Problemas de controladores de Application control y Change control (Windows Update)

Artículos técnicos ID: KB91257
Última modificación: 27/09/2021

Entorno

Aplicación de McAfee y control de cambios (MACC) 7.0.x y posteriores
Microsoft Windows-todas las versiones

Problema

Es posible que experimente uno o varios de los siguientes problemas cuando utilice MACC 7.0.x y Windows Agent posterior:

Bloqueo (pantalla azul) 3B, 6B
Problemas de actualización de Windows (hardlink/refuerzo)
Bloqueos de CMD/PowerShell
Problemas de comunicación de la interfaz de la línea de comandos (CLI) cuando CLI está ejecutando el comando de estado
Problemas de rendimiento
Bucles de arranque

SEÑALAR Es posible que los clientes en el modo actualizar/observar no experimenten problemas hasta que pasen al modo activado (bloqueo).

Para obtener más información, consulte:

Motivo

Los problemas descritos en este artículo son el resultado directo de los cambios realizados en la arquitectura de MACC.

Problemas con cambiar nombre de devolución de llamada, en concreto, la SetInformationFile las FileHardlinkInformationse han encontrado. Cada vez que se crea un nuevo vínculo físico, se realiza una llamada a la cctl_process_change con el booleano hard_link_set in the cctl_path_t contexto del nuevo vínculo. Esta acción significa que se está creando un nuevo vínculo físico. Lógica en cctl_add_inv aplaza el cálculo de la suma de comprobación si la operación se realiza dentro de una operación de transacción.

Cuando se introduce código en todos los vínculos físicos de un archivo y cuando se actualizan todas las entradas del inventario, la comprobación de hard_link_set se ha omitido. Este hecho provoca una apertura no deseada y un procesamiento innecesario del archivo de transacción. En otras palabras, los nuevos vínculos fuertes se agregan al inventario y no es necesario actualizar el resto de entradas. Esto puede acarrear una condición de carrera que se desarrolla durante las operaciones de transacción. Véase la Información relacionada de este artículo para obtener más información.

Solución

Aplique la actualización correcta para su versión de MACC:

MACC 8.2.1 Actualizar 5 o posterior
MACC 8.0.2 Actualización 1 o posterior

SEÑALAR Este problema se ha corregido en las versiones mencionadas anteriormente para el cliente y la última 8.2.6/8.3 extensiones.

Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.

IMPORTANTE:

Antes de realizar esta solución temporal, consulte: KB91225-se produce un bloqueo del sistema sin pantalla azul o un bloqueo de interfaz de línea de comandos en los sistemas Windows 10 o Server 2016 tras colocar la aplicación y cambiar control en otros modos distintos de desactivado
Vuelva a solidificar los sistemas cliente después de realizar la ampliación a partir de una versión anterior de Application control (435 e inferior) o de las ampliaciones de funciones principales Windows (por ejemplo: RS4 a RS5).
Se debe completar la resolidification después de aplicar la nueva extensión y sincronizar los clientes para los grupos de reglas actualizados siguientes y antes de la reactivación.
Aún es necesario resolidificar los clientes si se amplía a un cliente más reciente desde 8.2.1.143 y versiones anteriores, y no se resolidifican en la ampliación a 8.2.1.435.

Para resolidificar un sistema:

Cree una tarea cliente (ejecutar comandos) con los siguientes comandos (sadmin no es necesario como parte de estos comandos):

limitaciones
Configuración Set SoPriority = 2
Configuración Set MaplCommLostRestart = 0
so. C:\
Configuración Set MaplCommLostRestart = 5
Configuración Set SoPriority = 1
UE

NOTA: Toda la funcionalidad o las nuevas versiones de los productos que se mencionan en el base de conocimiento están pensadas para esbozar nuestra dirección general del producto y no se debe confiar, ni como compromiso ni para tomar una decisión de compra.

Solución temporal

Si la solución anterior no funciona en la actualización 5:

Habilite CatalogCertExtraction:

sadmin config set CatalogCertExtractionDisabled=1

Aumentar el instalador de confianza Preshutdown expira.

Clave: HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\services\TrustedInstaller
Nombre: PreshutdownTimeout
Escriba: REG_DWORD
Datos: 36ee80 (3,6 millones milisegundos)

Iniciar el editor del registro (regedit)
Expanda la siguiente clave de registro.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TrustedInstaller

Haga clic con el botón derecho en TrustedInstaller y haga clic en Derechos.
Activa Control total para administradores en nombres de grupos o usuarios.
Cambiar el valor de PreshutdownTimeout haciendo doble clic en PreshutdownTimeout.
Haga clic con el botón derecho en TrustedInstaller y haga clic en Derechos.
Check-out Control total para administradores en nombres de grupos o usuarios.

Información relacionada

Vínculos físicos

Un vínculo físico es la Windows representación del sistema de archivos de un archivo por la que más de una ruta hace referencia a un único archivo en el mismo volumen. Este enfoque ahora se utiliza para las actualizaciones de Microsoft Windows 10 de febrero. La administración de vínculos físicos por parte de MACC provoca errores de coincidencias de suma de comprobación y otros problemas durante las instalaciones de actualización de Microsoft Windows 10. Este problema también se produce con MACC 7.0.x así 8.0.x.

Actualmente, al modificar el contenido de los vínculos físicos, la información de inventario (suma de comprobación, estado) solo se actualiza para la ruta actual modificada. De forma predeterminada, todos los archivos tienen al menos un vínculo físico. El evento de cambio de archivo no incluye la lista de vínculos físicos asociados a ese archivo. Dado que la información de inventario no se actualiza para todas las rutas al mismo tiempo, al ejecutar el mismo archivo desde una ruta diferente, se obtiene una checksum-mismatch. Esta falta de coincidencia afecta al proceso de actualización de Windows.

Catalog Cert Extraction

Los archivos binarios de Microsoft Windows pueden estar firmados por catálogo o tener una firma incrustada. MACC utiliza código específico para extraer certificados incrustados. Los certificados se pueden extraer en kernel espacio o en el espacio del usuario. La extracción de los certificados incrustados se produce de forma rápida y es el único tipo de firma compatible con MACC hasta el 7.0.x 10/08.

En MACC 7.0.x, se ha introducido la compatibilidad con la ejecución basada en la reputación. En uno de los flujos de trabajo, podría permitir o bloquear un archivo por la reputación de su certificado. Debido a que varios archivos de Microsoft Windows son en realidad Catálogo firmados, esta función requiere la extracción de firmas de catálogo. Microsoft había proporcionado API para extraer los certificados de catálogo para los archivos binarios. MACC utiliza estas API. Estas API son lentas y afectan considerablemente al rendimiento. Para mitigar este efecto, MACC almacena los certificados en el inventario, de forma que una vez extraídos, se pueden volver a utilizar. Almacenarlos en el inventario significa que, durante la hora de fusión del inventario, los certificados se deben extraer una vez. Cuando se ejecuta una ampliación, se modifican los archivos, se fusiona el inventario y se produce la extracción del certificado de catálogo.

Si se desactiva toda la reputación, no es necesario extraer los certificados del catálogo.

sadmin config set CatalogCertExtractionDisabled=1

Debe volver a activar esta función mediante el comando ejecutar en ePO. Cree una tarea cliente (comando ejecutar) con los siguientes comandos: (no se necesita la palabra clave comando sadmin)

limitaciones
Configuración Set SoPriority = 2
Configuración Set MaplCommLostRestart = 0
so-c
Configuración Set MaplCommLostRestart = 5
Configuración Set SoPriority = 1
UE

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Productos implicados

Application and Change Control 8.2.x
Application and Change Control 8.1.x
Application and Change Control 8.0.x
Application and Change Control 7.0.x (EOL)
Known Issue/Product Defect

Idiomas:

Este artículo se encuentra disponible en los siguientes idiomas:

English United States
Spanish Spain
French
Italian
Portuguese Brasileiro

Knowledge Center

Problemas de controladores de Application control y Change control (Windows Update)

Entorno

Problema

Motivo

Solución

Solución temporal

Información relacionada

Descargo de responsabilidad

Productos implicados

Idiomas:

Title

Title

Knowledge Center

Problemas de controladores de Application control y Change control (Windows Update)

Entorno

Problema

Motivo

Solución

Solución temporal

Información relacionada

Descargo de responsabilidad

Productos implicados

Idiomas:

Elija su región

Title

Title