Issue:
När en WithSecure- slutpunkt är installerad på en dator eller server är det hög CPU-användning och applikationer har prestandaproblem. Anslutningen för vissa applikationer kan också vara långsam eller blockeras helt.
Problemet påverkar alla WithSecure-klienter:
- Elements Endpoint Protection EPP för datorer
- Elements Endpoint Protection EPP för servrar
- Business Suite Client Security
- Business Suite Server Security
- Business Suite E-post och Serversäkerhet
Resolution:
Prestandaproblem kan till exempel vara resultatet av:
- Anslutningsproblem till säkerhetsmolnet
- Felkonfigurerad applikationskontroll
- Server Share-skydd
Anslutningsproblem till säkerhetsmolnet
Vad är Security Cloud?
När Security Cloud är aktiverat på WithSecure- slutpunkt ansluts det till WithSecure Backend för att kontrollera rykte och andra objekt. WithSecure slutpunkt produkter har databasuppdateringar som kan upptäcka skadlig kod utan anslutning till molnet, men för att kontrollera ryktet behöver vi molnanslutning. Det finns den lokala cachen, men den kommer först från molnet, där vitlistan av falska positiva resultat görs.
Att inaktivera Security Cloud rekommenderas inte eftersom det finns många funktioner som är beroende av Security Cloud, som:- DeepGuard med molnanslutning:
Osignerade processer som rapporteras som betrodda av ORSP kommer att uteslutas från djupövervakning av DeepGuard- DeepGuard utan molnanslutning:
Stora prestandaförluster i driften av applikationer från tredje part
Osignerade filer kommer inte att exkluderas- Programkontroll med molnanslutning:
Regler beroende på prevalensvärdering och rykte kommer att fungera bra- Programkontroll utan molnanslutning:
Osignerade filer som rapporteras som betrodda av ORSP kommer att uteslutas från genomsökning av lokala motorer
Regler beroende på prevalens och rykte kommer inte att fungera
Funktionen fungerar delvis inte- Filskanning med molnanslutning:
Osignerade filer som rapporterats som betrodda av ORSP kommer att uteslutas från genomsökning av lokal motor- Filskanning utan molnanslutning:
Osignerade filer kommer inte att exkluderas
Viss prestanda förloras vid filåtkomst- Surfskydd med molnanslutning:
Fungerar utan begränsningar- Surfskydd utan molnanslutning:
Fungerar inte alls eftersom funktioner helt beror på Security Cloud
Funktionen fungerar delvis inte- Webbtrafikskanning med molnanslutning:
För webbadresser som rapporteras som betrodda och vanliga av ORSP-innehåll som returneras av servern kommer att skannas- Webbtrafiksökning utan molnanslutning:
WTS kommer att genomsökning alla svar på alla webbadresser som fångas upp och orsaka stora prestandaproblem
Stora prestandaproblem vid webbsurfning
Hur fungerar WithSecure Security-molnet?
Säkerhetsmolnet samlar in information om okända applikationer och webbplatser, skadliga applikationer och skadliga aktiviteter som utnyttjande informationen från användare av webbplatser. När du prenumererar på Security Cloud samlar vi in viktig information så att vi kan förse dig med de säkerhetstjänster du prenumererar på och förbättra säkerheten för våra andra tjänster. Av denna anledning, och för driften av våra tjänster, måste vi samla in säkerhetsinformation om okända filer, misstänkt enhetsaktivitet eller besökta webbadresser.
Security Cloud övervakar inte din internetanvändning och samlar inte in information om webbplatser som redan har analyserats eller om osäkra applikationer installerade på din dator.
Hur felsöker jag anslutningsproblem relaterade till säkerhetsmolnet?
När du aktiverar Security Cloud måste du även vitlista följande domäner på din brandvägg, eftersom slutpunkterna måste kommunicera med Security Cloud.- *.f-secure.com
- *.fsapi.com
Obs: De domäner som nämns ovan måste vitlistas till din brandvägg eller proxy. Om du har aktiverat någon proxy i din miljö, läser klienten den via upptäcktstjänsten och försöker ansluta till *.fsapi.com genom den.
Klienten skriver att informationen i registret:
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
"value"=(REG_SZ):http://proxy.example.intern:3128
"access"=(REG_DWORD):1
Exempel när nätverksfrågor misslyckas med att ansluta till WithSecure back-end, från fsscorplug.log kommer du att se hur klienten försöker ansluta till en av våra serverdel servrar och misslyckas:
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus: fel på handtag 0000023C45E27C50 5 Kunde inte lösa proxy: proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http fel 111 (5) för http uppgift 0000023C45E9AC20, tid 4AC20
2021-11-12 17:40:30.152 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: winrpc-anrop slutfört fel 111
2021-11-12 17:40:31.751 [15c0.1d1c] I: fs::xrssdk::DoormanCache::uppdatering: nedkylning av dörrvakten är avstängd, ttl: 15, fserr: 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus: fel på handtag 0000023C468C1D90 28 Operationen tog en timeout efter 1006 millisekunder med 0 byte mottagna
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http fel 201 (28) för http uppgift 0000023C45E767006, ms tid 167906
2021-11-12 17:43:02.424 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: winrpc-anrop slutfört err 201
2021-11-12 17:48:02.964 [15c0.1fe8] I: ipc_impl::stopRpcServer: MSRPC Server stoppad
Loggen kan innehålla fserr 101 eller 218 som är faktiska nätverksfel.
Loggen visar några resultat från cache, eftersom frågorna lagras i 2 timmar i cache, vilket betyder att om du bara tillåtit våra domäner i brandvägg kommer klienten fortfarande att använda cache-frågor i ytterligare 2 timmar. Cacherensning är för snabbare resultat för att testa anslutningen. du kan rensa cachen direkt från klienten enligt följande:- Öppna en kommandotolk med administratör
- Stoppa nätverksvärden: net stop fsulnethoster
- Ta bort alla filer från "C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor"
- Starta nätverksvärd: netstart "fsulnethoster
Om problemet kvarstår ska du också rensa Doorman-cachen:- Öppna en kommandotolk som administratör
- Stoppa tjänsterna genom att köra kommandon:
- nätstopp fsulhoster
- nätstopp fsulnethoster
- Öppna Windows Registereditorn (regedit), säkerhetskopiera och rensa värden under
- HKEY_USERS\S-1-5-20\SOFTWARE\F-Secure\Ultralight\ Doorman
- Ta bort alla filer från "C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor"
- Starta tjänsterna genom att köra kommandon:
- net start fsulhoster
- net start fsulnethoster
Om du har tillåtit *.f-secure.com och *.fsapi.com i din brandvägg kan du testa anslutningen på två sätt:- Öppnar webbadresserna på webbläsaren och de ska svara med ok
https://baseguard.doorman.fsapi.com/doorman/v1/healthcheck
https://doorman.sc.fsapi.com/doorman/v1/healthcheck
https://a.karma.sc2.fsapi.com/healthcheck- Använd WithSecure Connectivity Tool, som är tillgängligt i installationsmapparna för Elements Endpoint Protection (EPP för datorer och EPP för servrar), Business Client Security och Business Suite Server Security. Med verktyget kan du se listan över adresser produkten ansluter till och kontrollera anslutningen mot dem.
Obs: För klientsäkerhet är verktyget tillgängligt i 15.20 och senare versioner, och för Server Security 15.10 och senare.
Verktyget finns i följande mapp:- Klientsäkerhet: C:\Program Files (x86)\F-Secure\Client Security\ui\fsconnectionchecker.exe
- Serversäkerhet: C:\Program Files (x86)\F-Secure\Server Security\ui\fsconnectionchecker.exe
- Elements EPP för datorer och EPP för servrar: C:\Program Files (x86)\F-Secure\PSB\ui\fsconnectionchecker.exe
För äldre versioner av Client Security och Server Security kan du ladda ner verktyget här: https://download.sp.f-secure.com/connectivitytool/ConnectionChecker.exe
Vad loggar gör bör kontrolleras vid sådant beteende?
fsscorplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: Väntan misslyckades: 258
.W: fs::rs::WinSocket::Impl::connect: Timeout för anslutning: doorman.sc.fsapi.com
CcfPluginState.log
.W: Filter2::ContentFilter2State::ReplyDriverMessage: Det gick inte att svara meddelande 2222
orspplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: Väntan misslyckades: 258
.W: fs::rs::WinSocket::Impl::connect: Timeout för anslutning: doorman.sc.fsapi.com
DeepGuard.log
.W: SecurityCloud::Fråga: ORSP misslyckades för 0dac68816ae7c09efc24d11c27c3274dfd147dee (0, 0)
.W: SecurityCloud::Fråga: För många på varandra följande ORSP-fel. Ytterligare felloggar kommer att döljas
.W: SecurityCloud::Fråga: ORSP-frågan tog 3016ms
transportAgent.log (endast e-post- och serversäkerhet)
.W: FSecure.Ess.Fsscore.Client: FSSCORE-fråga för URL('http://schemas.microsoft.com/office/2004/12/xxxx') Misslyckades, error=Timeout
.W: FSecure.AntiVirus.Exchange.Transport.FSMessageScanner: Kan inte få ett svar från FSSCORE. Följande webbadresser kommer inte att skannas
Felkonfigurerad applikationskontroll
Om du har en premiumprenumeration på Business Suite eller Elements Endpoint Protection kommer den att inkludera funktionen Application Control.
Om produkten använder höga mängder CPU-prestanda, se till att du inte har ställt in den globala regeln för programkontroll som Tillåt och övervaka alla program . Den här inställningen bör endast användas under testning för att ta reda på vilka applikationer som behöver undantagsregler, eftersom det kommer att påverka enhetens prestanda.
Se också till att du inte har skapat undantagsregler för programkontroll som bara inkluderar en SHA1 som ett villkor, eftersom beräkningen av SHA1 kommer att kräva viss CPU-prestanda. Vi rekommenderar att andra villkor används i samband med SHA1-villkoret.
Serverdelningsskydd
Elements Endpoint Protection for Servers har en Server Share Protection- funktion. Om du har aktiverat det på din Elements EPP for Servers-installation, försök att inaktivera Tillåt och rapportläge för det:
- Logga in på Elements Endpoint Protection-portalen
- Gå till profilsidan
- Gå till fliken För Windows-servrar
- Välj den profil du vill redigera
- Gå till inställningssidan för serverdelningsskydd
- Inaktivera Tillåt och rapportera läge
- Klicka på Spara och publicera
Starta om servern efter att ha inaktiverat funktionen och se om CPU-användningen har minskat. Om inte, försök att inaktivera funktionen Server Share Protection helt.
Article no: 000030468
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.