Issue:
Comment résoudre les problèmes de connectivité de Security Cloud.
Cet article s'applique aux produits suivants :
- Éléments EPP pour ordinateurs
- Éléments EPP pour serveurs
- Sécurité des clients de Business Suite
- Sécurité du serveur Business Suite
Resolution:
Qu'est-ce que Security Cloud ?
Lorsque Security Cloud est activé sur les produits de terminal WithSecure , il se connecte à WithSecure Backend pour vérifier la réputation et d'autres objets. Les produits de terminal WithSecure disposent de mises à jour de base de données qui peuvent détecter les programme malveillant sans connexion au cloud, mais pour vérifier la réputation, nous avons besoin d'une connexion au cloud. Il existe le cache local, mais il provient d'abord du cloud, où la liste blanche des faux positifs est effectuée.
La désactivation de Security Cloud n'est pas recommandée car de nombreuses fonctionnalités dépendent de Security Cloud, telles que :
- DeepGuard avec connexion cloud :
Les processus non signés signalés comme fiables par ORSP seront exclus de la surveillance approfondie par DeepGuard
- DeepGuard sans connexion cloud :
Pertes de performances importantes dans les opérations des applications tierces
Les fichiers non signés ne seront pas exclus
- Contrôle des applications avec connexion au cloud :
Les règles dépendant du taux de prévalence et de la réputation fonctionneront correctement
- Contrôle des applications sans connexion au cloud :
Les fichiers non signés signalés comme approuvés par ORSP seront exclus de l'analyse par les moteurs locaux
Les règles basées sur la prévalence et la réputation ne fonctionneront pas
La fonctionnalité n'est pas partiellement opérationnelle
- Numérisation de fichiers avec connexion cloud :
Les fichiers non signés signalés comme approuvés par ORSP seront exclus de l'analyse par le moteur local
- Numérisation de fichiers sans connexion au cloud :
Les fichiers non signés ne seront pas exclus
Certaines performances sont perdues lors de l'accès aux fichiers
- Protection de la navigation avec connexion cloud :
Fonctionne sans restrictions
- Protection de la navigation avec connexion cloud :
Ne fonctionnera pas du tout car les fonctionnalités dépendent entièrement de Security Cloud
La fonctionnalité n'est pas partiellement opérationnelle
- Analyse du trafic Web avec connexion au cloud :
Pour les URL signalées comme fiables et répandues par ORSP, le contenu renvoyé par le serveur sera analysé
- Analyse du trafic Web sans connexion au cloud :
WTS analyse toutes les réponses de toutes les URL interceptées, ce qui entraînera de gros problèmes de performances
Gros problèmes de performances sur la navigation Web
Comment fonctionne le cloud de sécurité WithSecure ?
Security Cloud collecte des informations sur les applications et sites Web inconnus, les applications malveillantes et les activités malveillantes qui exploit les informations des utilisateurs de sites Web. Lorsque vous vous abonnez à Security Cloud, nous collectons des informations importantes afin de pouvoir vous fournir les services de sécurité auxquels vous vous abonnez et d'améliorer la sécurité de nos autres services. Pour cette raison, et pour le fonctionnement de nos services, nous devons collecter des informations de sécurité sur les fichiers inconnus, les activités suspectes des appareils ou les URL visitées.
Security Cloud ne surveille pas votre utilisation d'Internet et ne collecte pas d'informations sur les sites Web qui ont déjà été analysés ou sur les applications dangereuses installées sur votre ordinateur.
Comment résoudre les problèmes de connectivité liés au cloud de sécurité ?
Lorsque vous activez Security Cloud, vous devez également ajouter les domaines suivants à la liste blanche de votre pare-feu, car les points de terminaison doivent communiquer avec Security Cloud.
- *.f-secure.com
- *.fsapi.com
Remarque : les domaines mentionnés ci-dessus doivent être ajoutés à la liste blanche de votre pare-feu ou proxy. Si vous avez activé un proxy dans votre environnement, le client le lit via le service de découverte et tente de se connecter à *.fsapi.com via celui-ci.
Le client écrit ces informations dans le registre :
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
"valeur"=(REG_SZ):http://proxy.example.intern:3128
"accès"=(REG_DWORD):1 Exemple lorsque les requêtes réseau ne parviennent pas à se connecter au back-end F-Secure, à partir de fsscorplug.log, vous verrez comment le client essaie de se connecter à l'un de nos serveurs back-end et échoue :
2021-11-12 17:40:30.152 [15c0.1d1c] .W : CurlQuery::completeWithStatus : échec sur le handle 0000023C45E27C50 5 Impossible de résoudre le proxy : proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: erreur http 111 (5) pour la tâche http 0000023C45E9AC20, durée 4 ms
2021-11-12 17:40:30.152 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: appel winrpc terminé err 111
2021-11-12 17:40:31.751 [15c0.1d1c] I : fs::xrssdk::DoormanCache::update : le temps de recharge du portier est désactivé, ttl : 15, fserr : 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus: échec sur le handle 0000023C468C1D90 28 L'opération a expiré après 1006 millisecondes avec 0 octet reçu
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: erreur http 201 (28) pour la tâche http 0000023C45E76790, durée 1006 ms
2021-11-12 17:43:02.424 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: appel winrpc terminé err 201
2021-11-12 17:48:02.964 [15c0.1fe8] I: ipc_impl::stopRpcServer: Serveur MSRPC arrêté
Le journal peut contenir des erreurs fserr 101 ou 218 qui sont des pannes de réseau réelles.
Le journal montre certains résultats du cache, car les requêtes sont stockées pendant 2 heures dans le cache, ce qui signifie que si vous avez simplement autorisé nos domaines dans le pare-feu, le client utilisera toujours les requêtes du cache pendant 2 heures supplémentaires. Le nettoyage du cache permet d'obtenir des résultats plus rapides pour tester la connectivité. Vous pouvez nettoyer le cache directement depuis le client comme suit :
- Ouvrir une invite de commande avec des privilèges administrateur
- Arrêter l'hébergeur réseau : net stop fsulnethoster
- Supprimez tous les fichiers de « C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor »
- Démarrer l'hébergeur réseau : net start "fsulnehoster
Si vous avez autorisé *.f-secure.com et *.fsapi.com dans votre pare-feu, vous pouvez tester la connexion de deux manières :
- J'ouvre les URL sur le navigateur et ils devraient répondre avec OK
- Utilisez l'outil WithSecure Connectivity, disponible dans les dossiers d'installation d'Elements Endpoint Protection (EPP for Computers et EPP for Servers), Business Client Security et Business Suite Server Security. Avec cet outil, vous pouvez afficher la liste des adresses auxquelles le produit se connecte et vérifier la connectivité vers celles-ci.
Remarque : pour Client Security, l'outil est disponible dans les versions 15.20 et ultérieures, et pour Server Security 15.10 et ultérieures.
L'outil se trouve dans le dossier suivant :- Sécurité du client : C:\Program Files (x86)\F-Secure\Client Security\ui\fsconnectionchecker.exe
- Sécurité du serveur : C:\Program Files (x86)\F-Secure\Server Security\ui\fsconnectionchecker.exe
- Éléments EPP pour ordinateurs et EPP pour serveurs : C:\Program Files (x86)\F-Secure\PSB\ui\fsconnectionchecker.exe
Pour les versions plus anciennes de Client Security et Server Security, vous pouvez télécharger l'outil ici : https://download.sp.f-secure.com/connectivitytool/ConnectionChecker.exe
Quels journaux doivent être vérifiés en cas d'un tel comportement ?
fichier fsscorplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection : échec de l'attente : 258
.W: fs::rs::WinSocket::Impl::connect: Délai de connexion expiré : doorman.sc.fsapi.com
CcfPluginState.log
.W : Filter2::ContentFilter2State::ReplyDriverMessage : Échec de la réponse au message 2222
orspplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection : échec de l'attente : 258
.W: fs::rs::WinSocket::Impl::connect: Délai de connexion expiré : doorman.sc.fsapi.com
DeepGuard
.W : SecurityCloud::Query : échec de l'ORSP pour 0dac68816ae7c09efc24d11c27c3274dfd147dee (0, 0)
.W : SecurityCloud::Query : Trop d'échecs ORSP successifs. Les journaux d'échecs ultérieurs seront supprimés
.W : SecurityCloud::Query : la requête ORSP a pris 3 016 ms
transportAgent.log (sécurité du courrier électronique et du serveur uniquement)
.W : FSecure.Ess.Fsscore.Client : Échec de la requête FSSCORE pour l'URL (« http://schemas.microsoft.com/office/2004/12/xxxx »), erreur = expiration du délai
.W : FSecure.AntiVirus.Exchange.Transport.FSMessageScanner : Impossible d'obtenir une réponse de FSSCORE. Les URL suivantes ne seront pas analysées
Article no: 000035235
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.