Issue:
So beheben Sie Verbindungsprobleme mit der Security Cloud.
Dieser Artikel gilt für die folgenden Produkte:
- Elemente EPP für Computer
- Elements EPP für Server
- Clientsicherheit für die Business Suite
- Business Suite Server-Sicherheit
Resolution:
Was ist Security Cloud?
Wenn Security Cloud auf WithSecure Endpunkt aktiviert ist, stellt es eine Verbindung zum WithSecure Backend her, um die Reputation und andere Objekte zu überprüfen. WithSecure Endpunkt verfügen über Datenbankaktualisierungen, die Malware ohne Verbindung zur Cloud erkennen können. Um die Reputation zu überprüfen, benötigen wir jedoch eine Cloud-Verbindung. Es gibt den lokalen Cache, aber dieser kommt zuerst aus der Cloud, wo die Whitelist für Falschmeldungen erstellt wird.
Das Deaktivieren von Security Cloud wird nicht empfohlen, da viele Funktionen von Security Cloud abhängig sind, beispielsweise:
- DeepGuard mit Cloud-Anbindung:
Nicht signierte Prozesse, die von ORSP als vertrauenswürdig gemeldet werden, werden von der eingehenden Überwachung durch DeepGuard ausgeschlossen.
- DeepGuard ohne Cloud-Verbindung:
Große Leistungseinbußen beim Betrieb von Drittanbieteranwendungen
Nicht signierte Dateien werden nicht ausgeschlossen
- Anwendungssteuerung mit Cloud-Anbindung:
Regeln, die von der Prävalenzbewertung und dem Ruf abhängen, funktionieren einwandfrei
- Anwendungssteuerung ohne Cloud-Verbindung:
Nicht signierte Dateien, die von ORSP als vertrauenswürdig gemeldet werden, werden von lokalen Engines vom Scannen ausgeschlossen.
Regeln, die auf Verbreitung und Reputation basieren, werden nicht funktionieren
Funktion ist teilweise nicht einsatzbereit
- Dateiscan mit Cloud-Anbindung:
Nicht signierte Dateien, die von ORSP als vertrauenswürdig gemeldet werden, werden vom Scannen durch die lokale Engine ausgeschlossen.
- Dateiscan ohne Cloud-Verbindung:
Nicht signierte Dateien werden nicht ausgeschlossen
Einige Leistungseinbußen beim Dateizugriff
- Browserschutz mit Cloud-Anbindung:
Funktioniert ohne Einschränkungen
- Browserschutz mit Cloud-Anbindung:
Funktioniert überhaupt nicht, da die Funktionen vollständig von der Security Cloud abhängen
Funktion ist teilweise nicht einsatzbereit
- Web-Traffic-Scanning mit Cloud-Verbindung:
Für URLs, die von ORSP als vertrauenswürdig und weit verbreitet gemeldet werden, werden vom Server zurückgegebene Inhalte gescannt
- Web-Traffic-Scanning ohne Cloud-Verbindung:
WTS Scan alle Antworten aller abgefangenen URLs, was zu großen Leistungsproblemen führt
Große Leistungsprobleme beim Surfen im Internet
Wie funktioniert die WithSecure Security Cloud?
Die Security Cloud sammelt Informationen über unbekannte Anwendungen und Websites, bösartige Anwendungen und bösartige Aktivitäten, die die Informationen von Benutzern von Websites Exploit . Wenn Sie die Security Cloud abonnieren, sammeln wir wichtige Informationen, damit wir Ihnen die Sicherheitsdienste bereitstellen können, die Sie abonnieren, und die Sicherheit unserer anderen Dienste verbessern können. Aus diesem Grund und für den Betrieb unserer Dienste müssen wir Sicherheitsinformationen über unbekannte Dateien, verdächtige Geräteaktivitäten oder besuchte URLs sammeln.
Security Cloud überwacht nicht Ihre Internetnutzung und sammelt keine Informationen über bereits analysierte Websites oder über unsichere Anwendungen, die auf Ihrem Computer installiert sind.
Wie behebe ich Verbindungsprobleme im Zusammenhang mit der Security Cloud?
Wenn Sie Security Cloud aktivieren, müssen Sie auch die folgenden Domänen auf Ihrer Firewall auf die Whitelist setzen, da die Endpunkte mit Security Cloud kommunizieren müssen.
- *.f-secure.com
- *.fsapi.com
Hinweis: Die oben genannten Domänen müssen in Ihrer Firewall oder Ihrem Proxy auf die Whitelist gesetzt werden. Falls Sie in Ihrer Umgebung einen Proxy aktiviert haben, liest der Client ihn über den Erkennungsdienst und versucht, darüber eine Verbindung zu *.fsapi.com herzustellen.
Der Client schreibt diese Informationen in die Registrierung:
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
"Wert"=(REG_SZ):http://proxy.example.intern:3128
"Zugriff" = (REG_DWORD): 1 Beispiel: Wenn bei Netzwerkabfragen keine Verbindung zum F-Secure-Backend hergestellt werden kann, sehen Sie in der Datei fsscorplug.log, wie der Client versucht, eine Verbindung zu einem unserer Back-End Server herzustellen, und dies fehlschlägt:
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus: Fehler beim Handle 0000023C45E27C50 5 Proxy konnte nicht aufgelöst werden: proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http-Fehler 111 (5) für http-Task 0000023C45E9AC20, Zeit 4 ms
2021-11-12 17:40:30.152 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: WinRPC-Aufruf abgeschlossen, Fehler 111
2021-11-12 17:40:31.751 [15c0.1d1c] I: fs::xrssdk::DoormanCache::update: Doorman-Abkühlung ist aus, ttl: 15, fserr: 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus: Fehler beim Handle 0000023C468C1D90 28 Der Vorgang ist nach 1006 Millisekunden mit 0 empfangenen Bytes abgelaufen
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http-Fehler 201 (28) für http-Task 0000023C45E76790, Zeit 1006 ms
2021-11-12 17:43:02.424 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: WinRPC-Aufruf abgeschlossen, Fehler 201
2021-11-12 17:48:02.964 [15c0.1fe8] I: ipc_impl::stopRpcServer: MSRPC-Server gestoppt
Das Protokoll kann fserr 101 oder 218 enthalten, bei denen es sich um tatsächliche Netzwerkfehler handelt.
Das Protokoll zeigt einige Ergebnisse aus dem Cache, da die Abfragen 2 Stunden lang im Cache gespeichert werden. Das bedeutet, dass der Client, wenn Sie unsere Domänen in der Firewall zugelassen haben, die Cache-Abfragen noch weitere 2 Stunden lang verwenden wird. Die Cache-Bereinigung dient schnelleren Ergebnissen zum Testen der Konnektivität. Sie können den Cache wie folgt direkt vom Client aus bereinigen:
- Öffnen Sie eine Eingabeaufforderung mit Administrator
- Stoppen Sie den Netzwerk-Hoster: net stop fsulnethoster
- Entfernen Sie alle Dateien aus „C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor“
- Netzwerkhoster starten: net start "fsulnethoster
Wenn Sie *.f-secure.com und *.fsapi.com in Ihrer Firewall zugelassen haben, können Sie die Verbindung auf zwei Arten testen:
- Öffnen Sie die URLs im Browser und sie sollten mit „OK“ antworten.
- Verwenden Sie das WithSecure Connectivity Tool, das in den Installationsordnern von Elements Endpoint Protection (EPP für Computer und EPP für Server), Business Client Security und Business Suite Server Security verfügbar ist. Mit dem Tool können Sie die Liste der Adressen anzeigen, mit denen das Produkt eine Verbindung herstellt, und die Konnektivität zu diesen Adressen überprüfen.
Hinweis: Für Client Security ist das Tool in 15.20 und höher und für Server Security in 15.10 und höher verfügbar.
Das Tool befindet sich im folgenden Ordner:- Client-Sicherheit: C:\Programme (x86)\F-Secure\Client Security\ui\fsconnectionchecker.exe
- Serversicherheit: C:\Programme (x86)\F-Secure\Server Security\ui\fsconnectionchecker.exe
- Elemente EPP für Computer und EPP für Server: C:\Programme (x86)\F-Secure\PSB\ui\fsconnectionchecker.exe
Für ältere Client Security- und Server Security-Versionen können Sie das Tool hier herunterladen: https://download.sp.f-secure.com/connectivitytool/ConnectionChecker.exe
Welche Protokolle sollten im Falle eines solchen Verhaltens überprüft werden?
fsscorplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: Warten fehlgeschlagen: 258
.W: fs::rs::WinSocket::Impl::connect: Verbindungs-Timeout: doorman.sc.fsapi.com
CcfPluginState.log
.W: Filter2::ContentFilter2State::ReplyDriverMessage: Antwort auf Nachricht 2222 fehlgeschlagen
oderspplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: Warten fehlgeschlagen: 258
.W: fs::rs::WinSocket::Impl::connect: Verbindungs-Timeout: doorman.sc.fsapi.com
DeepGuard.log
.W: SecurityCloud::Query: ORSP ist fehlgeschlagen für 0dac68816ae7c09efc24d11c27c3274dfd147dee (0, 0)
.W: SecurityCloud::Query: Zu viele aufeinanderfolgende ORSP-Fehler. Weitere Fehlerprotokolle werden unterdrückt
.W: SecurityCloud::Query: ORSP-Abfrage dauerte 3016 ms
transportAgent.log (nur E-Mail- und Serversicherheit)
.W: FSecure.Ess.Fsscore.Client: FSSCORE-Abfrage für URL('http://schemas.microsoft.com/office/2004/12/xxxx') fehlgeschlagen, Fehler=Timeout
.W: FSecure.AntiVirus.Exchange.Transport.FSMessageScanner: Keine Antwort von FSSCORE möglich. Die folgenden URLs werden nicht gescannt
Article no: 000035235
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.