entre no console do ePO.
Clique Menu, Sistemas, Árvore de sistemas e clique em um cliente na lista exibida.
Clique Ações, Agent, Mostrar registro de Agent.
Depois que a distribuição do agente for concluída, clique em Ativar agentes e use o procedimento a seguir para exibir as propriedades do sistema de Agent do Solidcore:
Entre no console do ePO.
Clique Menu, Sistemas, Árvore de sistemas e, em seguida, selecione um cliente.
Clique no host. Você verá a página detalhes do sistema.
Role para baixo até Solidcore para ver a versão do produto e o caminho de instalação.
Clique Mais para exibir o status do Agent, seja ativado ou desativado. Você também pode exibir as licenças de vários recursos instalados no computador.
O Application Control ou o Change Control podem ser distribuídos em uma máquina virtual?
Sim. A Agent do Solidcore é executada com êxito em uma máquina virtual que possui um sistema operacional compatível com o Solidcore Agent.
O que acontece durante os upgrades de versões anteriores ao MAC 6.1.2?
O item de menu modo de observação ainda está disponível, mas realçado como Reprovada.
As solicitações de autoaprovação geradas em versões anteriores são preenchidas no Descoberta de políticasDIRETAMENTE.
O que acontece durante instalações atualizadas do MAC 6.1.2 prorroga?
Somente o Descoberta de políticas a página é exibida.
Todas as solicitações de autoaprovação e observações disparadas em Observações Quanto Ativar os modos são exibidos nesta página.
Somente pontos de extremidade com 6.1.2 e posterior podem relatar observações nesta interface do usuário.
Todos os pontos de extremidade com 6.1.0 as compilações posteriores podem relatar solicitações de autoaprovação nesta interface do usuário.
O que é FailSafeConf (sob a chave ' Sadmin config show ') e como posso configurá-lo?
O FailSafeConf é usado para determinar como o Application Control se comparará se o inventário de eventos for corrompido.
FailSafeConf o valor pode ser definido como 0 ou 1: Valor = 0 (padrão): O sistema é reiniciado com o Application Control no abilite modo.
Valor = 1: O sistema vai para uma reinicialização contínua loop.
Quais eventos podem desativar o Application Control ou o Change Control 6.x?
Os eventos a seguir alteram o estado para desativado:
INVENTORY_CORRUPT (Application Control)
TRIAL_EXPIRED (Controle de aplicativos e controle de alterações)
Posso forçar a saída do controle de aplicativos ou do controle de alterações 6.x a ser exibido em Inglês sem alterar a localidade do sistema operacional?
Não. Não é possível configurar o idioma do Application Control ou do Change Control 6.x. Ele baseia-se no conjunto de idiomas do sistema operacional. A saída será gerada em inglês se o Solidcore detectar uma localidade incompatível.
Em lançamentos futuros, o que acontece com as regras adicionadas aos grupos de regras reprovados?
Quando esses grupos de regras são removidos, todas as regras de política relevantes nos grupos de regras reprovados são preservadas e migradas para outros grupos de regras.
Por que o link "mostrar sugestões" está ausente na página eventos para novas observações?
Antes de o 6.1.2 lançamento
As observações e os eventos tinham um mapeamento um-para-um.
A página eventos incluiu o Mostrar sugestões link para observações geradas no modo de Ativar que permitia ao usuário descobrir regras de política.
A partir da 6.1.2 versão e versões posteriores:
A página descoberta de políticas serve como um console centralizado para a detecção de regras de política, independentemente do modo no qual o ponto de extremidade está sendo executado.
A página descoberta de políticas consolida eventos idênticos (para o mesmo binário e a mesma atividade) de vários hosts. Esses eventos são consolidados em um único registro. Essa consolidação permite um processamento eficiente de solicitações e reduz a sobrecarga.
Portanto, o mecanismo de descoberta de política unificada reduz a necessidade do link mostrar sugestões. Ela foi removida como parte do redesign deste recurso.
Que eventos são gerados com 6.1.2 no modo de observação e no modo de Ativar?
Consulte a tabela abaixo para ver os eventos gerados no fluxo de trabalho no modo de observação e no modo de Ativar.
Tipo de evento
Modo
Às
Negar exec (caminho fora de rede)
Ativar
Gerar observação para "Auth by checksum"
Stat
Solidificar o binário/script
Permitir operação
Sem observação
Negar gravação
Ativar
Gerar observação "atualizado por nome"
Stat
Gerar observação
Permitir operação
Negar exec (caminho de rede)
Ativar
Sem observação
Stat
Sem observação
Negação de controle de pacote
Ativar
Gerar observação para "atualizador por soma de verificação"
Stat
Gerar observação
Permitir operação
Negação de ActiveX
Ativar
Gerar observação para certificado
Stat
Gerar observação
Permitir operação
Proteção de memória NX/processo Hijack
Ativar
Gerar observação para desvio de attr
Stat
Gerar observação
Permitir operação
Executável de extração de MSI arquivos
Ativar
Gerar observação para "atualizador por soma de verificação"
Stat
Gerar observação
Permitir operação
Executável de extração de arquivos binários (exe, dll, Driver) e arquivos de script
Ativar
Gerar observação para "Updater por nome"
Stat
Gerar observação
Permitir operação
Que eventos são gerados com 6.2.0 (Linux) no modo de observação e no modo de Ativar?
Consulte a tabela abaixo para ver os eventos gerados no fluxo de trabalho no modo de observação
OBSERVAÇÃO: O Linux geralmente não oferece suporte ao controle de pacotes, ActiveX, MP, detecção de MSI e qualquer forma de instalador por si próprio. Além disso, não há observações criadas no modo ativado no Linux.
Tipo de evento
Modo
Às
Negar exec
Ativar
Fora do escopo da primeira iteração: gerar regra para "autorização de atributo por nome"
Stat
Permitir operação
Gerar regra para "autorização de atributo por nome"
Fora do escopo da primeira iteração: gerar observação "atualizador por nome"
Negar gravação
Ativar
Fora do escopo da primeira iteração: gerar observação "atualizador por nome"
Stat
Permitir operação
Gerar observação para "Updater por nome"
Fora do escopo da primeira iteração: "marcar o processo atual como um atualizador como uma regra temporária"
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
