7.3 沙箱内软件使用异常

7.3.1 浏览器打开异常

问题现象:

  1. 在工作空间之前运行正常的应用突然无法运行,启动提示程序无法启动;

    7.3.1.png

  2. 部分软件在工作空间内运行偶尔会出现软件不能在当前系统运行的提示;

问题确认方式:

  1. 个人空间运行这个程序是否正常
  2. 程序在沙箱内是一直用不了还是突然用不了
  3. 最近有没有安装什么第三方软件?如安全软件,输入法软件,桌管软件,加密软件等

问题可能原因:

  1. 应用更新了部分文件到了沙箱内,沙箱内外程序版本不一致导致程序运行异常;
  2. 用户环境安装了新的管控软件导致软件使用异常;

问题解决方案:

  1. 如果软件突然在沙箱内无法使用,则可尝试清理应用缓存;

    7.2.4.6.png

  2. 如果步骤一无法解决,若用户接受浏览器书签、浏览记录、账号信息丢失等影响,可以使用深度清理方式清理沙箱缓存;

    7.2.4.7.png 7.2.4.8.png 7.2.4.9.png

  3. 如果用户不接受深度清理带来的影响,可以通过手动删除应用在重定向路径生成文件的方式来解决此问题。如何找到应用在沙箱重定向目录下的安装位置可以参考以下步骤:

    • 在个人空间打开这个程序的安装目录,比如chrome在个人空间安装在C:\Program Files\Google\Chrome\Application这个路径;

      7.3.1.1.png

    • 到沙箱Device目录下去找重定向路径,M:\Device\C\Program Files\Google\Chrome\Application。对应关系为:C: =>M:\Device\C

      7.3.1.2.png

    • 打开重定向路径,删除这个路径下所有的文件(快捷键:shift + Delete),然后重新运行应用。
  4. 如果以上步骤都无法解决问题,那么需要使用procmon.exe抓取应用启动时的文件、注册表、网络等日志交由研发分析,使用方法如下:

    • 打开procmon,exe,重置所有过滤器,点击OK后就开始抓取事件了

      7.3.1.3.png

    • 复现用户问题后,停止抓取事件

      7.3.1.4.png

    • 将事件保存,导出

      7.3.1.5.png

7.3.2 办公软件打开异常(WPS、OFFICE等)

问题现象:

问题确认方式:

  1. OFFICE软件异常是突然出现的还是一直存在问题?
  2. 个人空间OFFICE、WPS使用是否存在问题?
  3. 沙箱内存在网络管控,是否是无法访问外网导致部分功能异常?
  4. 用户使用场景是不是上网沙箱,office有没有安装在非系统目录?

问题可能原因:

  1. 注册表隔离是最常遇到导致OFFICE相关软件异常的原因;
  2. 网络隔离也可能导致office或wps部分功能不可用;
  3. OFFICE模板文件损坏会导致office无法打开;
  4. 上网沙箱用户office或wps安装在非系统目录;
  5. OFFICE是为UWP应用,无法在沙箱内启动;

问题解决方案:

  1. 检查个人空间office是否正常,如果有错误弹窗则需先解决个人空间软件运行问题;
  2. 确认Office软件安装目录是否在WindowsApp目录下,如果是则需要卸载重新通过安装包安装;

    7.3.2.1.png

  3. OFFICE软件异常是突然出现的,则可尝试清理应用缓存;
  4. 用户不接受清理缓存方案的话,需要手动删除注册表HKEY_CURRENT_USER\SOFTWARE\Microsoft下带SD后缀的注册表项

    7.3.2.2.png

  5. 如果通过以上步骤都无法解决用户问题,那么需要使用procmon.exe抓取应用启动时的文件、注册表、网络等日志交由研发分析;

7.3.3 outlook邮箱使用异常

问题现象:

7.3.3.png

  1. 沙箱内使用outlook成功启动后,进行操作就黑屏卡死,无法正常使用
  2. 启动异常,沙箱内无法启动outlook,启动很慢
  3. 沙箱内使用outlook在发送带附件邮件时会黑屏卡死

问题确认方式:

  1. 沙箱内使用outlook成功启动后,进行操作就黑屏卡死,无法正常使用

    • outlook在服务器磁盘容量满后,用户可以手动备份历史数据存档到本地电脑,文件后缀为.pst
    • 用户使用outlook过程中,目前本地已经备份了许多历史数据存档,单个.pst文件至少十几个G
    • 沙箱内启动outlook,outlook进程会以写权限打开.pst文件,此时沙箱驱动会拷贝一份文件到重定向目录,这里是驱动执行拷贝操作,会导致应用程序界面卡死无响应,表现为黑屏
    • 由于文件过大,驱动会拷贝失败,outlook打开失败,在使用过程中又会再次触发打开.pst文件,导致界面卡死无响应
  2. 启动异常,沙箱内无法启动outlook,启动很慢

    • 个人域ost、pst文件很大,沙箱内在使用登录过程中拷贝失败,导致无法正常启动;启动很慢是需要拷贝ost和pst文件
  3. 沙箱内使用outlook在发送带附件邮件时会黑屏卡死

    • 黑屏1min左右后恢复,在不带附件发送邮件不会出现黑屏卡死,目前怀疑是易连会对outlook附件审计,此时无法正常读取沙箱内文件导致;
    • 查看SfUemIsoSpace.log日志存在拦截易连进程读取沙箱内outlook发送的附件文件,如下图所示 7.3.3.1.png

问题可能原因:

  1. 沙箱内首次打开Outlook卡死,原因跟个人空间的.pst或者.ost太大有关系;
  2. 电脑上安装了易格云等xdlp审计软件,导致沙箱内outlook卡死;

问题解决方案:

  1. 沙箱内使用outlook成功启动后,进行操作就黑屏卡死,无法正常使用。或者启动异常,沙箱内无法启动outlook,启动很慢,联系技术支持获取针对outlook大文件修改方案客户端版本解决;
  2. 沙箱内使用outlook在发送带附件邮件时会黑屏卡死,或者其他审计行为导致的异常。需要配置放通允许易连相关进程访问沙箱内文件;

    • 将易连相关进程添加到程序仓库,添加入口:UEM-程序仓库,如下所示

      7.3.3.2.png

    • 点击新增,添加对应进程名,选择标签“安全软件”

      7.3.3.3.png

    • 在UEM - UEM高级配置 - 安全软件加白设置中i将刚刚添加的pr1_cc.exe配置成允许个人空间执行程序对工作空间文件进行读写操作

      7.3.3.4.png

7.3.4 沙箱内打印文档失败

问题现象:

  1. 工作空间进程打印文件失败,弹出错误对话框; 7.3.4.png

问题确认方式:

  1. 查看报错截图提示文件 C:\Temp\{645056}找不到,基本上可以确认是个人空间的打印进程访问沙箱内的文件被拒绝了;
  2. win+r 输入Windows沙箱的日志目录,点击确认

    7.2.1.1.png

  3. 使用notepad++打开目录下的SfUemIsoSpace.log文件,可以看到文件是沙箱内的,个人空间的进程访问被拒绝; 7.3.4.1.png

问题原因:

  1. 在沙箱里发起的打印操作,文件重定向驱动检测到spoolsv进程发起文件操作会获取对应发起进程的进程id,如果是安全进程发起的文件写操作则会将此文件进行重定向;
  2. 印核软件的进程由系统打印服务拉起的,被标识为个人空间进程; 7.3.4.2.png
  3. 个人空间不允许访问沙箱内的文件;

问题解决方案:

  1. 上诉问题已经在正式版本解决;
  2. 其他的第三方打印软件,可能需要抓取事件,转发给研发进行分析适配
    • 打开procmon,exe,重置所有过滤器,点击OK后就开始抓取事件了 7.3.1.3.png
      • 复现用户问题后,停止抓取事件 7.3.1.4.png
      • 将事件保存,导出 7.3.1.5.png

7.3.5 沙箱内软件安装问题

问题现象:

  1. 沙箱安装软件失败,弹出错误对话框 7.3.5.png

问题确认方式:

  1. 检查控制台是否配置了程序安装名单。 7.3.5.1.png
  2. 检查安装程序是否有正常签名。在安装包上右键检查签名是否有效,如果签名无效,尝试从官网下载正常的安装包。 7.3.5.2.png
  3. 检查程序是完整安装包还是下载器?完整安装包一般比较大(几M到几百M),下载器一般比较小(10M以内)

问题原因:

  1. 用户下载了一个比较小的下载器安装软件,下载器可能被识别成安装包后运行在个人空间,上网沙箱个人空间无法联网导致安装失败。如firefox。
  2. 安装程序没有正常签名,不支持通过“签名匹配”方式安装。
  3. 电脑长期未联网,没有最新的根证书导致校验签名失败。
  4. 程序没有安装包特征导致无法通过“签名匹配”的方式进行安装。
  5. 向日葵的安装包加了壳,无法通过“签名匹配”安装。

问题解决方案:

  1. 如果从官网下载安装包也提示签名无效,确认电脑是否长期未联网,如果是则需要下载安装新的根证书,双击.crt文件按照提示进行安装。
  2. 如果EXE是下载器,可尝试下载完整安装包进行安装,完整安装包一般比较大(几M到几百M);
  3. 如果完整安装包也安装失败,可通过在控制台配置这个软件的hash让其安装在沙箱外,联系研发介入适配这个软件; 7.3.5.4.png

7.3.6 沙箱内软件更新问题

问题现象:

  1. 软件在沙箱内更新后功能异常,如弹出错误对话框或者页面无法正常显示。 7.3.6.png

问题确认方式:

  1. 确认程序在沙箱内是一直有异常还是突然有异常,确认程序是否更新过;

    • win+r 输入Windows沙箱的日志目录,点击确认

      7.2.1.1.png

    • 使用notepad++打开目录下的SfUemIsoSpace.log文件,搜索进程名(例如:test.exe),如果exe路径内包含"$SD_"则说明程序更新到了沙箱内

      7.3.6.1.png

  2. 右键检查安装包签名是否有效。如果下载的安装包提示签名无效,确认电脑是否长期未联网;
    • 如果长期未联网,则需要下载安装新的根证书;
    • 清理空间缓存后再让软件自行更新;

问题原因:

  1. 应用更新了部分文件到了沙箱内,沙箱内外程序版本不一致导致程序运行异常;
  2. 沙箱校验下载的安装包签名失败导致未将程序更新在个人空间;

问题解决方案:

  1. 从2.4.10版本开始,支持在服务端配置程序安装名单。配置程序安装名单后可以让程序更新在沙箱外;

    7.3.5.1.png

  2. 如果下载正常的安装包也提示签名无效,确认电脑是否长期未联网,如果是则需要下载安装新的根证书,清理空间缓存后再让软件自行更新。

  3. 企业微信、腾讯会议、QQ、阿里云盘、迅雷、映像笔记、有道笔记、TIM、网易邮箱大师、360安全浏览器、360极速浏览器、Skype、华为Welink等软件如果更新在了沙箱内,并且安装包有正常签名,请联系研发处理。
  4. 如果其他软件更新在沙箱内,功能异常时可尝试清理应用缓存、下载完整安装包安装更新 7.2.4.6.png

7.3.7 沙箱内微信聊天接收文件下载慢,不在沙箱内经过隧道访问情况下正常

问题现象:

  1. 沙箱内微信接收文件下载慢,不在沙箱内经过隧道访问情况下正常。如正常下载文件需要1分钟,异常时下载时间多很多倍或失败。 7.3.7.png

问题确认方式:

  1. 确认个人空间运行微信接收文件是否慢,如果个人空间也慢则可能与沙箱无关。
  2. 确认最近有没有安装什么第三方软件?如安全软件、加密软件等。

    • win+r 输入Windows沙箱的日志目录,点击确认

      7.2.1.1.png

    • 使用notepad++打开目录下的SfUemIsoSpace.log文件,搜索正在下载的文件名;
    • 如果存在大量拦截访问正在下载的文件的日志,则可能有第三方安全软件在尝试扫描沙箱的文件

      7.3.7.1.png

    • 如果拦截日志的进程名为空,则需要尝试依次卸载安全软件,确定卡慢和哪个软件有关,再协调软件厂商和沙箱做兼容处理 7.3.7.2.png

问题原因:

  1. 沙箱运行微信下载文件时,第三方安全软件(如亚信)会扫描正在下载的文件。沙箱的文件隔离机制会拒绝沙箱外的软件打开正在下载的文件,第三方安全软件可能重复尝试打开文件导致卡慢

问题解决方案:

  1. 如果拦截日志的进程名是第三方安全软件进程,则可以配置安全软件加白

    • 将相关进程添加到程序仓库,添加入口:UEM-程序仓库,如下所示

      7.3.3.2.png

    • 点击新增,添加对应进程名,选择标签“安全软件”

      7.3.3.3.png

    • 在UEM - UEM高级配置 - 安全软件加白设置中将刚刚添加的pr1_cc.exe配置成允许个人空间执行程序对工作空间文件进行读写操作

      7.3.3.4.png

  2. 如果无法解决,则需要协调软件厂商和沙箱做兼容处理。

7.3.8 沙箱内程序启动报错或者程序显示在了文件区域

问题现象:

  1. 沙箱面板上的程序启动报错

    7.3.8.1.png

  2. 沙箱面板上的程序跑到了文件区域显示

    7.3.8.2.png

问题确认方式:

  1. 确认个人域运行无问题,如果个人域也有问题则是软件自身问题
  2. 沙箱内启动文件管理器查看对应程序的快捷方式属性,找到程序对应exe文件的保存位置

    7.3.8.3.png

  3. 在沙箱Device目录下查找对应的路径,是否存在重定向文件

    7.3.8.4.png

问题原因:

  1. 原因是由于沙箱内生成了异常的exe文件,沙箱内的安全进程会优先读取重定向目录下的文件

问题解决方案:

  1. 如果程序还在程序区域,可以通过清除应用缓存方式进行修复 7.3.8.5.png 7.3.8.6.png

  2. 如果清除后没有恢复,可能是当前用户没有权限删除安装目录下的文件,以及程序显示在文件区域,无法右键程序弹出清除应用缓存的弹框,可以使用深度清理沙箱缓存来进行清理恢复。

    注意:深度清理会清除沙箱内所有程序的运行缓存数据(Device目录下的所有数据),包括chrome浏览器的浏览记录以及书签这些数据,工作空间磁盘下的数据不会被清除,需要与用户同步沟通好,清除后的缓存数据会移动到回收站中 7.3.8.7.png 7.3.8.8.png 7.3.8.9.png

  3. 如果用户不同意深度清理,则使用手动清除的方式来进行恢复

    • 个人空间将程序对应的exe重命名(这里先重命名个人域文件,是因为在沙箱中执行删除操作时,如果个人域存在同名文件会打上删除标记,导致删除后无法正常读取个人域的exe)

    7.3.8.10.png

    • 在工作空间的文件管理器中打开对应exe所在的重定向目录,删除对应的重定向文件

    7.3.8.11.png

    • 在个人空间还原重命名的文件,然后刷新面板,再次启动程序

    • 如果在工作空间的文件管理器中删除exe文件报错,可使用cmd命令来进行删除

    7.3.8.12.png

深信服科技 all right reserved,powered by Gitbook本文档更新于: 2024-10-31 22:37

results matching ""

    No results matching ""