Solución de problemas si Endpoint Security bloquea aplicaciones de terceros
Artículos técnicos ID:
KB88482
Última modificación: 22/04/2021
Entorno
Protección adaptable frente a amenazas (ATP) de McAfee Endpoint Security (ENS) 10.x
McAfee ENS Firewall 10.x
McAfee ENS Prevención de amenazas 10.x
Problema
Una aplicación de terceros dejó de funcionar después de instalar ENS.
Motivo
Una de las funciones de seguridad de ENS juzgaron la aplicación, o parte de ella, como maliciosa o sospechosa. La contención o limpieza garantizadas. La causa es probablemente el resultado de una de las siguientes funciones de ENS. Si determina que la aplicación es segura, puede excluirla de la función ENS que la bloquea. En las secciones de solución de este artículo se describen las funciones, cómo identificar la función que provoca el problema y las soluciones recomendadas.
Ajustes generales módulo:
Prevención de amenazas módulo:
Protección adaptable frente a amenazas módulo:
ENS Firewall también puede bloquear el tráfico de red asociado a la aplicación de terceros. Es importante ajustar adecuadamente la configuración de Firewall de ENS en el cliente para asegurarse de que las aplicaciones funcionen correctamente en sus requisitos de tráfico de red.
Firewall módulo:
Solución
1
Ajustes generales-autoprotección de >
La autoprotección proporciona seguridad para los componentes, las carpetas, el registro, los procesos y otros elementos de ENS. Al igual que la protección de acceso, las protecciones se implementan mediante una tecnología subyacente llamada control de acceso arbitrario (AAC).
Cómo determinar si la autoprotección está bloqueando la aplicación
- El problema ya no se produce después de desactivar la autoprotección en Endpoint Security Ajustes generales Directiva, la categoría opciones, la opción Mostrar avanzado, autoprotección, activar autoprotección.
- Lo SelfProtection_Activity.log indica que se ha bloqueado la aplicación para que no realice una operación y que dicho bloque provocaba un problema para la aplicación.
Cómo impedir que la autoprotección bloquee una aplicación
- Agregue una exclusión para el proceso que bloquea la autoprotección.
- Desactivar autoprotección (no se recomienda).
Solución
2
Prevención de amenazas: protección de acceso de >
La protección de acceso es una tecnología basada en el comportamiento que implementa un bloqueo para acciones específicas según se define en las reglas de protección de acceso activadas. El ámbito de la función incluye procesos, servicios, archivos, carpetas, claves de registro y valores. (La capacidad de bloquear los puertos TCP y UDP se encuentra en el módulo Firewall). Al igual que la autoprotección, la protección de acceso se implementa mediante una tecnología subyacente denominada control de acceso arbitrario (AAC).
Cómo determinar si la protección de acceso está bloqueando la aplicación
- El problema ya no se produce tras desactivar la protección de acceso en Endpoint Security Prevención de amenazas Directiva, la categoría de protección de acceso, la protección de acceso y activar la protección de acceso.
- Lo AccessProtection_Activity.log indica que se ha bloqueado la ejecución de una operación en la aplicación (y que ese bloqueo ha provocado un problema para la aplicación).
Cómo impedir que la protección de acceso bloquee una aplicación
- Identifique la regla de protección de acceso que ha infringido el proceso y excluya el proceso de dicha regla.
Solución
3
Prevención de amenazas-analizador en tiempo real de >
La analizador en tiempo real (OAS) es la analizador en la que se ejecuta de forma continuada. Analiza los archivos a medida que se accede a ellos para su lectura o después de que se hayan cambiado (escritura). Algunas de las funciones que forman parte de Protección adaptable frente a amenazas dependen de la configuración de OAS. Por ejemplo, Real Protect no aplica su análisis adicional a un proceso que se excluye del análisis OAS.
Cómo determinar si el analizador en tiempo real está bloqueando la aplicación
- El problema ya no se produce tras desactivar la analizador en tiempo real en Endpoint Security Directiva de Prevención de amenazas, la categoría de análisis en tiempo real, Seleccionar análisis en tiempo real.
- Lo OnAccessScan_Activity.log contiene información de detección de la aplicación o de sus archivos.
Cómo impedir que el analizador en tiempo real bloquee una aplicación
- Agregue una exclusión de archivos para la aplicación o sus archivos, por ejemplo, excluir la carpeta que contiene esos archivos.
- Utilice la herramienta GetClean y, si identifica la aplicación o sus archivos como elementos que enviar a McAfee, continúe con el envío de los detalles del archivo a McAfee.
Solución
4
Prevención de amenazas-prevención de exploit de >
Prevención de exploit protege los programas contra ataques de exploit en los que esos programas podrían tener código vulnerable. Si encuentra que esta función afecta al comportamiento de una aplicación de terceros, es probable que la aplicación de terceros contenga exploit comportamiento, como ejecutar código de la memoria de solo lectura. Por lo tanto, incluso si encuentra una solución para el síntoma desactivando la función o creando una exclusión, es aconsejable buscar una solución a largo plazo del proveedor de aplicaciones de terceros. Una solución a largo plazo le protege de la ejecución de código potencialmente vulnerable en su entorno.
Cómo determinar si prevención de exploits está bloqueando la aplicación
- El problema ya no se produce después de desactivar una de las siguientes funciones de prevención de exploit en Endpoint Security Directiva de Prevención de amenazas, la categoría prevención de exploits:
- Prevención de escalación de privilegios genérica (GPEP): esta función está desactivada de forma predeterminada.
- Windows prevención de ejecución de datos (DEP) y exclusiones de DEP: DEP está desactivada de forma predeterminada.
- Firmas-solo las firmas de gravedad alta están activadas de forma predeterminada.
- Reglas de protección de aplicaciones: los procesos con nombre explícito se supervisan de forma predeterminada; es posible que haya agregado otros procesos por su cuenta.
- Lo ExploitPrevention_Activity log indica que la aplicación se ha bloqueado.
Cómo evitar que prevención de exploit bloquee una aplicación
- Para la prevención de escalación de privilegios genérica, desactive la función.
- Para Windows prevención de ejecución de datos, agregue una exclusión para el proceso que se está supervisando o desactive DEP.
- En el caso de las firmas, establezca la firma relevante en solo informar, o bien desactive bloquear e informar.
- En el caso de las reglas de protección de aplicaciones, desactive la regla que bloquea el proceso aplicable.
Solución
5
Prevención de amenazas-> ScriptScan
ScriptScan solo es aplicable si el proceso afectado es Internet Explorer o cualquier complemento o funcionalidad que dependa de Internet Explorer. Se utiliza un objeto auxiliar del navegador para facilitar el análisis de scripts que Internet Explorer carga.
Cómo determinar si ScriptScan está bloqueando la aplicación
- El problema ya no se produce tras desactivar ScriptScan en Endpoint Security Prevención de amenazas Directiva, la categoría análisis en tiempo real, Seleccionar ScriptScan.
Cómo evitar que ScriptScan bloquee una aplicación
- Excluya la URL o el dominio si el problema de compatibilidad es específico de una determinada URL o página web.
- Desactivar ScriptScan.
Solución
6
Protección adaptable frente a amenazas-> Contención dinámica de aplicaciones
Contención dinámica de aplicaciones (DAC) utiliza otras reglas de protección de acceso basadas en el comportamiento para monitor un proceso contenido. Un proceso contenido es aquel que ha cumplido con la calificación de reputación configurada para DAC, y que inteligencia de amenazas u otra funcionalidad de producto ha advertido que la DAC debe contener. Un proceso de DAC contenido puede bloquearse porque las reglas de DAC pueden impedir que el proceso realice ciertas actividades. (Cada regla de DAC que está activada define estas actividades.)
Cómo determinar si Contención dinámica de aplicaciones está bloqueando la aplicación
- El ID de evento 37275 "aplicación contenida" está presente en el registro de eventos de amenazas de ePolicy Orchestrator del sistema afectado y se encuentra localmente en el registro de eventos de la consola ENS del sistema afectado.
- Lo DynamicApplicationContainment_Activity.log incluye texto que indica que la aplicación "estaba contenida en la solicitud" de un producto o función.
- El problema ya no se produce si DAC está configurado para usar el modo de evaluación solo en Endpoint Security Directiva Protección adaptable frente a amenazas, categoría opciones, Sección implementación de acciones, Activar modo de evaluación. (Los eventos se generan, pero no se implementa la Directiva).
Cómo impedir que Contención dinámica de aplicaciones bloquee una aplicación
- Desactive la regla de DAC aplicable o anule la selección de la opción "bloquear" para esa regla.
- Excluya el proceso de la Directiva de exclusión de DAC.
- Utilice la Servidor de Threat Intelligence Exchange para establecer de forma manual una buena reputación conocida para el proceso.
Solución
7
Protección adaptable frente a amenazas-> Real Protect
Real Protect proporciona análisis de ejecución posterior de un proceso mediante el análisis basado en el cliente, el análisis basado en la nube o ambos. En función de sus hallazgos, puede acarrear una condena como malware y la limpieza posterior.
Cómo determinar si Real Protect está bloqueando la aplicación
- El problema ya no se produce después de desactivar la opción "Activar análisis basado en el cliente" o "Activar análisis basado en la nube" en Endpoint Security Protección adaptable frente a amenazas Directiva, categoría opciones, Real Protect sección análisis.
- Lo AdaptiveThreatPrevention_Activity.log registra una detección de la aplicación (por ejemplo, Orchestrator.Action.Activity: Action Details: File: , Mode: Enforce , Scanner: Real Protect Client , Reputation: , ActionTaken: Clean).
- Lo AdaptiveThreatPrevention_Debug.log registra una detección estática de la aplicación (por ejemplo, Orchestrator.RealProtectStatic.Debug: File: : RP Static reputation classification 1 silent 0 detection name JCM reputation (la entrada importante es el valor de clasificación de 1).
- Lo AdaptiveThreatPrevention_Debug.log registra una detección en la nube de la aplicación (por ejemplo, Orchestrator.RepChangeListener.Debug: real protect cloud found in process id , file ).
Cómo impedir que Real Protect bloquee una aplicación
- Utilice exclusiones de analizador en tiempo real para excluir los archivos detectados.
NOTA: Las exclusiones analizador en tiempo real también impiden que Protección adaptable frente a amenazas solicite Contención dinámica de aplicaciones que contengan un proceso.
- Utilice Servidor de Threat Intelligence Exchange para cambiar la reputación de la empresa de los archivos según corresponda.
- Utilice Servidor de Threat Intelligence Exchange para agregar el certificado de los archivos deseados.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|