Issue:
Så här felsöker du anslutningsproblem med Security Cloud.
Denna artikel gäller för följande produkter:
- Elements EPP för datorer
- Elements EPP för servrar
- Business Suite Client Security
- Business Suite Server Security
Resolution:
Vad är Security Cloud?
När Security Cloud är aktiverat på WithSecure- slutpunkt ansluts det till WithSecure Backend för att kontrollera rykte och andra objekt. WithSecure slutpunkt produkter har databasuppdateringar som kan upptäcka skadlig kod utan anslutning till molnet, men för att kontrollera ryktet behöver vi molnanslutning. Det finns den lokala cachen, men den kommer först från molnet, där vitlistan av falska positiva resultat görs.
Att inaktivera Security Cloud rekommenderas inte eftersom det finns många funktioner som är beroende av Security Cloud, som:
- DeepGuard med molnanslutning:
Osignerade processer som rapporteras som betrodda av ORSP kommer att uteslutas från djupövervakning av DeepGuard
- DeepGuard utan molnanslutning:
Stora prestandaförluster i driften av applikationer från tredje part
Osignerade filer kommer inte att exkluderas
- Programkontroll med molnanslutning:
Regler beroende på prevalensvärdering och rykte kommer att fungera bra
- Programkontroll utan molnanslutning:
Osignerade filer som rapporteras som betrodda av ORSP kommer att uteslutas från genomsökning av lokala motorer
Regler beroende på prevalens och rykte kommer inte att fungera
Funktionen fungerar delvis inte
- Filskanning med molnanslutning:
Osignerade filer som rapporterats som betrodda av ORSP kommer att uteslutas från genomsökning av lokal motor
- Filskanning utan molnanslutning:
Osignerade filer kommer inte att exkluderas
Viss prestanda förloras vid filåtkomst
- Surfskydd med molnanslutning:
Fungerar utan begränsningar
- Surfskydd med molnanslutning:
Fungerar inte alls eftersom funktioner helt beror på Security Cloud
Funktionen fungerar delvis inte
- Webbtrafikskanning med molnanslutning:
För webbadresser som rapporteras som betrodda och vanliga av ORSP-innehåll som returneras av servern kommer att skannas
- Webbtrafiksökning utan molnanslutning:
WTS kommer att genomsökning alla svar på alla webbadresser som fångas upp och orsaka stora prestandaproblem
Stora prestandaproblem vid webbsurfning
Hur fungerar WithSecure Security-molnet?
Säkerhetsmolnet samlar in information om okända applikationer och webbplatser, skadliga applikationer och skadliga aktiviteter som utnyttjande informationen från användare av webbplatser. När du prenumererar på Security Cloud samlar vi in viktig information så att vi kan förse dig med de säkerhetstjänster du prenumererar på och förbättra säkerheten för våra andra tjänster. Av denna anledning, och för driften av våra tjänster, måste vi samla in säkerhetsinformation om okända filer, misstänkt enhetsaktivitet eller besökta webbadresser.
Security Cloud övervakar inte din internetanvändning och samlar inte in information om webbplatser som redan har analyserats eller om osäkra applikationer installerade på din dator.
Hur felsöker jag anslutningsproblem relaterade till säkerhetsmolnet?
När du aktiverar Security Cloud måste du även vitlista följande domäner på din brandvägg, eftersom slutpunkterna måste kommunicera med Security Cloud.
- *.f-secure.com
- *.fsapi.com
Obs: De domäner som nämns ovan måste vitlistas till din brandvägg eller proxy. Om du har aktiverat någon proxy i din miljö, läser klienten den via upptäcktstjänsten och försöker ansluta till *.fsapi.com genom den.
Klienten skriver att informationen i registret:
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
"value"=(REG_SZ):http://proxy.example.intern:3128
"access"=(REG_DWORD):1 Exempel när nätverksfrågor misslyckas med att ansluta till F-Secure back-end, från fsscorplug.log kommer du att se hur klienten försöker ansluta till en av våra serverdel servrar och misslyckas:
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus: fel på handtag 0000023C45E27C50 5 Kunde inte lösa proxy: proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http fel 111 (5) för http uppgift 0000023C45E9AC20, tid 4AC20
2021-11-12 17:40:30.152 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: winrpc-anrop slutfört fel 111
2021-11-12 17:40:31.751 [15c0.1d1c] I: fs::xrssdk::DoormanCache::uppdatering: nedkylning av dörrvakten är avstängd, ttl: 15, fserr: 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus: fel på handtag 0000023C468C1D90 28 Operationen tog en timeout efter 1006 millisekunder med 0 byte mottagna
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs::xrssdk::HTTPQueryTask::update_http_stats: http fel 201 (28) för http uppgift 0000023C45E767006, ms tid 167906
2021-11-12 17:43:02.424 [15c0.1d1c] .W: ipc_impl::on_async_complete_ex: winrpc-anrop slutfört err 201
2021-11-12 17:48:02.964 [15c0.1fe8] I: ipc_impl::stopRpcServer: MSRPC Server stoppad
Loggen kan innehålla fserr 101 eller 218 som är faktiska nätverksfel.
Loggen visar några resultat från cache, eftersom frågorna lagras i 2 timmar i cache, vilket betyder att om du bara tillåtit våra domäner i brandvägg kommer klienten fortfarande att använda cache-frågor i ytterligare 2 timmar. Cacherensning är för snabbare resultat för att testa anslutningen. du kan rensa cachen direkt från klienten enligt följande:
- Öppna en kommandotolk med administratör
- Stoppa nätverksvärden: net stop fsulnethoster
- Ta bort alla filer från "C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor"
- Starta nätverksvärd: netstart "fsulnethoster
Om du har tillåtit *.f-secure.com och *.fsapi.com i din brandvägg kan du testa anslutningen på två sätt:
- Öppnar webbadresserna på webbläsaren och de ska svara med ok
- Använd F-Secure Connectivity Tool, som är tillgängligt i installationsmapparna för Elements Endpoint Protection (EPP för datorer och EPP för servrar), Business Client Security och Business Suite Server Security. Med verktyget kan du se listan över adresser produkten ansluter till och kontrollera anslutningen mot dem.
Obs: För klientsäkerhet är verktyget tillgängligt i 15.20 och senare versioner, och för Server Security 15.10 och senare.
Verktyget finns i följande mapp:- Klientsäkerhet: C:\Program Files (x86)\F-Secure\Client Security\ui\fsconnectionchecker.exe
- Serversäkerhet: C:\Program Files (x86)\F-Secure\Server Security\ui\fsconnectionchecker.exe
- Elements EPP för datorer och EPP för servrar: C:\Program Files (x86)\F-Secure\PSB\ui\fsconnectionchecker.exe
För äldre versioner av Client Security och Server Security kan du ladda ner verktyget här: https://download.sp.f-secure.com/connectivitytool/ConnectionChecker.exe
Vad loggar gör bör kontrolleras vid sådant beteende?
fsscorplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: Väntan misslyckades: 258
.W: fs::rs::WinSocket::Impl::connect: Timeout för anslutning: doorman.sc.fsapi.com
CcfPluginState.log
.W: Filter2::ContentFilter2State::ReplyDriverMessage: Det gick inte att svara meddelande 2222
orspplug.log
.W: fs::rs::WinSocket::Impl::waitForConnection: Väntan misslyckades: 258
.W: fs::rs::WinSocket::Impl::connect: Timeout för anslutning: doorman.sc.fsapi.com
DeepGuard.log
.W: SecurityCloud::Fråga: ORSP misslyckades för 0dac68816ae7c09efc24d11c27c3274dfd147dee (0, 0)
.W: SecurityCloud::Fråga: För många på varandra följande ORSP-fel. Ytterligare felloggar kommer att döljas
.W: SecurityCloud::Fråga: ORSP-frågan tog 3016ms
transportAgent.log (endast e-post- och serversäkerhet)
.W: FSecure.Ess.Fsscore.Client: FSSCORE-fråga för URL('http://schemas.microsoft.com/office/2004/12/xxxx') Misslyckades, error=Timeout
.W: FSecure.AntiVirus.Exchange.Transport.FSMessageScanner: Kan inte få ett svar från FSSCORE. Följande webbadresser kommer inte att skannas
Article no: 000035235
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.