Endpoint sicuro - Aggiornamenti dei connettori bloccati a causa della riduzione della superficie di attacco Microsoft

Introduzione

In questo documento vengono descritti i problemi causati dai blocchi di riduzione della superficie di attacco di Microsoft Intune che utilizzano la funzionalità degli strumenti di sistema copiati o rappresentati nei sistemi gestiti da Microsoft Intune, che a sua volta causa il mancato completamento degli aggiornamenti di Secure Endpoint.

Fare riferimento alla documentazione relativa alle funzionalità: https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction

Problema

Possiamo riscontrare problemi con gli aggiornamenti o l'installazione di Secure Endpoint, che sono rappresentati da questi errori e indicatori.

Per stabilire se questa funzionalità interferisce con gli aggiornamenti degli endpoint sicuri, è possibile utilizzare diversi indicatori.

Indicatore 1: Durante l'installazione, si noterà questa finestra pop-up al termine dell'installazione. Notare che il popup è abbastanza rapido e non c'è nessun altro richiamo di errori una volta completata l'installazione.

Indicatore 2: Dopo l'installazione, si noti che lo stato dell'endpoint protetto è disabilitato nell'interfaccia utente.

Inoltre, il servizio Secure Endpoint Service (sfc.exe) è completamente mancante in Task Manager — > Servizi

Indicatore 3: Se si passa alla posizione di Cisco Secure Endpoint in C:\Program Files\Cisco\AMP\version e si tenta di avviare il servizio manualmente, l'accesso all'autorizzazione viene negato anche per l'account amministratore locale

Indicatore 4: Se esaminiamo il file immpro_install.log che fa parte del pacchetto di diagnostica, possiamo osservare un analogo rifiuto di accesso simile a questo output.

Example #1:

(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe  

Example #2:

(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe

Indicatore 5: Se si passa alla sezione Protezione di Windows e si esaminano i registri di Cronologia protezione, cercare questi tipi di messaggi di registro.

Tutto ciò indica che l'endpoint sicuro è bloccato da un'applicazione di terze parti. In questo scenario, il problema è stato rilevato sugli endpoint gestiti di Intune con la riduzione della superficie di attacco configurata in modo errato o non configurata. Blocca l'uso della funzionalità di sistema copiata o rappresentata.

Soluzione alternativa

Si consiglia di consultare la configurazione di questa funzionalità con lo sviluppatore dell'applicazione o di consultare ulteriormente questa funzionalità tramite la knowledge base.

Per una correzione immediata, è possibile spostare l'endpoint gestito in una configurazione meno restrittiva oppure disattivare temporaneamente questa funzionalità in modo esplicito fino a quando non vengono eseguiti i passaggi appropriati.

Questa è l'impostazione del portale di amministrazione di Intune utilizzata come misura temporanea per ripristinare la connettività dell'endpoint sicuro.

Attenzione: Se si verifica questo problema, è necessario avviare l'installazione completa poiché sfc.exe non è disponibile