Issue:
Pourquoi la connexion RDP (Remote Desktop Protocol) ne fonctionne-t-elle pas lorsque les règles Elements Endpoint Protection ou Business Suite Client Security / Server Security Application Control sont actives sur un serveur Windows 2022 ?
Resolution:
Assurez-vous que vous n'avez pas de règles de contrôle des applications actives avec le type d'événement « Accès aux fichiers » qui ont uniquement une valeur de hachage cible SHA1 ou SHA256 comme seule condition dans la règle. Le type d'événement « Accès aux fichiers » est connu pour être problématique, car cet événement réduit l'efficacité de la mise en cache et déclenche une interception agressive des E/S des fichiers. Une connexion RDP pourrait alors ralentir l'opération d'E/S du fichier alors que presque tous les fichiers doivent être vérifiés par rapport à une valeur de hachage. En raison de la pénalité de performances inévitable pour cette opération, toute liste noire de hachage basée sur un fichier ne doit être utilisée que comme solution temporaire jusqu'à ce qu'une détection de moteur soit ajoutée. VirusTotal peut être utilisé pour vérifier si une valeur de hachage est signalée comme malveillante.
Si vous rencontrez des problèmes avec la connectivité RDP, nous vous recommandons de ne pas utiliser et de supprimer les règles d'action de blocage du contrôle des applications avec le type d'événement « Accès aux fichiers », qui utilisent une valeur de hachage comme seule condition. De telles règles ne doivent être utilisées que lorsque leur activation ne pose pas de problèmes. Alternativement, l'exclusion avec des valeurs de hachage peut être effectuée en utilisant les types d'événements " Démarrage d'application " ou " Chargement de module ", au lieu de " Accès au fichier ".
Si vos règles de contrôle des applications ne correspondent pas à la description ci-dessus et que vous rencontrez toujours des problèmes de connectivité RDP, le problème peut être dû à un bogue de condition de concurrence critique dans Desktop Window Manager (dwm.exe).
Pour contourner le problème, nous vous suggérons d'exclure dwm.exe de toutes les fonctionnalités de sécurité. Exemple de création de l'exclusion pour Elements Endpoint Protection :
- Connectez-vous au portail Elements Security Center : https://elements.withsecure.com
- Ouvrez la section Configurations de sécurité dans le menu de gauche
- Accédez à la page Profils
- Sélectionnez le profil utilisé sur les appareils
- Remarque : Seuls les profils autres que ceux par défaut peuvent être modifiés.
- Accédez à la page Paramètres généraux
- Faites défiler jusqu'à la section Exclure les dossiers et fichiers de toutes les analyses de sécurité et cliquez sur Ajouter une exclusion.
- Ajoutez le chemin : C:/Windows/System32/dwm.exe
- Cliquez sur Enregistrer et publier
Vous pouvez également exclure C:\Windows\System32\winlogon.exe si dwm.exe seul ne suffit pas, puisque winlogon.exe est le processus parent de dwm.exe.
Article no: 000042409
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.