El proceso de Windows comienza antes de la solución alternativa del conector de AMP: AMP para terminales

Opciones de descarga

  • PDF     (460.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (467.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (277.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de diciembre de 2019
ID del documento:215122

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los pasos para solucionar problemas en la protección frente a malware avanzado (AMP) para terminales cuando se inicia un proceso de Windows antes de la protección de procesos del sistema (SPP).

    Colaboración de Nancy Perez y Uriel Torres, Ingenieros del TAC de Cisco.

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • SO Windows
    • Motores del conector AMP

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • dispositivo Windows 10
    • conector AMP 6.2.9 versión

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Limitaciones

    Se trata de un error que afecta al motor de protección del proceso del sistema cuando se inicia un proceso antes del conector de AMP CSCvo90440.

    Antecedentes

    El motor de protección de procesos del sistema de AMP para terminales protege los procesos críticos del sistema de Windows de ataques de inyección de memoria por parte de otros procesos.


    Para habilitar SPP, en la consola de AMP, navegue hasta Management > Policies > click on edit en la política que desea modificar > Modes and Engines > System Process Protection, aquí encontrará tres opciones:

    • Proteger: bloquea los ataques a los procesos críticos del sistema Windows
    • Auditoría: notificar ataques a procesos críticos del sistema Windows
    • Inhabilitado: el motor no está activo en este modo


    Procesos del sistema protegidos

    El motor System Process Protection protege los siguientes procesos:

    • Subsistema del administrador de sesiones (smss.exe)
    • Subsistema de tiempo de ejecución de cliente/servidor (csrss.exe)
    • Subsistema de autoridad de seguridad local (lsass.exe)
    • Aplicación de inicio de sesión de Windows (winLogon.exe)
    • Aplicación de inicio de Windows (wininit.exe)

    Cuando se inicia un servicio de Windows antes de que no se cumplan las exclusiones del proceso del sistema del conector de AMP (en las versiones siguientes a la 7.0.5) e incluso si se excluye un proceso, el motor SPP detiene el proceso y se crea un evento en la consola de AMP, como se muestra en la imagen.

    Troubleshoot

    La solución temporal de este error es retrasar el servicio de Windows que se inicia antes del servicio AMP.

    La aplicación Rosetta Stone se toma como ejemplo en este documento. SPP detecta esta aplicación porque toca el proceso lsass.exe con fines de autenticación.

    Pasos para retrasar un servicio de Windows

    Paso 1. Abra services.msc, como se muestra en la imagen.

    Paso 2. Encuentra el servicio Rosetta Stone.

    Paso 3. Haga clic con el botón derecho del ratón en RosettaStoneDaemon y haga clic en Propiedades.

    El tipo de inicio se configura como Automático de forma predeterminada, lo que significa que RossettaStoneDaemon se inicia automáticamente en el proceso de inicio.

    Paso 4. Haga clic en el menú desplegable y seleccione Automático (Inicio retrasado).

    Esta configuración evita que se inicie el servicio RosettaStoneDaemon antes del conector de AMP.

    Paso 5. Haga clic en Apply (Aplicar).

    Retrasar el proceso con la línea de comandos

    Para PowerShell/CMD, se pueden utilizar los siguientes comandos.

    Paso 1. Ejecute PowerShell/CMD como administrador.

    Paso 2. Ejecute este comando: 

    sc.exe config RosettaStoneDaemon start= delayed-auto

    Nota: Rosetta Stone = RosettaStoneDaemon.

    En esta sección, puede reemplazar el nombre de aplicación de RosettaStoneDaemon por el proceso que desea retrasar.

    Precaución: la versión 7.0.5 y posterior del conector ya implementan una solución para este bug. Esta solución alternativa está pensada para las versiones de conector siguientes a 7.0.5.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Nancy Perez
      Uriel Torres

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos