تبدأ عملية Windows قبل حل بديل لموصل AMP - AMP لنقاط النهاية

المقدمة

يصف هذا المستند خطوات أستكشاف الأخطاء وإصلاحها في "الحماية المتقدمة من البرامج الضارة" (AMP) لنقاط النهاية عند بدء عملية في Windows قبل حماية عملية النظام (SPP).

تمت المساهمة من قبل نانسي بيريز وأوريل توريس، مهندسي TAC من Cisco.

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• نظام التشغيل Windows
• محركات موصل AMP

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• جهاز Windows 10
• AMP Connector 6.2.9 إصدار

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

القيود

هذا خطأ يؤثر على محرك حماية عملية النظام عندما تبدأ عملية قبل موصل AMP CSCvo90440.

معلومات أساسية

يقوم محرك حماية عمليات النظام AMP لنقاط النهاية بحماية عمليات نظام Windows الهامة من هجمات حقن الذاكرة التي يتم تنفيذها بواسطة عمليات أخرى.

لتمكين SPP، على وحدة تحكم AMP، انتقل إلى الإدارة > السياسات > انقر فوق تحرير في السياسة التي تريد تعديلها> الأوضاع والمحركات > حماية عملية النظام، هنا يمكنك العثور على ثلاثة خيارات:

• الحماية: منع الهجمات على العمليات الهامة لنظام التشغيل Windows
• التدقيق: الإعلام عن الهجمات على عمليات نظام Windows الهامة
• معطل: المحرك غير نشط على هذا الوضع

عمليات الأنظمة المحمية

يقوم محرك حماية عملية النظام بحماية العمليات التالية:

• النظام الفرعي لمدير جلسة العمل (smss.exe)
• النظام الفرعي لوقت تشغيل العميل/الخادم (csrss.exe)
• النظام الفرعي لسلطة الأمن المحلية (lsass.exe)
• تطبيق تسجيل الدخول إلى Windows (winlogon.exe)
• تطبيق بدء تشغيل Windows (wininit.exe)

عند بدء تشغيل خدمة Windows قبل عدم إحترام إستثناءات عملية النظام لموصل AMP (في الإصدارات الأقل من 7.0.5) وحتى في حالة إستبعاد عملية ما، يقوم محرك SPP بإيقاف العملية ويتم إنشاء حدث في وحدة تحكم AMP، كما هو موضح في الصورة.

استكشاف الأخطاء وإصلاحها

يتمثل الحل البديل لهذا الخطأ في تأخير خدمة Windows التي تبدأ قبل خدمة AMP.

وقد أخذ تطبيق "حجر رشيد" كمثال على ذلك في هذا المستند. يتم اكتشاف هذا التطبيق بواسطة SPP لأنه يلامس عملية lsas.exe لأغراض المصادقة.

خطوات تأخير خدمة Windows

الخطوة 1. افتح services.msc، كما هو موضح في الصورة.

الخطوة 2. البحث عن خدمة حجر رشيد.

الخطوة 3. انقر بزر الماوس الأيمن فوق RosettaStoneDaemon وانقر فوق "خصائص".

يتم تكوين نوع بدء التشغيل كتلقائي بشكل افتراضي مما يعني أن RossettaStoneDaemon يبدأ تلقائيا في عملية التمهيد.

الخطوة 4. انقر فوق القائمة المنسدلة وحدد "تلقائي" (بدء مؤجل).

يمنع هذا التكوين تشغيل خدمة RosettaStoneDaemon قبل موصل AMP.

الخطوة 5. انقر فوق تطبيق.

تأجيل العملية باستخدام سطر الأوامر

بالنسبة للطراز PowerShell/CMD، يمكن إستخدام الأوامر التالية.

الخطوة 1. تنفيذ PowerShell/CMD كمسؤول.

الخطوة 2. تنفيذ هذا الأمر: 

sc.exe config RosettaStoneDaemon start= delayed-auto

ملاحظة: Rosetta stone = RosettaStoneDaemon.

في هذا القسم، يمكنك إستبدال اسم تطبيق RosettaStoneDaemon للعملية التي تريد تأجيلها.

تحذير: يقوم الموصل الإصدار 7.0.5 وما بعده بالفعل بتنفيذ حل لهذا الخطأ. هذا الحل البديل مخصص لإصدارات الموصلات التي تحتوي على 7. 0. 5.