Beveiligd eindpunt - Connector-updates worden geblokkeerd vanwege Microsoft Attack Surface Reduction

Inleiding

In dit document worden problemen beschreven die worden veroorzaakt door Microsoft Intune Attack-oppervlaktereductieblokken met behulp van gekopieerde of geïmiteerde systeemtools op systemen die worden beheerd door Microsoft Intune, waardoor updates van Secure Endpoint mislukken.

Raadpleeg de documentatie van de functie: https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction

Probleem

We kunnen problemen ondervinden met Secure Endpoint-upgrades of -installatie die wordt weergegeven door deze fouten en indicatoren.

Er zijn verschillende indicatoren die kunnen worden gebruikt om te identificeren dat deze functie interfereert met Secure Endpoint-updates.

Indicator #1: Tijdens de implementatie zullen we dit pop-upvenster aan het einde van de installatie opmerken. Houd er rekening mee dat de pop-up vrij snel is en dat er geen andere herinnering is aan eventuele fouten nadat de installatie is voltooid.

Indicator #2: Merk na de installatie op dat Secure Endpoint is uitgeschakeld in de gebruikersinterface.

Ook ontbreekt de Secure Endpoint Service (sfc.exe) in Taakbeheer -- > Services volledig

Indicator #3: Als we naar de locatie van Cisco Secure Endpoint navigeren onder C:\Program Files\Cisco\AMP\versie en proberen de service handmatig te starten, krijgt u toegang geweigerd, zelfs voor de lokale admin account

Indicator # 4: Als we impro_install.log onderzoeken dat deel uitmaakt van de diagnostische bundel, kunnen we een vergelijkbare ontkenning van toegang waarnemen die lijkt op deze uitvoer.

Example #1:

(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe  

Example #2:

(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe

Indicator # 5: Als we onder Windows Security navigeren en naar de geschiedenislogboeken van bescherming kijken, zoek dan naar dit soort logberichten.

Dit zijn allemaal aanwijzingen dat het Secure Endpoint wordt geblokkeerd door een 3rd party applicatie. In dit scenario werd het probleem gezien op door Intune beheerde eindpunten met ofwel onjuist geconfigureerd of niet geconfigureerd Attack surface reduction - BLOCK-gebruik van gekopieerde of geïmiteerde systeemfuncties.

Tijdelijke oplossing

Het is raadzaam om de configuratie voor deze functie te raadplegen bij de ontwikkelaar van de toepassing of deze functie verder te raadplegen via deze kennisbank.

Voor onmiddellijke herstel kunnen we ons beheerde eindpunt in een intiem verplaatsen naar een minder restrictief beleid of deze functie tijdelijk expliciet uitschakelen totdat de juiste stappen zijn gezet.

Dit is de instelling onder Intune admin portal die werd gebruikt als tijdelijke maatregel om Secure Endpoint connectiviteit te herstellen.

Let op: Als u dit probleem ondervindt, moet u de volledige installatie starten vanwege het ontbreken van sfc.exe