陷阱3.3.3 更改默认行为
11292
Created On 09/25/18 19:03 PM - Last Modified 06/08/23 06:30 AM
Resolution
随着新的终结点版本的陷阱3.3.3 来对默认行为和一些解决问题的一些更改-请查看下面。
对开发保护策略的更改现在可以减少部署终结点安全管理器软件时所需的微调量。
以前, 开发保护策略使用了一种超敏感的方法来防止攻击。虽然这提供了尽可能好的覆盖率, 但这也导致了陷阱, 以防止某些合法应用程序的行为。
从陷阱3.3.3 开始, 开发保护策略现在利用多层保护功能, 并包含使用不同模块组合而不是各自功能的规则。这种方法在提供相同的总体检测、保护和预防功能的同时, 还可以实现更宽松的默认开发保护策略。为了提供这种方法, 一些模块的策略得到了改进和调整, 以便更好地区分合法和恶意行为。此外, 在较新的操作系统中不再相关的模块将被禁用。
升级到此版本的端点安全管理器后, 请检查当前策略并删除
任何冲突的用户定义规则. 这样可以确保对默认策略的更改生效。
- 默认情况下, 下列进程不再受保护 (对于完整列表, 请参阅进程保护):
升级到此版本的端点安全管理器后, 请查看当前策略并
从任何用户定义的规则中删除该进程. 然后, 从 "流程管理" 页中,
将下面列出的每个进程的保护类型更改为 "未保护" (请参阅"查看"、"修改" 或 "删除进程").
陷阱3.3.3 解决的问题
下表列出了在 Traps™3.3.3 发行版中固定的问题。对于陷阱3.3 中引入的新功能以及已知的问题和限制, 请参阅陷阱3.3 发布信息.
| 问题标识符 | 描述 |
|---|
| CYV-8722 | 修正了 VDI 工具的问题, 其中陷阱在某些非英语操作系统中本地化了后台智能传输服务 (BITS) 的名称。使用此修复程序, 将删除本地化要求。 |
| CYV-8658 | 修正了运行陷阱和 McAfee Solidcore 的机器上的问题, 导致线程注入停止响应。使用此修复程序, 代理现在将在使用 McAfee Solidcore 的计算机上禁用线程注入。 |
| CYV-8634 | 修正了在进程与非活动规则绑定时阻止用户删除受保护进程的问题。使用此修复程序, 当您升级 esm 服务器并从默认策略中删除该规则时, esm 服务器将删除该规则并将其归类为历史性的数据库, 这使您可以删除不再与规则绑定的受保护进程。 |
| CYV-8561 | 修正了运行陷阱和 McAfee Solidcore 的机器上的问题,当启用服务保护时, 运行 cytool 运行时停止命令将禁用保护, 导致计算机在陷阱无法加载 cyinjct 时显示致命的系统错误。X 文件。 |
| CYV-8331 | 修正了在子进程白名单中指定包含通配符的网络路径导致代理响应时间缓慢的问题。 |
| CYV-8276 | 修正了在配置要与软件版本匹配的条件时导致不相关匹配的 regex 机制的问题. |
| CYV-8200 | 修正了具有无效元数据的可执行文件损坏本地高速缓存的问题, 这导致陷阱在重新启动后删除完整的判决历史记录。使用此修复程序, 当元数据无效时, 陷阱会将其写入缓存中作为 N/A。 |
| CYV-8115 | 修正了将一个或多个安全事件导出到以逗号分隔的文件 (CSV) 导致文件损坏的问题。 |
| CYV-7956 | 修正了一个问题, 它在将许可证颁发给使用土耳其区域设置但包含英文字符的计算机上时, 可以防止陷阱解密。 |
| CYV-7921 | 修正了在 SQL server 无法访问时导致 ESM 服务器在服务器日志中报告错误消息的问题。 |
| CYV-7664 | 修正了运行陷阱和 McAfee Solidcore 的机器上的问题, 导致命令进程 (cmd.exe) 在注入失败后停止响应. |
对于陷阱3.3 发布信息或完整发行说明, 请访问https://www.paloaltonetworks.com/documentation/33/endpoint/endpoint-release-notes/traps-3-3-release-information.