Symantec Endpoint Protection 的已知问题与解决方法

此部分中的项目适用于此版本的
Symantec Endpoint Protection
升级问题
问题
描述和解决方案
由于 LiveUpdate 在升级期间不运行,所以暗网中的
Symantec Endpoint Protection Manager
将旧的客户端入侵检测系统 (CIDS) 内容下载到新客户端 [14.3 RU1]
当 14.3 RU1 Symantec Endpoint Protection Manager 无法访问 Internet 或 LiveUpdate Administrator (LUA) 服务器时,会在缓存中保留旧的不兼容内容。此旧内容通常会传送给新客户端。若要更新管理服务器缓存中的内容,请手动下载经认证的病毒定义和 CIDS .jdb 文件。[SEP-69125]
若要确保新客户端不会获取旧内容,请先在 SEPM 上手动安装 CIDS .jdb 文件,然后再安装新客户端或升级旧客户端。
禁用网络接口卡后,无法登录 Symantec Endpoint Protection Manager (SEPM) [14.3 RU1]
如果在安装 Symantec Endpoint Protection Manager 后,无法登录到控制台,并出现以下错误消息:
意外服务器错误
如果在安装 SEPM 时禁用了计算机的网络接口卡,可能会出现此问题,因为禁用网络接口卡会阻止服务器证书生成。[SEP-67040]
若要了解在安装 SEPM 时是否禁用了网络接口卡,请查看服务器证书。
卸载 SEPM 并使用相关选项删除默认数据库并离开 SQL Server Express 实例时,以下错误将显示:“
试图连接至数据库服务器时出现错误
”[14.3 RU1]
如果卸载 Symantec Endpoint Protection Manager 并选择“
Remove only the DB and leave the SQL Server Express instance installed with SEPM
”(仅删除数据库并使 SQL Server Express 实例仍与 SEPM 安装在一起)选项,则可能会看到以下错误:“
试图连接至数据库服务器时出现错误
”。添加默认用户 DBA 的凭据后,将发生此问题,其可能与用户权限有关。[SEP-68670]
若要解决此问题,请通过运行 SEPM setup.exe 文件并在安装期间单击“
Remove only the DB and leave the SQL Server Express instance installed with SEPM
”(仅删除数据库并使 SQL Server Express 实例仍与 SEPM 安装在一起)选项,来执行卸载。
启用 FIPS 模式后,SQL Server 从 2017 版升级到 2019 版失败 [14.3]
您可能会看到错误:“发生了以下错误。安装扩展性功能时发生错误,并显示错误消息:AppContainer 创建失败,并显示错误消息 NONE,状态。此实现不是 Windows Platform FIPS 验证的加密算法的一部分。” 如果您具有启用 FIPS 的 Symantec Endpoint Protection Manager 14.3,并且从 Microsoft SQL Server 2017 升级到 2019,则将发生这种情况。[SEP-61473]
若绕过此问题,请在操作系统级别禁用 FIPS:
  1. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
    中,请单击“
    本地安全策略
    ”>“
    本地策略
    ”>“
    安全选项
    ”,并禁用“
    系统加密: 将 FIPS 兼容算法用于加密、哈希和签名
  2. 从 SQL Server 版本 2017 升级到版本 2019。
  3. SQL Server 成功升级后,重新启用 FIPS。
在升级到 14.2 或更高版本期间,自定义名称可能会导致防火墙策略无法更新
升级到 Symantec Endpoint Protection 14.2 或更高版本时,如果更改了某些默认名称,则防火墙策略无法合并 IPv6 的更改。默认名称包括默认策略名称和默认规则名称。如果在升级期间无法更新规则,则不会显示 IPv6 选项。在升级后创建的任何新策略或规则不受影响。
如果可能,请将任何更改的名称恢复为默认名称。否则,请确保您添加到默认策略的任何自定义规则不会以任何方式阻止 IPv6 通信。请确保您添加的任何新策略或规则也是如此。
Symantec Endpoint Protection Manager 问题
问题
描述和解决方案
某些 EDR 事件不显示在客户端上 [14.3 RU1]
Symantec Endpoint Protection 必须在 Windows 10 内部版本 14393 或更高版本上运行,才能收集 Symantec EDR Windows 事件跟踪 (ETW) 事件。[SEP-67175]
网络流量重定向功能有一些限制 [14.3 RU1]
  • Symantec Web Security Service 支持 IPv4,但不支持 IPv6。[SEP-68700]
  • 隧道重定向方法:
    • 仅在 Windows 10 x64 版本 1703 及更高版本(半年服务频道)上运行。此方法不支持任何其他 Windows 操作系统或 Mac 客户端。[SEP-67927]
    • 不支持启用 HVCI 的 Windows 10 64 位设备[SEP-67648]
    • Symantec Endpoint Protection
      客户端的出站流量重定向到 WSS,然后再由客户端的防火墙或 URL 信誉规则评估。而是根据 WSS 防火墙和 URL 规则评估该流量。例如,如果 SEP 客户端防火墙规则禁止 google.com,而 WSS 规则允许 google.com,则客户端将允许用户访问 google.com。客户端的入站本地流量仍由
      Symantec Endpoint Protection
      防火墙处理。[SEP-67488]
    • WSS 漫游强制网络门户不适用于隧道方法,客户端将忽略质询凭据。在将来的版本中,WSS Agent 中的 SAML 身份验证将替代漫游强制网络门户,并在
      Symantec Endpoint Protection
      客户端中提供。
    • 如果客户端计算机使用隧道方法连接到 WSS 并托管虚拟机,则每个访客用户都需要安装 WSS 门户中提供的 SSL 证书。
    • 本地网络(如主目录或 Active Directory 身份验证)的流量不会重定向。
    • 与 Microsoft DirectAccess VPN 不兼容。
隧道方法当前被视为测试版功能。
从 14.2.x 升级到 14.3 MP1 及更高版本后有重复的代理注册条目 [14.3 RU1]
将 Symantec Endpoint Protection 客户端从 14.2.x 升级到 14.3 MP1 及更高版本会在 Symantec Endpoint Protection Manager 中的“
客户端
”页面上为这些客户端创建重复的代理注册条目。
没有功能影响,您可以继续使用 14.3 RU1 客户端的新条目。Symantec Endpoint Protection Manager 将删除较旧的代理条目。
如果使用混合管理选项、代理服务器或外围防火墙,则在 Symantec Endpoint Security 中允许 URL [14.3]
由于 Broadcom 收购了 Symantec Enterprise Security,用于客户端与云通信的 URL 在 14.2.2.1 中发生了变化。[CDM-42467]
您必须在以下情况下将客户端升级到内部版本 14.2.5569.2100 或更高版本
  • 当在云控制台中注册内部部署 Symantec Endpoint Protection Manager 域时,您可以使用 Symantec Endpoint Security 管理客户端和策略
  • 需要使用代理服务器。
在完全云管理或混合管理的代理中允许 URL,在代理服务器和/或外围防火墙中允许它们。
Symantec Endpoint Protection Manager 远程控制台不再支持 32 位 Windows 平台 [14.3]
在 14.3 及更高版本中,如果运行 32 位版本的 Windows,则无法登录到 Symantec Endpoint Protection Manager 远程控制台。Oracle Java SE Runtime Environment 不再支持 32 位版本的 Microsoft Windows。[SEP-61106]
如果看到以下消息,请从本地登录 Symantec Endpoint Protection Manager:
“此版本的 C:\Users\Administrator\Downloads\Symantec Endpoint Protection Manager Console\bin\javaw.exe 与您运行的 Windows 版本不兼容。请检查计算机的系统信息,然后联系软件发行者。”
安装 Symantec Endpoint Protection Manager 时“无法安装 Microsoft Visual C++ Runtime”错误显示 [14.3]
在 Windows 2012 R2 上安装 Symantec Endpoint Protection Manager 时,您可能会看到以下错误:“无法安装 Microsoft Visual C++ Runtime”[SEP-60396]
若要解决此问题,请激活 Windows 并安装 Windows 更新。Windows 更新将安装 Visual C++ 2017 可再发行软件包,这是在 Windows 2012 R2 上安装 Symantec Endpoint Protection Manager 14.3 的先决条件。
更新以在 Windows 的 WinHTTP 中将 TLS 1.1 和 TLS 1.2 启用为默认安全协议 [14.3]
升级到或安装在云控制台中注册的 Symantec Endpoint Protection Manager 版本 14.3 后,管理服务器再无法将日志成功上传到云中。在 uploader.log 中,您可能会看到以下错误:
<SEVERE> WinHttpSendRequest: 12175: A security error occurred
出现此问题是因为缺失为 TLS 1.1 和 1.2 提供支持的 Microsoft 更新。
要解决此问题,请安装 Microsoft 更新:KB3140245。有关详细信息,请参见:
客户端收到 Endpoint Threat Defense for AD 的已更新策略后,“正在进行部署”仍显示在 Symantec Endpoint Protection Manager 中 [14.2 RU1 MP1 及更高版本]
这是预期行为。自版本 14.2 RU1 MP1 起,客户端才支持 Endpoint Threat Defense for AD 3.3 策略。
将 Symantec Endpoint Threat Defense for Active Directory 3.3 的策略应用于组。此组包含一些运行 Symantec Endpoint Protection 14.2 RU1 或更早版本的客户端。这些客户端会按预期收到并应用策略,但 Symantec Endpoint Protection Manager 中的状态仍继续显示消息“正在进行部署”。
Windows、Mac 和 Linux 客户端问题
问题
描述和解决方案
用于干净安装的升级安装包将安装默认功能集。[14.3 RU1 MP1 及更早版本]
如果在选中“
更新时保留现有客户端功能
”选项时创建升级安装包,并使用此软件包执行干净安装,默认功能集将安装在客户端设备上。
如果要安装自定义功能集,则必须为干净安装创建单独的安装包。
Symantec Agent for Linux 安装程序日志中消息不正确。[14.3 RU1]
在某些情况下,代理安装程序记录不正确的与非匹配驱动程序版本或所需重新启动相关的消息。
这些消息不会影响代理的功能。
在 SuSe Linux 设备上,zypper 删除“at”软件包时也会删除 SEP Linux 客户端软件包。[14.3 RU1]
在 SuSe Linux 设备上,命令“zypper remove at”将删除 SEP Linux 客户端软件包,因为“at”软件包被添加为必需的相关软件包,并且 zypper 命令自动尝试将 SEP 客户端软件包“sdcs-kmod”和“sdcs-sepagent”作为具有未用依赖性的软件包来删除。
解决方法
:要删除“at”软件包,请运行以下命令:rpm -e --nodeps at
macOS 10.15 及更高版本的升级问题 [14.3 MP1]
在 macOS 10.15 及更高版本中,客户端部署向导中的“
将 Symantec Endpoint Protection 安装到远程计算机
”功能无法将 Symantec Endpoint Protection 客户端从旧版本升级到版本 14.3 MP1。
解决方法
:使用“
Symantec Endpoint Protection Manager 自动升级
”在 macOS 10.15 及更高版本上执行 Symantec Endpoint Protection 客户端升级。
Symantec Endpoint Protection 14.3 Windows 客户端安装可能会失败,除非您先安装了 SHA-2 支持 [14.3]
如果运行旧版操作系统版本(Windows 7 RTM 或 SP1、Windows Server 2008 R2 或 R2 SP1 或 R2 SP2),则需要在您的设备上安装 SHA-2 代码签名支持,才能安装 2019 年 7 月或之后发布的 Windows 更新。没有 SHA-2 支持,Windows 客户端安装有时会失败。无论您是首次安装客户端还是从以前的版本自动升级,安装都可能会失败。[SEP-61175/61403]
要获得 Microsoft 强制性 SHA-2 代码签名支持,请参阅:
Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求
安装在启用 UWF 的 Windows 10 1803 上时,Symantec Endpoint Protection Windows 客户端无法运行 [14.3]
统一写入过滤器 (UWF) 已启用并保护安装 Windows 客户端的驱动器时,如果 Symantec Endpoint Protection 客户端在 Windows 10 RS4 1803 32 位操作系统上运行,则客户端无法正常运行。此 Windows 操作系统包含阻止 Windows 客户端运行的 UWF 缺陷。
要解决此问题:
启用 WSS 流量重定向的 Mac 客户端不对 LiveUpdate 采用自定义代理设置 [14.2 RU1 MP1 及更高版本]
已将 Symantec Endpoint Protection 14.2 RU1 MP1 或更高版本的受管 Mac 客户端配置为通过外部通信设置对 LiveUpdate 使用自定义代理设置。但是,通过 Symantec Endpoint Protection Manager 策略为 Mac 客户端启用 WSS 流量重定向 (WTR) 后,您会发现 LiveUpdate 通信不再采用您的自定义代理设置。而是,LiveUpdate 尝试直接连接。
要解决此问题,请在禁用 WSS 流量重定向时对 LiveUpdate 使用自定义代理设置。
在启用了加固的情况下,Microsoft Edge 意外允许下载 PDF [14.2 RU1 MP1 及更高版本]
在 Symantec Endpoint Protection 客户端中启用应用程序加固的情况下,如果使用 Microsoft Edge 浏览器,您会意外地能够下载 PDF 文件。使用其他浏览器时,会正常阻止下载 PDF 文件。
计划在未来版本中修复此问题。
Broadcom 最近宣布 Symantec 企业保护已正式加入 Broadcom,所以 Symantec 已将文档迁移到 Broadcom Symantec 安全技术文档门户
要查找 Endpoint Protection 文档,请单击“
Symantec 安全软件
”选项卡,然后单击“
端点安全和管理
”>“
端点保护
”。
文档问题
问题
描述和解决方案
使用指南文章已过期。
作为 Symantec Endpoint Protection Manager 帮助主题的副本,使用指南文章已重新发布在“端点保护”网站上,现在有不同的 URL。
要查找文章,请使用“
搜索
”字段。
PDF 文件
Symantec 在 DOC 文章上发布了所有 PDF 文件。这些页面已过期。
要查找 PDF 文件的最新版本,请转到“相关文档”页面。将来,Broadcom 将添加旧版 PDF 文件和翻译的 PDF 文件。
有关已解决的问题,请参阅: