安全终端-连接器更新因Microsoft攻击面减少而被阻止

简介

本文档介绍在由Microsoft Intune管理的系统上使用复制或模拟系统工具功能的Microsoft Intune攻击表面缩减阻止导致安全终端更新失败所导致的问题。

请参阅功能文档：https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction

问题

我们可能会遇到安全终端升级或安装问题，这些问题由以下错误和指示符表示。

有多种指示器可用于识别此功能是否干扰安全终端更新。

指示器#1：在部署过程中，我们会在安装结束时看到此弹出窗口。请注意，此弹出窗口速度相当快，安装完成后，不会出现其他任何错误记录。

指示器#2：安装后，请注意UI中的安全终端处于禁用状态。

此外，任务管理器— > Services中完全缺少Secure Endpoint Service (sfc.exe)。

指示器#3：如果我们导航到C:\Program Files\Cisco\AMP\version下的思科安全终端位置并尝试手动启动服务，您会获得权限访问被拒绝，即使对本地管理员帐户也是如此

指示符#4：如果我们检查诊断包中的immpro_install.log，我们可以看到类似于以下输出的类似拒绝访问行为。

Example #1:

(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe  

Example #2:

(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe

指示符#5：如果导航到Windows安全下并查看保护历史记录日志，请查找这些类型的日志消息。

所有这些都表示安全终端正被第三方应用阻止。在此场景中，在Intune托管终端上发现问题，其中配置了错误或未配置攻击面减少-阻止使用复制或模拟的系统功能。

解决方法

建议与应用程序开发人员协商此功能的配置，或者通过此知识库进一步协商此功能。

为立即进行补救，我们可以将受管终端移至intune中限制较少的策略，或者暂时显式关闭此功能，直到执行正确的步骤。

这是Intune管理员门户下的设置，用作恢复安全终端连接的临时措施。

注意：如果遇到此问题，由于缺少sfc.exe，必须启动完全安装