简介
本文档介绍在由Microsoft Intune管理的系统上使用复制或模拟系统工具功能的Microsoft Intune攻击表面缩减阻止导致安全终端更新失败所导致的问题。
请参阅功能文档:https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction
问题
我们可能会遇到安全终端升级或安装问题,这些问题由以下错误和指示符表示。
有多种指示器可用于识别此功能是否干扰安全终端更新。
指示器#1:在部署过程中,我们会在安装结束时看到此弹出窗口。请注意,此弹出窗口速度相当快,安装完成后,不会出现其他任何错误记录。
指示器#2:安装后,请注意UI中的安全终端处于禁用状态。
此外,任务管理器— > Services中完全缺少Secure Endpoint Service (sfc.exe)。
指示器#3:如果我们导航到C:\Program Files\Cisco\AMP\version下的思科安全终端位置并尝试手动启动服务,您会获得权限访问被拒绝,即使对本地管理员帐户也是如此
指示符#4:如果我们检查诊断包中的immpro_install.log,我们可以看到类似于以下输出的类似拒绝访问行为。
Example #1:
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe
Example #2:
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe
指示符#5:如果导航到Windows安全下并查看保护历史记录日志,请查找这些类型的日志消息。
所有这些都表示安全终端正被第三方应用阻止。在此场景中,在Intune托管终端上发现问题,其中配置了错误或未配置攻击面减少-阻止使用复制或模拟的系统功能。
解决方法
建议与应用程序开发人员协商此功能的配置,或者通过此知识库进一步协商此功能。
为立即进行补救,我们可以将受管终端移至intune中限制较少的策略,或者暂时显式关闭此功能,直到执行正确的步骤。
这是Intune管理员门户下的设置,用作恢复安全终端连接的临时措施。
注意:如果遇到此问题,由于缺少sfc.exe,必须启动完全安装