Issue:
So beheben Sie Probleme mit der Security Cloud-Konnektivität.
Dieser Artikel gilt für die folgenden Produkte:
- Elemente EPP für Computer
- Elemente EPP für Server
- Sicherheit für Business Suite-Clients
- Business Suite-Serversicherheit
Resolution:
Was ist Security Cloud?
Wenn Security Cloud auf WithSecure- Endpunkt aktiviert ist, stellt es eine Verbindung zum WithSecure-Backend her, um die Reputation und andere Objekte zu überprüfen. WithSecure- Endpunkt verfügen über Datenbankaktualisierungen, die die Malware ohne Verbindung zur Cloud erkennen können. Um die Reputation zu überprüfen, benötigen wir jedoch eine Cloud-Verbindung. Es gibt den lokalen Cache, aber er kommt zuerst aus der Cloud, wo die Whitelisting von Fehlalarmen erfolgt.
Wenn Security Cloud auf WithSecure- Endpunkt aktiviert ist, stellt es eine Verbindung zum WithSecure-Backend her, um die Reputation und andere Objekte zu überprüfen. WithSecure- Endpunkt verfügen über Datenbankaktualisierungen, die die Malware ohne Verbindung zur Cloud erkennen können. Um die Reputation zu überprüfen, benötigen wir jedoch eine Cloud-Verbindung. Es gibt den lokalen Cache, aber er kommt zuerst aus der Cloud, wo die Whitelisting von Fehlalarmen erfolgt.
Die Deaktivierung von Security Cloud wird nicht empfohlen, da es viele Funktionen gibt, die von Security Cloud abhängig sind, wie zum Beispiel:
- DeepGuard mit Cloud-Anbindung:
Nicht signierte Prozesse, die von ORSP als vertrauenswürdig gemeldet werden, werden von der umfassenden Überwachung durch DeepGuard ausgeschlossen
- DeepGuard ohne Cloud-Verbindung:
Große Leistungseinbußen beim Betrieb von Anwendungen von Drittanbietern
Nicht signierte Dateien werden nicht ausgeschlossen
Nicht signierte Dateien werden nicht ausgeschlossen
- Anwendungssteuerung mit Cloud-Anbindung:
Regeln, die von der Prävalenzbewertung und dem Ruf abhängen, funktionieren einwandfrei
- Anwendungskontrolle ohne Cloud-Verbindung:
Nicht signierte Dateien, die von ORSP als vertrauenswürdig gemeldet werden, werden von der Überprüfung durch lokale Engines ausgeschlossen
Prävalenz- und Reputationsregeln funktionieren nicht
Funktion ist teilweise nicht funktionsfähig
Prävalenz- und Reputationsregeln funktionieren nicht
Funktion ist teilweise nicht funktionsfähig
- Dateiscan mit Cloud-Verbindung:
Nicht signierte Dateien, die von ORSP als vertrauenswürdig gemeldet werden, werden vom Scan durch die lokale Engine ausgeschlossen
- Dateiscan ohne Cloud-Verbindung:
Nicht signierte Dateien werden nicht ausgeschlossen
Beim Dateizugriff geht etwas Leistung verloren
Beim Dateizugriff geht etwas Leistung verloren
- Browsing-Schutz mit Cloud-Anbindung:
Funktioniert ohne Einschränkungen
- Browsing-Schutz mit Cloud-Anbindung:
Funktioniert überhaupt nicht, da die Funktionen vollständig von Security Cloud abhängen
Funktion ist teilweise nicht funktionsfähig
Funktion ist teilweise nicht funktionsfähig
- Web-Traffic-Scanning mit Cloud-Anbindung:
Bei URLs, die von ORSP als vertrauenswürdig und weit verbreitet gemeldet werden, werden die vom Server zurückgegebenen Inhalte gescannt
- Web-Traffic-Scanning ohne Cloud-Verbindung:
WTS Scan alle Antworten aller abgefangenen URLs, was zu großen Leistungsproblemen führt
Große Leistungsprobleme beim Surfen im Internet
Große Leistungsprobleme beim Surfen im Internet
Wie funktioniert die WithSecure Security Cloud?
Die Security Cloud sammelt Informationen über unbekannte Anwendungen und Websites, bösartige Anwendungen und bösartige Aktivitäten, die die Informationen von Benutzern von Websites Exploit . Wenn Sie Security Cloud abonnieren, erfassen wir wichtige Informationen, damit wir Ihnen die von Ihnen abonnierten Sicherheitsdienste bereitstellen und die Sicherheit unserer anderen Dienste verbessern können. Aus diesem Grund und für den Betrieb unserer Dienste müssen wir Sicherheitsinformationen über unbekannte Dateien, verdächtige Geräteaktivitäten oder besuchte URLs sammeln.
Security Cloud überwacht Ihre Internetnutzung nicht und sammelt keine Informationen über bereits analysierte Websites oder über unsichere Anwendungen, die auf Ihrem Computer installiert sind.
Wie behebe ich Verbindungsprobleme im Zusammenhang mit der Security Cloud?
Wenn Sie Security Cloud aktivieren, müssen Sie auch die folgenden Domänen auf Ihrer Firewall auf die Whitelist setzen, da die Endpunkte mit Security Cloud kommunizieren müssen.
- *.f-secure.com
- *.fsapi.com
Hinweis: Die oben genannten Domänen müssen für Ihre Firewall oder Ihren Proxy auf die Whitelist gesetzt werden. Falls Sie in Ihrer Umgebung einen Proxy aktiviert haben, liest der Client ihn über den Erkennungsdienst und versucht, über ihn eine Verbindung zu *.fsapi.com herzustellen.
Der Kunde schreibt diese Informationen in die Registrierung:
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
„value“=(REG_SZ):http://proxy.example.intern:3128
"access"=(REG_DWORD):1
Der Kunde schreibt diese Informationen in die Registrierung:
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
„value“=(REG_SZ):http://proxy.example.intern:3128
"access"=(REG_DWORD):1
Beispiel: Wenn bei Netzwerkabfragen keine Verbindung zum F-Secure-Backend hergestellt werden kann, sehen Sie in fsscorplug.log, wie der Client versucht, eine Verbindung zu einem unserer Back-End Server herzustellen, was jedoch fehlschlägt:
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus: Fehler bei Handle 0000023C45E27C50 5 Proxy konnte nicht aufgelöst werden: Proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http-Fehler 111 (5) für http-Task 0000023C45E9AC20, Zeit 4 ms
2021-11-12 17:40:30.152 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: Winrpc-Aufruf abgeschlossen, Fehler 111
2021-11-12 17:40:31.751 [15c0.1d1c] I: fs::xrssdk::DoormanCache::update: Doorman Cooldown ist aus, ttl: 15, fserr: 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus: Fehler bei Handle 0000023C468C1D90 28 Zeitüberschreitung des Vorgangs nach 1006 Millisekunden mit 0 empfangenen Bytes
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http-Fehler 201 (28) für http-Task 0000023C45E76790, Zeit 1006 ms
2021-11-12 17:43:02.424 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: Winrpc-Aufruf abgeschlossen, Fehler 201
2021-11-12 17:48:02.964 [15c0.1fe8] I: ipc_impl::stopRpcServer: MSRPC Server gestoppt
Das Protokoll kann fserr 101 oder 218 enthalten, bei denen es sich um tatsächliche Netzwerkfehler handelt.
Das Protokoll zeigt einige Ergebnisse aus dem Cache, da die Abfragen 2 Stunden lang im Cache gespeichert werden. Wenn Sie also nur unsere Domänen in der Firewall zugelassen haben, wird der Client noch weitere 2 Stunden lang Cache-Abfragen verwenden. Die Cache-Bereinigung dient dazu, schnellere Ergebnisse beim Testen der Konnektivität zu erzielen. Sie können den Cache wie folgt direkt vom Client aus bereinigen:
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus: Fehler bei Handle 0000023C45E27C50 5 Proxy konnte nicht aufgelöst werden: Proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http-Fehler 111 (5) für http-Task 0000023C45E9AC20, Zeit 4 ms
2021-11-12 17:40:30.152 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: Winrpc-Aufruf abgeschlossen, Fehler 111
2021-11-12 17:40:31.751 [15c0.1d1c] I: fs::xrssdk::DoormanCache::update: Doorman Cooldown ist aus, ttl: 15, fserr: 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus: Fehler bei Handle 0000023C468C1D90 28 Zeitüberschreitung des Vorgangs nach 1006 Millisekunden mit 0 empfangenen Bytes
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http-Fehler 201 (28) für http-Task 0000023C45E76790, Zeit 1006 ms
2021-11-12 17:43:02.424 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: Winrpc-Aufruf abgeschlossen, Fehler 201
2021-11-12 17:48:02.964 [15c0.1fe8] I: ipc_impl::stopRpcServer: MSRPC Server gestoppt
Das Protokoll kann fserr 101 oder 218 enthalten, bei denen es sich um tatsächliche Netzwerkfehler handelt.
Das Protokoll zeigt einige Ergebnisse aus dem Cache, da die Abfragen 2 Stunden lang im Cache gespeichert werden. Wenn Sie also nur unsere Domänen in der Firewall zugelassen haben, wird der Client noch weitere 2 Stunden lang Cache-Abfragen verwenden. Die Cache-Bereinigung dient dazu, schnellere Ergebnisse beim Testen der Konnektivität zu erzielen. Sie können den Cache wie folgt direkt vom Client aus bereinigen:
- Öffnen Sie eine Eingabeaufforderung mit Administrator
- Stoppen Sie den Netzwerkhoster: net stop fsulnethoster
- Entfernen Sie alle Dateien aus „C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor“
- Netzwerkhoster starten: net start „fsulnethoster
Wenn Sie *.f-secure.com und *.fsapi.com in Ihrer Firewall zugelassen haben, können Sie die Verbindung auf zwei Arten testen:
- Öffnen Sie die URLs im Browser und sie sollten mit „OK“ antworten
https://baseguard.doorman.fsapi.com/doorman/v1/healthcheck
https://doorman.sc.fsapi.com/doorman/v1/healthcheck
https://a.karma.sc2.fsapi.com/healthcheck
https://doorman.sc.fsapi.com/doorman/v1/healthcheck
https://a.karma.sc2.fsapi.com/healthcheck
- Verwenden Sie das F-Secure Connectivity Tool, das in den Installationsordnern von Elements Endpoint Protection (EPP für Computer und EPP für Server), Business Client Security und Business Suite Server Security verfügbar ist. Mit dem Tool können Sie die Liste der Adressen anzeigen, mit denen das Produkt eine Verbindung herstellt, und die Konnektivität zu diesen Adressen überprüfen.
Das Tool befindet sich im folgenden Ordner:
- Client Security: C:\Programme (x86)\F-Secure\Client Security\ui\fsconnectionchecker.exe
- Serversicherheit: C:\Programme (x86)\F-Secure\Server Security\ui\fsconnectionchecker.exe
- Elemente EPP für Computer und EPP für Server: C:\Programme (x86)\F-Secure\PSB\ui\fsconnectionchecker.exe
Welche Protokolle sollten bei einem solchen Verhalten überprüft werden?
fsscorplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: Warten fehlgeschlagen: 258
.W: fs::rs::WinSocket::Impl::connect: Verbindungs-Timeout: doorman.sc.fsapi.com
CcfPluginState.log
.W: Filter2::ContentFilter2State::ReplyDriverMessage: Antwort auf Nachricht 2222 fehlgeschlagen
orspplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: Warten fehlgeschlagen: 258
.W: fs::rs::WinSocket::Impl::connect: Verbindungs-Timeout: doorman.sc.fsapi.com
DeepGuard.log
.W: SecurityCloud::Query: ORSP fehlgeschlagen für 0dac68816ae7c09efc24d11c27c3274dfd147dee (0, 0)
.W: SecurityCloud::Query: Zu viele aufeinanderfolgende ORSP-Fehler. Weitere Fehlerprotokolle werden unterdrückt
.W: SecurityCloud::Query: ORSP-Abfrage dauerte 3016 ms
transportAgent.log (nur E-Mail und Serversicherheit)
.W: FSecure.Ess.Fsscore.Client: FSSCORE-Abfrage für URL('http://schemas.microsoft.com/office/2004/12/xxxx') fehlgeschlagen, Fehler=Timeout
.W: FSecure.AntiVirus.Exchange.Transport.FSMessageScanner: Es kann keine Antwort von FSSCORE erhalten werden. Die folgenden URLs werden nicht gescannt
Article no: 000035235
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.