安全終結點 — 由於Microsoft攻擊面減少而阻止的聯結器更新

簡介

本文檔描述由Microsoft Intune管理的系統上使用複製或模擬系統工具功能的Microsoft Intune攻擊表面減少塊導致的安全端點更新失敗的問題。

請參閱功能文檔：https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction

問題

我們可能會遇到由這些錯誤和指示符所表示的安全端點升級或安裝問題。

有多種指標可用於標識此功能干擾安全終端更新。

指標#1:在部署過程中，我們將在安裝結束時看到此彈出視窗。請注意，此彈出視窗非常快，安裝完成後沒有其他錯誤記錄。

指標#2:安裝後，請注意UI中的安全終結點處於禁用狀態。

此外，工作管理員 — >服務中完全缺失安全端點服務(sfc.exe)

指標#3:如果我們導航到C:\Program Files\Cisco\AMP\版本下的思科安全終結點位置，並嘗試手動啟動該服務，則即使對於本地管理員帳戶，您也會遭到許可權訪問拒絕

指標#4:如果我們調查immpro_install.log（診斷包的一部分），則可以觀察到類似於此輸出的類似拒絕訪問。

Example #1:

(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe  

Example #2:

(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe

指標#5:如果我們在Windows安全下導航，並檢視保護歷史記錄日誌，請查詢這些型別的日誌消息。

所有這些都表示安全終端正被第三方應用程式阻止。在此案例中，在Intune託管端點上發現問題，其配置錯誤或未配置攻擊面減少 — BLOCK使用複製或模擬的系統功能。

因應措施

建議向應用程式開發人員諮詢此功能的配置，或進一步通過此知識庫咨詢此功能。

為了立即進行補救，我們可以將受管終端移到intune限制較少的策略，或者臨時顯式關閉此功能，直到執行正確的步驟。

這是Intune管理門戶下用作恢復安全終結點連線的臨時措施的設定。

注意：如果遇到此問題，由於缺少sfc.exe，您必須啟動完全安裝