セキュアエンドポイント:Microsoft攻撃対象領域の縮小により、コネクタの更新がブロックされる

ダウンロード オプション

  • PDF     (1.2 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.0 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (476.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 9 月 13 日
Document ID:222390

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Microsoft Intuneによって管理されているシステムのコピーまたは偽装されたシステムツール機能を使用してMicrosoft Intune攻撃を受ける危険性がある問題について説明します。これらの機能を使用すると、セキュアエンドポイントの更新が失敗します。

    機能のマニュアルを参照してください。https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction

    問題

    これらのエラーとインジケータに示される、セキュアエンドポイントのアップグレードまたはインストールに関する問題が発生する可能性があります。

    この機能がセキュアエンドポイントのアップデートに干渉していることを特定するために使用できるさまざまなインジケータがあります。

    インジケータ#1:導入時に、インストールの最後にこのポップアップウィンドウが表示されます。ポップアップがかなり迅速で、インストールが完了した後にエラーの他の記憶がないことに注意してください。

    1953_778_1

    インジケータ#2:インストール後、UIでセキュアエンドポイントが無効状態になっていることに注目してください。

    また、Task Manager — > Servicesで、Secure Endpoint Service(sfc.exe)が完全に欠落している

    Screenshot_3394

    インジケータ#3:Cisco Secure Endpointの C:\Program Files\Cisco\AMP\バージョンの場所に移動し、サービスを手動で開始しようとすると、ローカル管理者アカウントの場合でも、アクセスが拒否される権限を取得します

    Screenshot_3395

    インジケータ#4:診断バンドルの一部であるimmpro_install.logを調査すると、次の出力に類似した同様のアクセス拒否が確認できます。

    Example #1:

(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe  

Example #2:

(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe

    インジケータ#5:Windows Securityの下を移動してProtection History(保護履歴)ログを確認する場合は、次のタイプのログメッセージを探します。

    Screenshot_3396

    Screenshot_3398

    これらはすべて、セキュアエンドポイントがサードパーティアプリケーションによってブロックされていることを示しています。このシナリオでは、Intune管理対象エンドポイントで攻撃対象領域の縮小(コピーまたは偽装されたシステム機能の使用をブロック)が正しく構成されていない、または正しく構成されていない問題が発生しています。

    回避策

    この機能の設定についてアプリケーション開発者と相談するか、このナレッジベースでさらに詳しく調査することをお勧めします。

    すぐに修復するには、Intuneで管理されているエンドポイントを制限の少ないポリシーに移動するか、適切な手順が行われるまで一時的にこの機能を明示的にオフにします。

    これは、セキュリティで保護されたエンドポイント接続を復元するための一時的な手段として使用された、Intune管理ポータルの設定です。

    Screenshot_3397

    caution-icon

    注意:この問題が発生した場合、sfc.exeが見つからないため、フルインストールを開始する必要があります

    更新履歴

    改定 発行日 コメント
    1.0
    13-Sep-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • ローマ・ヴァレンタ

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています