Secure Endpoint - Connectorupdates worden geblokkeerd vanwege Microsoft Attack-oppervlaktebeperking

Inleiding

In dit document worden problemen beschreven die worden veroorzaakt door oppervlakteverminderingsblokken van Microsoft Intune Attack met behulp van gekopieerde of nagemaakte systeemtools die voorkomen op systemen die worden beheerd door Microsoft Intune, die op zijn beurt ervoor zorgt dat Secure Endpoint updates mislukken.

Raadpleeg de documentatie bij de functie: https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction

Probleem

We kunnen problemen ervaren met Secure Endpoint upgrades of installatie die wordt weergegeven door deze fouten en indicatoren.

Er zijn verschillende indicatoren die kunnen worden gebruikt om aan te geven dat deze functie interfereert met Secure Endpoint updates.

Indicatielampje #1: tijdens de implementatie, zullen we dit pop-up venster aan het eind van de installatie opmerken. Houd er rekening mee dat het pop-upvenster tamelijk snel is en dat er na het voltooien van de installatie geen fouten meer worden herinnerd.

Indicatielampje #2: na de installatie, merk op dat Secure Endpoint in uitgeschakeld staat in de UI is.

Ook volledig ontbrekende Secure Endpoint Service (sfc.exe) in Taakbeheer — > Services

Indicatielampje #3: als we naar de locatie van Cisco Secure Endpoint onder C:\Program Files\Cisco\AMP\versie navigeren en we proberen de service handmatig te starten, dan wordt de toegang tot de toestemming geweigerd, zelfs voor de lokale admin-account

Indicator #4: Als we impro_install.log dat deel uitmaakt van de diagnostische bundel onderzoeken kunnen we een soortgelijke ontkenning van toegang waarnemen die lijkt op deze output.

Example #1:

(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe  

Example #2:

(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe

Indicatielampje #5: Als we onder Windows-beveiliging navigeren en inkijken op de logboeken voor beschermingsgeschiedenis, zoeken we dit soort logberichten.

Dit zijn allemaal aanwijzingen dat het Secure Endpoint wordt geblokkeerd door applicatie van derden. In dit scenario werd het probleem gezien op Intune beheerde endpoints met of verkeerd geconfigureerd of niet geconfigureerd Attack oppervlakte reductie - BLOK gebruik van gekopieerde of nagemaakte systeem functie.

Tijdelijke oplossing

Aanbevolen wordt om de configuratie voor deze functie te raadplegen bij de applicatieontwikkelaar of deze optie verder te raadplegen via deze kennisbank.

Voor onmiddellijke remediëring kunnen we ons beheerde eindpunt in tegenspraak met een minder restrictief beleid verplaatsen of deze optie tijdelijk expliciet uitschakelen totdat de juiste stappen zijn gezet.

Dit is de instelling onder Intune Admin portal dat werd gebruikt als tijdelijke maatregel om beveiligde endpointconnectiviteit te herstellen.

Waarschuwing: Als u dit probleem ondervindt, moet u volledige installatie starten vanwege het ontbreken van sfc.exe