Issue:
Warum funktioniert die Remote Desktop Protocol (RDP)-Verbindung nicht, wenn die Regeln für die Anwendungssteuerung von Elements Endpoint Protection oder Business Suite Client Security/Server Security auf einem Windows Server 2022 aktiv sind?
Resolution:
Stellen Sie sicher, dass Sie keine aktiven Anwendungskontrollregeln mit dem Ereignistyp „ Dateizugriff “ haben, die als einzige Bedingung in der Regel nur einen Ziel-SHA1- oder SHA256 -Hashwert haben. Der Ereignistyp „ Dateizugriff “ ist bekanntermaßen problematisch, da dieses Ereignis die Effizienz des Caching verringert und aggressives Abfangen von Datei-E/A auslöst. Eine RDP-Verbindung könnte dann den Datei-E/A-Vorgang verlangsamen, wenn fast jede Datei mit einem Hashwert verglichen werden muss. Da die Leistungseinbußen bei diesem Vorgang unvermeidbar sind, sollten dateibasierte Hash-Blacklists nur als vorübergehende Lösung verwendet werden, bis eine Engine- Erkennung hinzugefügt wird. VirusTotal kann verwendet werden, um zu überprüfen, ob ein Hashwert als bösartig gekennzeichnet ist.
Wenn Sie Probleme mit der RDP-Konnektivität haben, empfehlen wir, keine Anwendungssteuerungs- Blockierungsaktionsregeln mit dem Ereignistyp „ Dateizugriff “ zu verwenden und zu entfernen, die einen Hash-Wert als einzige Bedingung verwenden. Solche Regeln sollten nur verwendet werden, wenn sie aktiviert sind, da sie keine Probleme verursachen. Alternativ kann das Ausschließen mit Hash-Werten mithilfe der Ereignistypen „ Anwendungsstart “ oder „ Modul laden “ anstelle von „ Dateizugriff “ erfolgen.
Wenn Sie keine Anwendungssteuerungsregeln haben, die der obigen Beschreibung entsprechen, und Sie trotzdem noch Probleme mit der RDP-Konnektivität haben, kann das Problem durch einen Race-Condition-Bug im Desktop Window Manager (dwm.exe) verursacht werden.
Um das Problem zu umgehen, empfehlen wir, dwm.exe von allen Sicherheitsfunktionen auszuschließen. Beispiel zum Erstellen der Ausnahme für Elements Endpoint Protection:
- Melden Sie sich beim Elements Security Center-Portal an: https://elements.withsecure.com
- Öffnen Sie den Abschnitt Sicherheitskonfigurationen im Menü auf der linken Seite
- Zur Seite „Profile“
- Wählen Sie das Profil aus, das auf den Geräten verwendet wird
- Hinweis: Nur nicht standardmäßige Profile können bearbeitet werden.
- Gehen Sie zur Seite „Allgemeine Einstellungen“
- Scrollen Sie nach unten zum Abschnitt Ordner und Dateien von allen Sicherheitsscans ausschließen und klicken Sie auf Ausnahme hinzufügen
- Fügen Sie den Pfad hinzu: C:/Windows/System32/dwm.exe
- Klicken Sie auf Speichern und veröffentlichen
Sie können C:\Windows\System32\winlogon.exe auch ausschließen, wenn dwm.exe allein nicht ausreicht, da winlogon.exe der übergeordnete Prozess für dwm.exe ist.
Article no: 000042409
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.