Issue:
Windows Server 2022 で Elements Endpoint Protection または Business Suite Client Security / Server Security Application Control ルールがアクティブな場合、リモート デスクトップ プロトコル (RDP) 接続が機能しないのはなぜですか?
Resolution:
ルールの唯一の条件としてターゲット SHA1またはSHA256ハッシュ値のみを持つイベントタイプ「ファイル アクセス」のアクティブなアプリケーション制御ルールがないことを確認してください。イベント タイプ「ファイル アクセス」は、キャッシュの効率を低下させ、積極的なファイル IO インターセプトをトリガーするため、問題が発生することが知られています。ほぼすべてのファイルをハッシュ値と照合する必要がある場合、RDP 接続によってファイル IO 操作が遅くなる可能性があります。この操作のパフォーマンスの低下は避けられないため、ファイル ベースのハッシュ ブラック リストは、エンジン検出が追加されるまでの一時的な解決策としてのみ使用してください。ハッシュ値が悪意のあるものとしてフラグ付けされているかどうかを確認するには、 VirusTotalを使用できます。
RDP 接続で問題が発生する場合は、ハッシュ値を唯一の条件として使用するイベントタイプ「ファイル アクセス」のアプリケーション コントロールブロック アクションルールを使用せず、削除することをお勧めします。このようなルールは、問題が発生しないように有効にする場合のみ使用してください。または、ハッシュ値による除外は、「ファイル アクセス」ではなく、「アプリケーションの開始」または「モジュールの読み込み」イベント タイプを使用して実行できます。
上記の説明に一致するアプリケーション制御ルールがなく、RDP 接続の問題が引き続き発生する場合は、デスクトップ ウィンドウ マネージャー (dwm.exe) の競合状態バグが原因である可能性があります。
この問題を回避するには、すべてのセキュリティ機能から dwm.exe を除外することをお勧めします。Elements Endpoint Protection の除外を作成する例:
- Elements Security Center ポータルにログインします: https://elements.withsecure.com
- 左側のメニューからセキュリティ設定セクションを開きます
- プロフィールページへ
- デバイスで使用されているプロファイルを選択します
- 注:編集できるのはデフォルト以外のプロファイルのみです。
- 一般設定ページに移動します
- 「すべてのセキュリティスキャンからフォルダとファイルを除外する」セクションまでスクロールし、 「除外を追加」をクリックします。
- パスを追加します: C:/Windows/System32/dwm.exe
- 保存して公開をクリック
winlogon.exe は dwm.exe の親プロセスであるため、dwm.exe だけでは不十分な場合は、 C:\Windows\System32\winlogon.exeを除外することもできます。
Article no: 000042409
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.