Solução de problemas se Endpoint Security bloqueia aplicativos de terceiros
Artigos técnicos ID:
KB88482
Última modificação: 22/04/2021
Ambiente
McAfee Endpoint Security (ENS) Proteção adaptável contra ameaças (ATP) 10.x
McAfee ENS Firewall 10.x
McAfee ENS Prevenção contra ameaças 10.x
Problema
Um aplicativo de terceiros parou de funcionar após a instalação do ENS.
Causa
Um dos recursos de segurança do ENS julga o aplicativo, ou parte do aplicativo, como malicioso ou suspeito. Essa jugamento definiu o confinamento ou a limpeza. A causa provavelmente é o resultado de um dos seguintes recursos ENS. Se você determinar que o aplicativo é seguro, poderá exclui-lo do recurso do ENS que o está bloqueando. As seções da solução deste artigo descrevem os recursos, como identificar o recurso que causou o problema e as soluções recomendadas. Módulo Em Comum:
Módulo Prevenção contra ameaças:
Módulo Proteção adaptável contra ameaças:
O Firewall do ENS também pode bloquear o tráfego de rede associado ao aplicativo de terceiros. É importante ajustar adequadamente a configuração de Firewall do ENS no cliente para garantir que os aplicativos funcionem corretamente em seus requisitos de tráfego de rede.
Módulo Firewall:
Solução
1
>-Autoproteção de Em Comum
A autoproteção fornece segurança para arquivos, pastas, registro, processos e outros itens para componentes do ENS. Assim como a proteção de acesso, as proteções são implementadas por meio de uma tecnologia subjacente chamada de controle de acesso arbitrário (AAC).
Como determinar se a proteção automática está bloqueando o aplicativo
- O problema não ocorre mais após a desativação da autoproteção na Endpoint Security política de Em Comum, na categoria opções, em mostrar a proteção avançada, autoproteção ativar autoprotecção.
- O SelfProtection_Activity.log indica que o aplicativo foi impedido de executar uma operação e que o bloqueio resultou em um problema para o aplicativo.
Como impedir a autoproteção de bloquear um aplicativo
- Adicione uma exclusão para o processo que a proteção automática está bloqueando.
- Desativar autoproteção (não recomendável).
Solução
2
Proteção de acesso Prevenção contra ameaças->
A proteção de acesso é uma tecnologia baseada em comportamento que impõe um bloqueio a ações específicas, conforme definido nas regras de proteção de acesso ativadas. O escopo do recurso inclui processos, serviços, arquivos, pastas, chaves de Registro e valores. (O recurso de bloqueio de portas TCP e UDP está no módulo do Firewall.) Assim como a autoproteção, a proteção de acesso é imposta por meio de uma tecnologia subjacente denominada controle de acesso arbitrário (AAC).
Como determinar se a proteção de acesso está bloqueando o aplicativo
- O problema não ocorre mais após desativar a proteção de acesso na política de Prevenção contra ameaças do Endpoint Security, categoria Proteção de acesso, Proteção de acesso, Ativar a proteção de acesso.
- O AccessProtection_Activity.log indica que o aplicativo foi impedido de executar uma operação (e que o bloqueio resultou em um problema para o aplicativo).
Como evitar que a proteção de acesso bloqueie um aplicativo
- Identifique a regra de proteção de acesso que o processo violou e exclua o processo dessa regra.
Solução
3
Prevenção contra ameaças -> Mecanismo de varredura ao acessar O mecanismo de varredura ao acessar (OAS) é o mecanismo de varredura em tempo real que é executado continuamente. Ele varre os arquivos à medida que são acessados para LEITURA ou depois de terem sido alterados (GRAVAÇÃO). Alguns dos recursos que fazem parte do Proteção adaptável contra ameaças dependem das configurações do OAS. Por exemplo, o Real Protect não aplica sua varredura adicional a um processo que foi excluído da varredura do OAS. Como determinar se o mecanismo de varredura ao acessar está bloqueando o aplicativo
- O problema não ocorre mais após desativar o mecanismo de varredura ao acessar na política do Endpoint Security, categoria Mecanismo de varredura ao acessar, , Ativar mecanismo de varredura ao acessar.
- O OnAccessScan_Activity.log contém informações de detecção para o aplicativo ou seus arquivos.
Como evitar que os mecanismo de varredura ao acessar bloqueiem um aplicativo
- Adicione uma exclusão de arquivo para o aplicativo ou seus arquivos, como excluir a pasta que contém esses arquivos.
- Use a ferramenta GetClean e, se ela identificar o aplicativo ou seus arquivos como itens a serem enviados para a McAfee, continue a enviar os detalhes de arquivo para McAfee.
Solução
4
Prevenção contra ameaças -> Prevenção de exploração
A prevenção de exploração protege os programas de explorações de vulnerabilidade do código. Se você achar que esse recurso afeta o comportamento de um aplicativo de terceiros, é provável que o aplicativo de terceiros contenha comportamento de exploração, como a execução de código de memória somente leitura. Portanto, mesmo que você encontre uma solução alternativa para o sintoma desativando o recurso ou criando uma exclusão, é aconselhável buscar uma solução de longo prazo do fornecedor de aplicativos de terceiros. Uma solução de longo prazo protege você da execução de códigos potencialmente vulneráveis em seu ambiente. Como determinar se a prevenção de exploração está bloqueando o aplicativo
- O problema não ocorre mais após a desativação de um dos seguintes recursos de prevenção de exploração na política Endpoint Security Prevenção contra ameaças, categoria Prevenção de exploração:
- Prevenção contra escalonamento de privilégios genéricos (GPEP): esse recurso está desativado por padrão.
- Prevenção de execução de dados (DEP) do Windows e exclusões DEP: a DEP está desativada por padrão.
- Assinaturas: somente assinaturas de alta gravidade são ativadas por padrão.
- Regras de proteção de aplicativos: os processos explicitamente nomeados são monitorados por padrão. Você pode ter adicionado outros processos por conta própria.
- O ExploitPrevention_Activity log indica que o aplicativo foi bloqueado.
Como evitar que a prevenção de exploração bloqueie um aplicativo
- Para que a prevenção de escalonamento de privilégios genérica seja desativada, desative o recurso.
- Para a Prevenção de execução de dados do Windows, adicione uma exclusão para o processo que está sendo monitorado ou desative a DEP.
- Para assinaturas, defina a assinatura relevante como somente relatar ou desative bloquear e relatar.
- Para as Regras de proteção de aplicativos, desative a regra que está bloqueando o processo aplicável.
Solução
5
Prevenção contra ameaças -> ScriptScan
O ScriptScan é aplicável somente se o processo afetado for Internet Explorer, ou qualquer complemento ou funcionalidade que dependa do Internet Explorer. Um objeto auxiliar de navegador é usado para facilitar a varredura de scripts carregados pelo Internet Explorer. Como determinar se o ScriptScan está bloqueando o aplicativo
- O problema não ocorre mais após desativar o ScriptScan na política do Endpoint Security, categoria Mecanismo de varredura ao acessar, , Ativar ScriptScan.
Como evitar que o ScriptScan bloqueie um aplicativo
- Exclua o URL ou o domínio se o problema de compatibilidade for específico de um determinado URL ou página da Web.
- Desative o ScriptScan.
Solução
6
Proteção adaptável contra ameaças -> Confinamento dinâmico de aplicativos O Confinamento dinâmico de aplicativos (DAC) usa outras regras de proteção de acesso baseadas em comportamento para monitorar um processo confinado. Um processo confinado é aquele que atingiu a pontuação de reputação conforme configurado para o DAC, e que a inteligência contra ameaças ou outra funcionalidade de produto tenha aconselhado o DAC a conter. Um processo confinado por DAC pode ser bloqueado porque as regras de DAC podem impedir que o processo execute determinadas atividades. (Cada regra de DAC ativada define essas atividades.)
Como determinar se o confinamento dinâmico de aplicativos está bloqueando o aplicativo
- A ID de evento 37275 "Aplicativo confinado" está presente no log de eventos de ameaça do sistema afetado do ePolicy Orchestrator e encontrada localmente no log de eventos do console do ENS do sistema afetado.
- O DynamicApplicationContainment_Activity.log inclui o texto indicando o aplicativo ", que estava sob a solicitação de" um produto ou recurso.
- O problema não ocorre mais se o DAC estiver configurado para usar o modo de observação somente na política de Proteção adaptável contra ameaças do Endpoint Security, categoria Opções, seção Imposição de ação, Ativar modo de observação. (Os eventos são gerados, mas a política não é imposta).
Como impedir que o confinamento dinâmico de aplicativos bloqueie um aplicativo
- Desative a regra de DAC aplicável ou desmarque a opção "bloquear" para essa regra.
- Exclua o processo na política de exclusão de DAC.
- Use o Servidor Threat Intelligence Exchange para definir manualmente uma boa reputação conhecida para o processo.
Solução
7
Proteção adaptável contra ameaças-> Real Protect
O Real Protect fornece análise de execução de um processo, usando a varredura baseada em cliente, a varredura baseada na nuvem ou ambos. Com base em seus resultados, ele pode levar a um convicção como malware e a limpeza subsequente.
Como determinar se o Real Protect está bloqueando o aplicativo
- O problema não ocorre mais após a desativação da opção "Ativar varredura baseada em cliente" ou "Ativar varredura baseada na nuvem" na política da Proteção adaptável contra ameaças do Endpoint Security, categoria Opções, seção Varredura do Real Protect.
- O AdaptiveThreatPrevention_Activity.log registra uma detecção do aplicativo (por exemplo, Orchestrator.Action.Activity: Action Details: File: , Mode: Enforce , Scanner: Real Protect Client , Reputation: , ActionTaken: Clean).
- O AdaptiveThreatPrevention_Debug.log registra uma detecção estática do aplicativo (por exemplo, Orchestrator.RealProtectStatic.Debug: File: : RP Static reputation classification 1 silent 0 detection name JCM reputation (a entrada importante é o valor de classificação 1)).
- O AdaptiveThreatPrevention_Debug.log registra uma detecção na nuvem do aplicativo (por exemplo, Orchestrator.RepChangeListener.Debug: real protect cloud found in process id , file ).
Como impedir que o Real Protect bloqueie um aplicativo
- Use exclusões de mecanismo de varredura ao acessar para excluir os arquivos que estão sendo detectados.
NOTA: As exclusões de mecanismo de varredura ao acessar também impedem que a Proteção adaptável contra ameaças solicite que o Confinamento dinâmico de aplicativos contenha um processo.
- Use o Servidor Threat Intelligence Exchange para alterar a reputação empresarial dos arquivos, conforme apropriado.
- Use Servidor Threat Intelligence Exchange para adicionar o certificado dos arquivos desejados.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|