セキュアエンドポイント:Microsoft攻撃の表面縮小によりコネクタのアップデートがブロックされる

ダウンロード オプション

  • PDF     (1.2 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.0 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (476.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 9 月 13 日
Document ID:222390

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Microsoft Intuneによって管理されているシステムで、コピーまたは偽装されたシステムツール機能を使用したMicrosoft Intune攻撃サーフェス削減ブロックによって引き起こされる問題について説明します。これらの機能が原因で、セキュアエンドポイントの更新が失敗します。

    機能のマニュアルを参照してください。https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction

    問題

    これらのエラーとインジケータに示される、セキュアエンドポイントのアップグレードまたはインストールに関する問題が発生する可能性があります。

    この機能がセキュアエンドポイントのアップデートに干渉していることを特定するために使用できるさまざまなインジケータがあります。

    インジケータ#1:導入時に、インストールの最後にこのポップアップウィンドウが表示されます。ポップアップは非常に迅速であり、インストールが完了すると他のエラーの記憶がないことに注意してください。

    1953_778_1

    インジケータ#2:インストール後、UIでセキュアエンドポイントが無効状態になっていることに注目してください。

    また、タスクマネージャ – >サービスにSecure Endpoint Service(sfc.exe)が完全に見つからない

    Screenshot_3394

    インジケータ#3:Cisco Secure EndpointのC:\Program Files\Cisco\AMP\バージョンの場所に移動し、サービスを手動で開始しようとすると、ローカル管理者アカウントのアクセスが拒否されることがあります

    Screenshot_3395

    インジケータ#4:診断バンドルの一部であるimmpro_install.logを調査すると、次の出力に類似した同様のアクセス拒否が確認できます。

    Example #1:

(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe  

Example #2:

(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe

    インジケータ#5:Windowsセキュリティの下を移動し、保護履歴ログを確認する場合は、次のタイプのログメッセージを探します。

    Screenshot_3396

    Screenshot_3398

    これらはすべて、セキュアエンドポイントがサードパーティアプリケーションによってブロックされていることを示しています。このシナリオでは、この問題は、Intune管理対象エンドポイントで誤って構成された、または構成されていない攻撃対象領域の縮小 – コピーまたは偽装されたシステム機能の使用をブロックする機能を使用した場合に発生します。

    回避策

    この機能の設定については、アプリケーション開発者に相談するか、このナレッジベースで詳細を調べることをお勧めします。

    すぐに修復するには、Intuneの管理対象エンドポイントを制限の少ないポリシーに移動するか、適切な手順が行われるまで、この機能を一時的に明示的にオフにします。

    これは、Intune管理ポータルで、セキュリティで保護されたエンドポイント接続を復元するための一時的な手段として使用された設定です。

    Screenshot_3397

    caution-icon

    注意:この問題が発生する場合は、sfc.exeが見つからないため、フルインストールを開始する必要があります

    更新履歴

    改定 発行日 コメント
    1.0
    13-Sep-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • ローマンヴァレンタ

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています