Installationshürden: TrendMicro Apex CENTRAL / Apex ONE

Bei der Installation von Trend Micro Apex CENTRAL / Apex ONE treten immer wieder verschiedene Probleme auf. Mit diesem Artikel möchten wir Ihnen eine kleine Hilfe anbieten, wie Sie zumindest einige davon umschiffen können. Bei weiteren Fragen wenden Sie sich gern an uns!

Ein funktionierender Virenschutz ist essentiell, um Ihre IT-Systeme gegen einen großen Teil der gängigen Angriffe abzusichern. Wir bieten Ihnen umfassende Beratung, Umsetzung und laufende Prüfung für Ihre Anti-Viren-Systeme und Malware-Scanner.

IT-Sicherheit - SYMPLASSON Informationstechnik

Verteilung der Installation

TrendMicro empfiehlt die Verteilung der Installation von TrendMicro Apex ONE und Apex CENTRAL auf zwei verschiedene Server.
Ist dieses erledigt und sind die entsprechenden Funktionen miteinander verbunden, ist aber noch längst nicht alles erledigt.

Damit aus Apex Central heraus Policies für die Vulnerability Protection an Endgeräte verteilt werden können, muss auf dem Server, auf dem Apex ONE läuft, der Dienst "Trend Micro Vulnerability Protection Service" laufen. (Dieser sollte auf "automatisch" umgestellt werden) und wird sonst nicht mit gestartet!

Eigene Zertifikate und Dienst-Start-Probleme

Sollten an dieser Stelle allerdings Zertifikate einer eigenen CA verwendet werden, kann es dazu kommen, dass der "Trend Micro Vulnerability Protection Service" nach dem Start sofort wieder anhält:

TrendMicro Dienst / Service stoppt unerwartet, wenn der Schlüssel im Zertifikatsspeicher nicht exportierbar ist

Das Problem liegt an dieser Stelle darin, dass der private Schlüssel nicht als aus dem Zertifikatsspeicher exportierbar markiert wurde. Die entsprechende Anleitung zur Lösung findet sich hier: (Cannot start Apex One Vulnerability Protection Service Agent after CA change (trendmicro.com).

Nachdem diese Hürde genommen wurde, muss die Verteilung der Policy aber nicht zwangsläufig funktionieren. In unserem Fall stand die Policy auf "Waiting for product agent":

Die Verteilung der TrendMicro Policy startet nicht: "Wainting for product agent"

Auch wenn die Verteilung von Policies ihre Zeit benötigt: In diesem Fall änderte sich der Status nicht.

Mögliche Ursache könnten zu viele Anfragen an den IIS-Server des Windows Systems sein, auf dem der Apex ONE Dienst läuft. Auch dazu liefert Trend Micro einen Lösungsansatz: https://success.trendmicro.com/solution/000250835.

Das war in unserem Fall leider noch nicht die Ursache, allerdings ist es vermutlich trotzdem sinnvoll, die von Trend Micro  im obigen Artikel vorgeschlagenen Anpassungen im Application Pool für OfficeScan_iAC_AppPool and OfficeScan_iVP_AppPool vorzunehmen (Queue Length und Maximum Worker Processes).

Das Problem besteht allerdings weiterhin und im Log des Apex Central Servers (\Control Manager\WebUI\WebApp\widget\repository\log\Diagnostic.log) findet sich folgende Einträge:

2022-01-11T17:30:01+01:00,ERROR,null,null,[modOSCE IACProxy][send_policy_to_osce_server]iAC server response Success
2022-01-11T17:30:01+01:00,ERROR,null,null,[modOSCE IACProxy][send_policy_flag_to_tmcm_server]CMEF server response Succes

Das sieht ja eigentlich ganz gut aus, aber anschließend findet sich der folgende Fehler:

2022-01-11T17:36:26+01:00,INFO,null,null,<br />

<b>Warning</b>: Invalid argument supplied for foreach() in <b>D:\Programme\Trendmicro\Control Manager\WebUI\WebApp\widget\inc\class\proxy\BaseProxy.abstract.php</b> on line <b>176</b><br /><br />

Ob dieser Fehler etwas mit unserem Problem zu tun hat, konnten wir noch nicht abschließend klären.

Festzuhalten bleibt aus unserer Sicht allerdings: Das Zusammenspiel zwischen Trend Micro Apex ONE und Apex CENTRAL ist immer wieder spannend und die Installation lief bisher bei keinem Kunden ohne Herausforderungen (ja, die lieben wir) durch.

Wenn wir weitere Informationen erhalten, werden wir diese hier zur Verfügung stellen.

Hornetsecurity: Der Unterschied zwischen Inhalt und Berechtigungen im Quarantäne-Bericht

Liebe Leser, wir finden die Einstellungsmöglichkeiten in der Verwaltung von Hornetsecurity einfach gut. Aber manchmal finden wir sie auch einfach nicht 😉

Heute geht um die Einstellungen für die Inhalte der Threat-Report-Mails. Die grundsätzlichen Darstellungsmöglichkeiten für Report-Mails haben wir ja schon im letzten Artikel beschrieben.

Typen von Mails in der Quarantäne

Zum Verständnis: Es gibt 4 Typen von E-Mails, die in der Quarantäne landen können:

In den Quarantäne-Report-Mails, die die Anwender bekommen, könnt ihr zum Einen definieren, welche der obigen vier Typen von Mails überhaupt angezeigt werden, und zum Anderen könnt ihr definieren, welche davon sich ein Anwender zustellen darf. (Die „nicht erlaubten“ Mail-Typen können aber immer noch von einem Admin zugestellt werden, aus Sicherheitsgründen aber nicht vom Anwender).

Wo stelle ich das denn jetzt ein?

Die in der Threat-Report-Mail angezeigten Mail-Type verstecken sich unter „Sicherheitseinstellungen“, „Quarantine Report“ und gehen dann auf der Seite etwas unter (3):

Hornetsecurity Quarantäne Report Einstellungen

Die Berechtigung, welche Mail-Typen sich die Anwender selbst zustellen dürfen, findet sich …….ganz woanders (sorry, hat jetzt etwas gedauert, ich musste wieder suchen 😉):

„Sicherheiteinstellung“, „Spam and Malware Protection“, Reiter „Benutzerrechte“

Hornetsecurity Sicherheitseinstellungen für Spam- und Malware-Protection

Die hier getroffenen Einstellungen gelten für ALLE Benutzer. Benutzerspezifische Einstellungen sind nicht vorgesehen.

Dem genauen Betrachter fällt natürlich gleich auf, dass die 3. Position anders heißt als auf der „Quarantine Report“ -Seite. Es handelt sich natürlich um den Typ 3 (Threat und AdvThreat).

Wir freuen uns über Rückmeldungen und Anregungen!

Mehr Informationen zur E-Mail-Sicherheit mit Hornetsecurity findet Ihr im Bereich "Kompetenzen"!

Den Hornetsecurity Quarantäne-Report gestalten

Als Hornetsecurity Excellence-Partner mit vielen Jahren Erfahrung wollen wir die Chance nutzen, Euch nach und nach ein paar „Best-Practice“-Ansätze aus unserer Praxis zu geben. Heute geht es um den Quarantäne-Report, der - ohne Anpassung - mit einem dunklen Layout daherkommt und auf mobilen Endgeräten nach unserem Empfinden nicht wirklich gut lesbar ist.

Auf eine helle Darstellung wechseln

Uns gefällt die folgende Darstellung am besten, weil sie klar, übersichtlich und gut lesbar ist:

Hornetsecurity Quarantäne Report in hellem Design

Um diese Einstellung zu erreichen, müsst ihr im Control Panel (Bereich „Anpassungen“) folgende Einstellungen vornehmen:

Anpassung des Hornet Security Quarantäne Reports

Damit habt ihr dann schon mal den hellen Hintergrund und oben euer Firmenlogo.

Jetzt fehlt noch die Darstellung für den Bereich der Mails, die sich in der Quarantäne befinden. Diesen findet ihr unter „Sicherheitseinstellungen“, „Quarantäne Report“:

Hornetsecurity Quarantäne Report: Mail-Darstellung

(3) definiert die Darstellung in der Mail

Hornetsecurity Quarantäne Report Layout mit Mailvorschau

Wir präferieren „Standard-Layout mit E-Mail-Vorschau“. Im Gegensatz zum „Layout für Desktops mit E-Mail-Vorschau“ ist dort die Darstellung schmaler und macht auch auf Android-Geräten keine Probleme in der Darstellung.

Mit diesen Einstellungen erreicht ihr eine Darstellung, wie wir sie oben exemplarisch eingefügt haben.

Mehr zu unseren Angeboten zur E-Mail Sicherheit mit Hornetsecurity findet Ihr auch hier: E-mail Security & Spam-Filter

Für Rückfragen oder Anregungen stehen wir euch gerne zur Verfügung.

Cloudservice

Development

IT-Magazin