Sophos Central Intercept X Windows: Błąd instalacji z powodu komponentów SME64/EFW64

PROBLEM

Instalacja oprogramowania Sophos kończy się błędem, a przyczyną są dwa komponenty:

  • SME64
  • EFW64

Przy instalacji interaktywnej wyświetla się poniższe ostrzeżenie:

Przy instalacji uruchamianej jako część sekwencji zadań, np. przez System Center Configuration Manager (SCCM), proces zgłasza błąd instalacji.

PRODUKTY i ŚRODOWISKO

  • Sophos Central Windows Endpoint Core Agent 2022.4.0.4
  • Sophos Central Windows Server Core Agent 2022.4.0.6

PRZYCZYNA

Problem występuje, gdy wymagane jest pobranie certyfikatu DigiCert Trusted Root G4 do magazynu certyfikatów na urządzeniu. W przypadku opóźnienia w uzyskaniu certyfikatu, instalacja tych składników kończy się niepowodzeniem.

ROZWIĄZANIE

Jeśli początkowa instalacja zakończy się niepowodzeniem, wgranie powyższego certyfikatu głównego wymusi próbę automatycznej ponownej instalacji dwóch komponentów, z którymi był problem.

Aby zapobiec błędom instalacji, m.in. podczas wykonywania sekwencji zadań przy użyciu SCCM, certyfikat można zainstalować jako część sekwencji przed zainstalowaniem Sophos. Przykładowo można do tego użyć narzędzia CertUtil:

W wierszu poleceń należy wykonać poniższe trzy komendy:

  1. mkdir C:\tempcerts
  2. CertUtil -syncWithWU C:\tempcerts
  3. certutil -addstore root C:\tempcerts\ddfb16cd4931c973a2037d3fc83a4d7d775d05e4.crt

Można także pobrać certyfikat bezpośrednio ze strony DigiCert, a następnie rozdystrybuować go na urządzenia.

Aby sprawdzić, czy certyfikat jest obecny w magazynie, należy użyć następującej komendy w PowerShell’u / Terminalu.

Get-ChildItem -path cert:\localmachine\root\DDFB16CD4931C973A2037D3FC83A4D7D775D05E4

UWAGA: Klienci, którzy mają wyłączoną automatyczną aktualizację certyfikatów głównych i nie korzystają z żadnej alternatywnej metody dystrybucji certyfikatów również mogą doświadczyć tego problemu.

Można to potwierdzić w Zasadach grupy, wykonując następujące kroki:

  1. Kliknij Start -> Uruchom lub klawisz Win + R.
  2. Wpisz gpedit.msc i zatwierdź OK.
  3. Jeśli pojawi się okno dialogowe Kontroli konta użytkownika, upewnij się, że dotyczy to tego zadania, a następnie kliknij Tak (Dalej).
  4. Przejdź do Szablony administracyjne -> System -> Zarządzanie komunikacją internetową -> Internetowe ustawienia komunikacyjne.
  5. Sprawdź co jest ustawione w Wyłącz automatyczne aktualizowanie certyfikatów głównych.

Jeśli nie ma żadnych ustawień GPO / lokalnych, sprawdź, czy następująca wartość rejestru jest skonfigurowana jak poniżej:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Policies\Microsoft\SystemCertificates\AuthRoot
Value Name=DisableRootAutoUpdate Type=REG_DWORD Value Data=00000001

Aby zezwolić na instalację Sophosa, należy skonfigurować DisableRootAutoUpdate na 0 lub ręcznie zainstalować certyfikaty na urządzeniu.

Ponadto, jeśli zasady grupy zezwalają wyłącznie na uwierzytelnianie certyfikatów zarejestrowanych w usłudze Active Directory, może to także wpłynąć na instalację.

 

https://support.sophos.com/support/s/article/KB-000044782?language=en_US