보안 엔드포인트 - Microsoft 공격 표면 감소로 인해 커넥터 업데이트가 차단됨

다운로드 옵션

PDF (1.2 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (1.0 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (477.9 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2024년 9월 13일

문서 ID:222390

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Microsoft Intune에서 관리되는 시스템에서 복사 또는 가장된 시스템 도구 기능을 사용하여 Microsoft Intune 공격 표면 감소 차단으로 인해 보안 끝점 업데이트가 실패하는 문제에 대해 설명합니다.

기능 설명서를 참조하십시오. https://learn.microsoft.com/en-us/defender-endpoint/attack-surface-reduction

문제

이러한 오류 및 지표로 표시되는 보안 엔드포인트 업그레이드 또는 설치 문제가 발생할 수 있습니다.

이 기능이 보안 엔드포인트 업데이트에 방해가 됨을 식별하는 데 사용할 수 있는 다양한 지표가 있습니다.

표시기 #1: 구축 중에 설치가 끝날 때 이 팝업 창이 나타납니다. 팝업은 매우 빠르며 설치가 완료된 후에는 다른 오류 회상이 없습니다.

1953_778_1

표시기 #2: 설치 후 보안 엔드포인트가 UI에서 비활성화 상태임을 확인합니다.

또한 작업 관리자 — > 서비스에서 sfc.exe(Secure Endpoint Service)가 완전히 누락되었습니다.

Screenshot_3394

지표 #3: Cisco Secure Endpoint의 C:\Program Files\Cisco\AMP\ 버전 위치로 이동한 후 서비스를 수동으로 시작하려고 하면 로컬 관리자 계정에 대해서도 권한 액세스가 거부됩니다.

Screenshot_3395

표시기 #4: 진단 번들의 일부인 immpro_install.log를 조사하면 이 출력과 유사하게 보이는 유사한 액세스 거부를 관찰할 수 있습니다.

Example #1:

(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, 0
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30307\sfc.exe, aborting
(5090625, +0 ms) Aug 22 09:56:33 [17732]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30307\sfc.exe  

Example #2:

(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: imn_error: fp_gen_internal: failed to open file C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe : 5 : Access is denied.
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: Util::GetFileSHA256: unable to generate file fp: C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, 0
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyFile: Failed to grab hash of C:\Program Files\Cisco\AMP\8.4.1.30299\sfc.exe, aborting
(1737859, +0 ms) Sept 11 14:04:05 [20180]: ERROR: VerifyAllInstalledFiles: Failed to verify $AMP_INSTALL$\8.4.1.30299\sfc.exe

표시기 #5: Windows 보안 아래에서 탐색하고 보호 기록 로그를 보면 이러한 유형의 로그 메시지를 찾습니다.

Screenshot_3396

Screenshot_3398

이러한 모든 사항은 보안 엔드포인트가 서드파티 애플리케이션에 의해 차단되고 있음을 나타냅니다. 이 시나리오에서는 Intune 관리 엔드포인트에서 잘못 구성되었거나 구성되지 않은 문제가 발생했습니다. 공격 표면 감소 - 복사되거나 가장된 시스템 기능의 사용을 차단합니다.