Gilt für: WatchGuard Advanced EPDRWatchGuard EPDR, WatchGuard EDR, WatchGuard EPPWatchGuard EDR Core
Manche Linux-Distributionen erkennen, wenn bei einem Computer Secure Boot aktiviert ist. Wenn Secure Boot aktiviert ist, wird nicht korrekt signierte WatchGuard Endpoint Security-Software automatisch deaktiviert.
Secure Boot wird erkannt, wenn die Software installiert wird, oder später, falls die Version diese Funktion ursprünglich nicht unterstützt hat, aber diese bei einem späteren Update hinzugefügt wurde. In beiden Fällen zeigt die Verwaltungsoberfläche einen Fehler an und die Endpoint-Software wird nicht ausgeführt.
Um die Schutzfehler im Zusammenhang mit Secure Boot auf dem problembehafteten Computer zu beheben, stellen Sie sicher, dass Ihr System die folgenden Anforderungen erfüllt und führen Sie die Schritte zur Fehlerbehebung durch.
Systemanforderungen
- DKMS: mokutil und openssl-Pakete.
- Oracle Linux 7.x/8.x mit Kernel UEKR6: Repository ol7_optional_latest aktiviert und openssl, keyutils, mokutil, pesign, kernel-uek-devel-$(uanme -r) Pakete.
Beheben von Schutzfehlern
- Überprüfen Sie den Status von Secure Boot:
$ mokutil --sb-state
Secure Boot aktiviert. - Prüfen Sie, dass der Treiber nicht geladen wurde:
$ lsmod | grep prot - Importieren Sie die Schutzschlüssel:
$ sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh
Agent und Schutz haben folgendes Format: protection-agent-03.01.00.0001-1.5.0_741_g8e14e52 (der Name variiert je nach Version und Treiber)
Es wird eine Meldung angezeigt, die die Auswirkungen von Secure Boot erläutert. - Drücken Sie C, um das zum Signieren der Module verwendete Zertifikat zu registrieren.
- Geben Sie ein Passwort mit 8 Zeichen ein:
- Starten Sie den Computer neu und schließen Sie den Registrierungsprozess ab.
Falls es sich um eine virtuelle Maschine handelt, verwenden Sie den Hypervisor. - Starten Sie den Registrierungsprozess durch Betätigen einer beliebigen Taste.
Dieser Bildschirm wird eine begrenzte Zeit angezeigt. Wenn Sie keine Taste betätigen, müssen Sie den Registrierungsprozess neu starten. - Wählen Sie MOK registrieren.
- Um die zu registrierenden Schlüssel anzuzeigen, wählen Sie Schlüssel anzeigen.
- Prüfen Sie, dass die Schlüssel zum WatchGuard Endpoint Security-Schutz gehören. Wählen Sie Weiter, um mit dem Registrierungsprozess fortzufahren.
- Wenn Sie zu Schlüssel anmelden aufgefordert werden, wählen Sie Ja.
- Geben Sie das zuvor erstellte Passwort ein.
- Wählen Sie Neu starten.
-
Um zu prüfen, dass der Treiber geladen wurde, geben Sie $ lsmod | grep prot ein.
Oracle Linux 7.x/8.x mit UEKR6 Kernel
Wenn es sich bei der installierten Version um Oracle Linux 7.x/8.x mit UEKR6 Kernel handelt, führen Sie nach abgeschlossener Registrierung des Zertifikats folgende Schritte aus:
- Führen Sie diesen Befehl aus:
sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh
Dies fügt das zum Signieren der Module verwendete Zertifikat zur Liste der Zertifikate hinzu, die der Kernel als vertrauenswürdig ansieht. Der geänderte Kernel ist signiert und wurde zur Liste der Kernel in GRUB hinzugefügt. Das Modul wurde geladen und gestartet. -
Den Computer neu hochfahren.
Das Modul wurde geladen und gestartet. - Um zu prüfen, dass das Zertifikat richtig hinzugefügt wurde, führen Sie folgenden Befehl aus:
sudo /usr/src/protection-agent-version/scripts/sb_import_key.shDie Ergebnisse sollten sein:
- Der übliche Name des Signierers lautet UA-MOK Driver Signing
- Image /boot/vmlinuz-kernel-version-panda-secure-boot ist bereits signiert
- Das Kernelmodul wurde erfolgreich geladen