安全终端 — 连接器更新因Microsoft攻击面减少而被阻止

简介

本文档介绍由Microsoft Intune管理的系统上使用复制或模拟系统工具功能的Microsoft Intune攻击表面减少阻止导致安全终端更新失败所导致的问题。

请参阅功能文档：https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction

问题

我们可能会遇到安全终端升级或安装问题，这些问题由这些错误和指示符表示。

有多种指标可用于识别此功能干扰安全终端更新。

指标#1:在部署过程中，我们将在安装结束时看到此弹出窗口。请注意，此弹出窗口非常快，安装完成后没有其他错误记录。

指标#2:安装后，请注意安全终端在UI中处于禁用状态。

此外，任务管理器 — >服务中完全缺失安全终端服务(sfc.exe)

指标#3:如果我们导航到C:\Program Files\Cisco\AMP\版本下的思科安全终端位置，并尝试手动启动服务，则即使对于本地管理员帐户，您也会被拒绝权限访问

指标#4:如果我们调查immpro_install.log（诊断包的一部分），则可以观察到类似于此输出的类似拒绝访问。

Example #1:

(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe  

Example #2:

(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe

指标#5:如果我们在Windows Security下导航并查看保护历史记录日志，则查找这些类型的日志消息。

所有这些都表示安全终端被第三方应用阻止。在此方案中，在Intune受管终端上发现问题，其中配置了错误或未配置攻击面减少 — 阻止使用复制或模拟的系统功能。

解决方法

建议向应用程序开发人员咨询此功能的配置，或者通过此知识库进一步咨询此功能。

为了立即进行补救，我们可以将受管终端调整为限制较少的策略，或者临时显式关闭此功能，直到执行正确的步骤。

这是Intune管理员门户下的设置，用作恢复安全终端连接的临时措施。

警告：如果遇到此问题，由于缺少sfc.exe，必须启动完全安装