Issue:
Lorsqu'un produit de terminal WithSecure est installé sur un ordinateur ou un serveur, l'utilisation du processeur est élevée et les applications rencontrent des problèmes de performances. La connectivité de certaines applications peut également être lente ou complètement bloquée.
Le problème affecte tous les clients WithSecure :
- Elements Endpoint Protection EPP pour ordinateurs
- Elements Endpoint Protection EPP pour serveurs
- Sécurité des clients de la suite d'affaires
- Sécurité du serveur Business Suite
- Sécurité des e-mails et des serveurs de Business Suite
Resolution:
Les problèmes de performances peuvent par exemple être le résultat de :
- Problèmes de connectivité au Security Cloud
- Contrôle des applications mal configuré
- Protection du partage de serveur
Problèmes de connectivité au Security Cloud
Qu'est-ce que Security Cloud ?
Lorsque Security Cloud est activé sur les produits de terminal WithSecure, il se connecte à WithSecure Backend pour vérifier la réputation et d'autres objets. Les produits terminal WithSecure ont des mises à jour de base de données qui peuvent détecter les programme malveillant sans connexion au cloud, mais pour vérifier la réputation, nous avons besoin d'une connexion au cloud. Il y a le cache local, mais il vient d'abord du cloud, où se fait la liste blanche des faux positifs.
La désactivation de Security Cloud n'est pas recommandée car de nombreuses fonctionnalités dépendent de Security Cloud, telles que :- DeepGuard avec connexion cloud :
Les processus non signés signalés comme approuvés par ORSP seront exclus de la surveillance approfondie par DeepGuard- DeepGuard sans connexion cloud :
Grosses pertes de performances dans les opérations des applications tierces
Les fichiers non signés ne seront pas exclus- Contrôle des applications avec connexion cloud :
Les règles dépendant de la cote de prévalence et de la réputation fonctionneront bien- Contrôle des applications sans connexion cloud :
Les fichiers non signés signalés comme approuvés par l'ORSP seront exclus de l'analyse par les moteurs locaux
Les règles dépendant de la prévalence et de la réputation ne fonctionneront pas
La fonctionnalité n'est partiellement pas opérationnelle- Numérisation de fichiers avec connexion cloud :
Les fichiers non signés signalés comme approuvés par l'ORSP seront exclus de l'analyse par le moteur local- Analyse de fichiers sans connexion cloud :
Les fichiers non signés ne seront pas exclus
Certaines performances perdent sur l'accès aux fichiers- Protection de la navigation avec connexion cloud :
Fonctionne sans restriction- Protection de la navigation sans connexion cloud :
Ne fonctionnera pas du tout car les fonctionnalités dépendent entièrement de Security Cloud
La fonctionnalité n'est partiellement pas opérationnelle- Analyse du trafic Web avec connexion cloud :
Pour les URL signalées comme fiables et répandues par l'ORSP, le contenu renvoyé par le serveur sera analysé- Analyse du trafic Web sans connexion cloud :
WTS analyse toutes les réponses de toutes les URL interceptées, causant de gros problèmes de performances
Gros problèmes de performances sur la navigation Web
Comment fonctionne le cloud WithSecure Security ?
Le Security Cloud collecte des informations sur les applications et les sites Web inconnus, les applications malveillantes et les activités malveillantes qui exploit les informations des utilisateurs des sites Web. Lorsque vous vous abonnez à Security Cloud, nous recueillons des informations importantes afin de pouvoir vous fournir les services de sécurité auxquels vous êtes abonné et d'améliorer la sécurité de nos autres services. Pour cette raison, et pour le fonctionnement de nos services, nous devons collecter des informations de sécurité sur les fichiers inconnus, les activités suspectes des appareils ou les URL visitées.
Security Cloud ne surveille pas votre utilisation d'Internet et ne collecte pas d'informations sur les sites Web qui ont déjà été analysés ou sur les applications dangereuses installées sur votre ordinateur.
Comment puis-je résoudre les problèmes de connectivité liés à Security cloud ?
Lorsque vous activez Security Cloud, vous devez également mettre en liste blanche les domaines suivants sur votre pare-feu, car les terminaux doivent communiquer avec Security Cloud.- *.f-secure.com
- *.fsapi.com
Remarque : Les domaines mentionnés ci-dessus doivent être ajoutés à la liste blanche de votre pare-feu ou proxy. Si vous avez activé un proxy dans votre environnement, le client le lit via le service de découverte et tente de se connecter à *.fsapi.com via celui-ci.
Le client écrit ces informations dans le registre :
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
"valeur"=(REG_SZ):http://proxy.example.intern:3128
"accès"=(REG_DWORD):1
Exemple lorsque les requêtes réseau ne parviennent pas à se connecter au back-end WithSecure, à partir de fsscorplug.log, vous verrez comment le client tente de se connecter à l'un de nos serveurs back-end et échoue :
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus : échec sur le handle 0000023C45E27C50 5 Impossible de résoudre le proxy : proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs :: xrssdk :: HTTPQueryTask :: update_http_stats : erreur http 111 (5) pour la tâche http 0000023C45E9AC20, durée 4 ms
2021-11-12 17:40:30.152 [15c0.1d1c] .W : ipc_impl :: on_async_complete_ex : appel winrpc terminé erreur 111
2021-11-12 17:40:31.751 [15c0.1d1c] I : fs :: xrssdk :: DoormanCache :: mise à jour : le temps de recharge du portier est désactivé, ttl : 15, fserr : 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus : échec sur le handle 0000023C468C1D90 28 L'opération a expiré après 1006 millisecondes avec 0 octet reçu
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs :: xrssdk :: HTTPQueryTask :: update_http_stats : erreur http 201 (28) pour la tâche http 0000023C45E76790, temps 1006 ms
2021-11-12 17:43:02.424 [15c0.1d1c] .W : ipc_impl :: on_async_complete_ex : appel winrpc terminé erreur 201
2021-11-12 17:48:02.964 [15c0.1fe8] I : ipc_impl :: stopRpcServer : serveur MSRPC arrêté
Le journal peut contenir fserr 101 ou 218 qui sont de véritables pannes de réseau.
Le journal affiche certains résultats du cache, car les requêtes sont stockées pendant 2 heures dans le cache, ce qui signifie que si vous venez d'autoriser nos domaines dans le pare-feu, le client utilisera toujours les requêtes de cache pendant encore 2 heures. Le nettoyage du cache permet d'obtenir des résultats plus rapides pour tester la connectivité. vous pouvez nettoyer le cache directement depuis le client comme suit :- Ouvrir une invite de commande avec des privilèges administrateur
- Arrêtez l'hébergeur du réseau : net stop fsulnethoster
- Supprimez tous les fichiers de "C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor"
- Démarrer l'hébergeur du réseau : net start "fsulnethoster
Si le problème persiste, vous devez également vider le cache Doorman :- Ouvrir une invite de commande en tant administrateur
- Arrêtez les services en exécutant les commandes :
- arrêt net fsulhoster
- arrêt net fsulnethoster
- Ouvrez l'éditeur de registre Windows (regedit), sauvegardez et effacez les valeurs sous
- HKEY_USERS\S-1-5-20\SOFTWARE\F-Secure\Ultralight\ Portier
- Supprimez tous les fichiers de "C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor"
- Démarrez les services en exécutant les commandes :
- démarrage net fsulhoster
- démarrage net fsulnethoster
Si vous avez autorisé *.f-secure.com et *.fsapi.com dans votre pare-feu, vous pouvez tester la connexion de deux manières :- Ouvrir les URL sur le navigateur et ils devraient répondre avec ok
https://baseguard.doorman.fsapi.com/doorman/v1/healthcheck
https://doorman.sc.fsapi.com/doorman/v1/healthcheck
https://a.karma.sc2.fsapi.com/healthcheck- Utilisez WithSecure Connectivity Tool, qui est disponible dans les dossiers d'installation d'Elements Endpoint Protection (EPP pour ordinateurs et EPP pour serveurs), Business Client Security et Business Suite Server Security. Avec l'outil, vous pouvez afficher la liste des adresses auxquelles le produit se connecte et vérifier la connectivité vers celles-ci.
Remarque : pour Client Security, l'outil est disponible dans les versions 15.20 et ultérieures, et pour Server Security 15.10 et versions ultérieures.
L'outil se trouve dans le dossier suivant :- Sécurité client : C:\Program Files (x86)\F-Secure\Client Security\ui\fsconnectionchecker.exe
- Sécurité du serveur : C:\Program Files (x86)\F-Secure\Server Security\ui\fsconnectionchecker.exe
- Éléments EPP pour les ordinateurs et EPP pour les serveurs : C:\Program Files (x86)\F-Secure\PSB\ui\fsconnectionchecker.exe
Pour les anciennes versions de Client Security et Server Security, vous pouvez télécharger l'outil à partir d'ici : https://download.sp.f-secure.com/connectivitytool/ConnectionChecker.exe
Quels journaux doivent être vérifiés en cas de comportement de ce type ?
fsscorplug.log
.W : fs::rs::WinSocket::Impl::waitForConnection : Échec de l'attente : 258
.W: fs::rs::WinSocket::Impl::connect : Délai de connexion : doorman.sc.fsapi.com
CcfPluginState.log
.W: Filter2::ContentFilter2State::ReplyDriverMessage : Échec de la réponse au message 2222
orspplug.log
.W : fs::rs::WinSocket::Impl::waitForConnection : Échec de l'attente : 258
.W: fs::rs::WinSocket::Impl::connect : Délai de connexion : doorman.sc.fsapi.com
DeepGuard.log
.W : SecurityCloud::Query : Échec de l'ORSP pour 0dac68816ae7c09efc24d11c27c3274dfd147dee (0, 0)
.W: SecurityCloud::Query : Trop d'échecs ORSP successifs. D'autres journaux d'échec seront supprimés
.W : SecurityCloud ::Query : la requête ORSP a pris 3 016 ms
transportAgent.log (sécurité de la messagerie et du serveur uniquement)
.W : FSecure.Ess.Fsscore.Client : requête FSSCORE pour l'URL ('http://schemas.microsoft.com/office/2004/12/xxxx') Échec, erreur=Timeout
.W : FSecure.AntiVirus.Exchange.Transport.FSMessageScanner : impossible d'obtenir une réponse de FSSCORE. Les URL suivantes ne seront pas analysées
Contrôle des applications mal configuré
Si vous avez un abonnement premium à Business Suite ou Elements Endpoint Protection, il inclura la fonctionnalité Application Control.
Si le produit utilise de grandes quantités de performances du processeur, assurez-vous que vous n'avez pas défini la règle globale de contrôle des applications sur Autoriser et surveiller toutes les applications . Ce paramètre doit être utilisé uniquement lors des tests pour déterminer quelles applications nécessitent des règles d'exclusion, car il affectera les performances des appareils.
Assurez-vous également que vous n'avez pas créé de règles d'exclusion du contrôle des applications qui n'incluent qu'un SHA1 comme condition, car le calcul du SHA1 nécessitera certaines performances du processeur. Nous vous recommandons d'utiliser d'autres conditions en conjonction avec la condition SHA1.
Protection du partage de serveur
Elements Endpoint Protection for Servers dispose d'une fonctionnalité de protection du partage de serveur . Si vous l'avez activé sur votre installation Elements EPP for Servers, essayez de désactiver le mode Autoriser et signaler pour celui-ci :
- Connectez-vous au portail Elements Endpoint Protection
- Aller à la page Profils
- Accédez à l'onglet Pour les serveurs Windows
- Sélectionnez le profil que vous souhaitez modifier
- Accédez à la page des paramètres de Server Share Protection
- Désactiver le mode Autoriser et signaler
- Cliquez sur Enregistrer et publier
Redémarrez le serveur après avoir désactivé la fonctionnalité et vérifiez si l'utilisation du processeur a diminué. Si ce n'est pas le cas, essayez de désactiver complètement la fonction Server Share Protection .
Article no: 000030468
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.