Gilt für: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR,WatchGuard EDR Core, WatchGuard EPP
Einige Linux-Distributionen erkennen, wenn auf einem Computer Secure Boot aktiviert ist. Wenn Secure Boot aktiviert ist, wird nicht korrekt signierte WatchGuard Endpoint Security-Software automatisch deaktiviert.
Secure Boot wird erkannt, wenn die Software installiert wird, oder später, falls die Version diese Funktion ursprünglich nicht unterstützt hat, aber diese bei einem späteren Update hinzugefügt wurde. In beiden Fällen zeigt die Verwaltungsoberfläche einen Fehler an und die Endpoint-Software wird nicht ausgeführt.
Um die Schutzfehler im Zusammenhang mit Secure Boot auf dem problembehafteten Computer zu beheben, stellen Sie sicher, dass Ihr System die folgenden Anforderungen erfüllt und führen Sie die Schritte zur Fehlerbehebung durch.
Systemanforderungen
- DKMS: mokutil und openssl-Pakete.
- Oracle Linux 7.x/8.x mit kernel UEKR6: Repository ol7_optional_latest aktiviert und openssl, keyutils, mokutil, pesign, kernel-uek-devel-$(uanme -r) Pakete
Beheben von Schutzfehlern
- Überprüfen Sie den Status von Secure Boot:
$ mokutil --sb-state
Secure Boot aktiviert. - Prüfen Sie, dass der Treiber nicht geladen wurde:
$ lsmod | grep prot - Importieren Sie die Schutz-Schlüssel:
$ sudo /usr/src/protection-agent-<version>/scripts/sb_import_key.sh
Es wird eine Meldung angezeigt, die die Auswirkungen von Secure Boot erläutert.
Der Schutz und der Agent <version> haben folgendes Format:
$ sudo /usr/src/protection-agent-03.01.00.0001-1.5.0_741_g8e14e52/scripts/sb_import_key.sh
Der Name variiert je nach Version und Treiber. - Drücken Sie C, um das zum Signieren der Module verwendete Zertifikat zu registrieren.
- Geben Sie ein Passwort mit 8 Zeichen ein:
- Starten Sie den Computer neu und schließen Sie den Registrierungsprozess ab.
Falls es sich um eine virtuelle Maschine handelt, verwenden Sie den Hypervisor. - Um den Registrierungsprozess zu beginnen, drücken Sie eine beliebige Taste.
Dieser Bildschirm wird eine begrenzte Zeit angezeigt. Wenn Sie keine Taste betätigen, müssen Sie den Registrierungsprozess neu starten. - Wählen Sie MOK anmelden.
- Um die zu registrierenden Schlüssel anzuzeigen, wählen Sie Schlüssel anzeigen.
- Prüfen Sie, dass die Schlüssel zum WatchGuard Endpoint Security-Schutz gehören. Wählen Sie Weiter, um mit dem Registrierungsprozess fortzufahren.
- Wenn Sie zu Schlüssel anmelden aufgefordert werden, wählen Sie Ja.
- Geben Sie das zuvor erstellte Passwort ein.
- Wählen Sie Neu starten.
-
Um zu prüfen, dass der Treiber geladen wurde, geben Sie $ lsmod | grep prot ein.
Oracle Linux 7.x/8.x mit UEKR6 Kernel
Wenn es sich bei der installierten Version um Oracle Linux 7.x/8.x mit UEKR6 Kernel handelt, führen Sie nach abgeschlossener Registrierung des Zertifikats folgende Schritte aus:
- Führen Sie diesen Befehl aus:
sudo /usr/src/protection-agent-<version>/scripts/sb_import_key.sh
Dies fügt das zum Signieren der Module verwendete Zertifikat zur Liste der Zertifikate hinzu, die der Kernel als vertrauenswürdig ansieht. Der geänderte Kernel ist signiert und wurde zur Liste der Kernel in GRUB hinzugefügt. Das Modul wurde geladen und gestartet. -
Starten Sie den Computer neu.
Das Modul wurde geladen und gestartet. - Um zu prüfen, dass das Zertifikat richtig hinzugefügt wurde, führen Sie folgenden Befehl aus:
sudo /usr/src/protection-agent-<version>/scripts/sb_import_key.shDie Ergebnisse sollten sein:
- Der übliche Name des Signierers lautet UA-MOK Driver Signing
- Image /boot/vmlinuz-kernel-version-panda-secure-boot ist bereits signiert
- Das Kernelmodul wurde erfolgreich geladen