Support Request: Problem mit SiteKiosk und Checkpoint EPS

Description

Wir haben SiteKiosk auf Windows 10 installiert, darauf läuft als AV Lösung Checkpoint EPS (Version E83.15). Sitekiosk wurde getestet, indem eine benutzerdefinierte Konfiguration erstellt wurde, danach wird der Rechner neugestartet. Nach dem Neustart sollte via Sitecaster ein Video abgespielt werden. Jedoch sieht man nur, dass versucht wird die SiteKiosk Dienste zu starten (in einem kleinen, grauen Fenster), danach kommt nur ein black Screen. Man kann dann den Taskmanager starten, über diesen die "Sitekiosk.exe" ausführen, dann startet auch das Video bzw. der Kiosk Mode, automatisch funktioniert es nicht. Wir haben testweise die Checkpoint EPS deinstalliert, danach konnte Sitekiosk, nach dem Neustart, automatisch gestartet werden. Wir haben bereits einen Supportcase bei der Firma Checkpoint eingereicht, dort hat man auch festgestellt, dass es offenbar ein Problem gibt, im Zusammenhang mit der Checkpoint EPS. Es wird allerdings lange dauern, bis wir hier eine Antwort bekommen, daher meine Frage: gibt es eine Möglichkeit bzw. gibt es Best Practice von Ihrer Seite, wie man Sitekiosk mit installierter Checkpoint EPS zum laufen bekommt?
Unser Verdacht ist, dass sich die Dienste von der EPS und Sitekiosk beim Start "in die Quere kommen". Kann man die Sitekiosk Applikation mit Verzögerung starten? Eventuell kann das helfen, da der manuelle Start via Taskmanager ja auch funktioniert.

Answer: (5)

Re: Problem mit SiteKiosk und Checkpoint EPS 8/21/2020 11:00 AM
Hallo,

beim Starten von SiteKiosk wird per Default eine Meldung zum Start der Windows Dienste angezeigt, die sich nicht nur auf die SiteKiosk Dienste, sondern auf alle Windows Dienste beziehen. Diese Meldung ist erst einmal normal und ist kein Indiz für ein Problem.

Der Schwarze Bildschirm, der nach Auto Start angezeigt wird deutet jedoch darauf hin, dass SiteKiosk nach dem Auto Logon nicht in gestartet werden konnte und durch den Shellaustausch ist auch keine Windows Oberfläche zu sehen.

Die Start Optionen werden nicht in der SiteKiosk Konfiguration (*.skcfg) gespeichert, sondern über den Start Dialog der erscheint, wenn Sie SiteKiosk in einem Administrator Konto starten.
Zu dem Zeitpunkt werden die Startoptionen (z.B: Autologon, Shellaustausch) dann in der Windows Registry gesetzt.
Die Einstellung für den Shellautausch wird bei „Auto Start“ entsprechend im HK_USERS Pfad für den SiteKiosk Benutzer gesetzt
…\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
"shell" = "C:\Program Files (x86)\SiteKiosk\SiteKiosk.exe" "C:\Program Files (x86)\SiteKiosk\Config\IhreKonfig.skcfg", "REG_SZ"

Ggf. blockiert die Antivirus Applikation den Zugriff auf die Registry bzw. verhindert, dass der Shellaustausch gesetzt werden kann?

Bezüglich Checkpoint EPS kann ich Ihnen leider keine Tipps geben, auch da mir dieses Programm gänzlich unbekannt ist.
Hier finden Sie jedoch eine allgemeine FAQ bezüglich SiteKiosk und Antivirus_
https://www.provisio.com/de-DE/CustomerSupportCenter/ArticleDetails.aspx?ArticleID=600

Eine Einstellung zum verzögerten Starten von SiteKiosk gibt es nicht.
Daher würde ich empfehlen ggf. vorhandene Logs des Checkpoint EPS bzw. das Windows Event Log zu untersuchen, um herauszufinden wo das Problem liegt.

Mit freundlichen Grüßen,
Michael Olbrich
Re: Problem mit SiteKiosk und Checkpoint EPS 9/2/2020 3:37 PM
Hallo Herr Olbrich,

wir haben von der Firma Checkpoint folgendes Feedback erhalten:

As we discussed in our phone conversation yesterday, from the replication debug logs we have found that the SiteKiosk is trying to access our client process and since we are a protection software, the request was blocked.

Here is the self-protection log:
19:34:07 BLOCK Event: process.openthread Process: SiteKiosk.exe[5980] -> cptrayUI.exe[6216] (RULES)
19:34:07 BLOCK Event: process.openprocess Process: SiteKiosk.exe[5980] -> cptrayUI.exe[6216] (RULES)

At this point, we suggest opening a ticket to SiteKiosk support and to check why they are accessing our process 'cptrayUI.exe' and why is it so critical to access it so it cannot proceed with the software workflow.

Regarding the workaround, since the workaround is to disable the client's self-protection mechanism, I'm checking with R&D if this will make our client less protected and what components exactly will be eliminated.

…..

It turns out that this workaround causing a security issue for our client, and unfortunately, it cannot be provided.

Also, since the workaround will reduce client protection, it will be fixed and blocked in the next upcoming versions.

At this point, as mentioned before, we suggest opening a ticket to SiteKiosk support and to check why they are accessing our process 'cptrayUI.exe' and why is it so critical to access it so it cannot proceed with the software workflow.

_____________________________________________________________________________________________________________________________________________

Bitte um Untestützung ihrerseits.
Re: Problem mit SiteKiosk und Checkpoint EPS 9/2/2020 4:14 PM
Hallo,

sofern in den SiteKiosk Logs ein Eintrag in der Form

[SiteKiosk] Notification: According to the windows monitoring rule(Title:'xxxxxx' Class:'xxxx') the window (Title:'xxxxxxxx' Class:'xxxxxxxxx') will be closed

auftaucht, wobei xxxxxxxx für einen Fenstertitel/Fensterklasse steht, der/die einen Prozess der Antivirenlösung reprensentiert, dann tragen Sie in der Konfiguration von SiteKiosk eine entsprechende Ausnahme ein. Siehe https://www.provisio.com/de-DE/CustomerSupportCenter/ArticleDetails.aspx?ArticleID=19286#.

Gibt es einen solchen Eintrag nicht, gibt es von SiteKiosk keinerlei manipulativen Zugriff auf ein anderes Programm. Weshalb auch keine andere Antivirenlösung dort Alarm schlägt. Wenn Checkpoint hingegen schon das Auflisten von laufenden Prozessen für einen gefährlichen Zugriff hält, dann sollte man dort seine Absicherung überdenken.
SiteKiosk schaut sich laufende Prozesse an, um diese mit der Liste erlaubter bzw. verbotener Fenster und Dialoge und externer Applikationen abzugleichen. Etwas was SiteKiosk, hier ebenfalls als Sicherheitssoftware fungierend, sehr wohl zwingend tun muss.
Re: Problem mit SiteKiosk und Checkpoint EPS 9/3/2020 10:21 AM
Hallo,

ja, ich bekomme so einen Eintrag im Log, nur wird hier nicht die AV Lösung angezeigt, sondern der Taskmanager:

Notification: According to the windows monitoring rule(Title:'*Task*Manager' Class:'*') the window (Title:'Task-Manager' Class:'TaskManagerWindow') will be closed

Das liegt wohl daran, dass ich die SiteKiosk Applikation, sobald der Black Screen erscheint, über den Taskmanager starten muss und die Applikation diesen dann schließt.
Vor diesem Zeitpunkt gibt es keine Logs, da die Applikation nicht läuft und daher logischereise auch keine Logs schreiben kann.
Re: Problem mit SiteKiosk und Checkpoint EPS 9/3/2020 10:54 AM
Hallo,

eventuell hat die Checkpoint EPS Applikation auch ein Problem damit, dass die Windows Taskleiste nicht mehr vorhanden ist (wie im Autostart Modus mit Shellaustausch der Fall).
Auch da die problematische EXE hier den Namen cptrayUI.exe hat.
Eventuell versucht die Checkpoint EPS Applikation ein Icon in der Windows Taskleiste erzeugen und starten dann nicht mehr korrekt, weil die Windows Taskleiste nicht vorhanden ist?
Oder tritt das Problem auch im Einmalstart Modus auf?

Ansonsten gibt es von SiteKiosk keinerlei manipulativen Zugriff auf ein anderes Programm:
Generell hat SiteKiosk keinen direkten Einfluss auf externe Anwendungen, sondern 2 Einstellungen, die die Ausführung einschränken können:

1. Fenster- und Dialoge Management :
SiteKiosk kann mit Hilfe des Fenster- und Dialoge Management bestimmte Dialoge blockieren.
Wenn Sie einen bestimmten Dialog zulassen wollen / müssen, der standardmäßig gesperrt ist, können Sie in der SiteKiosk Konfiguration unter "-->Zugriff/Sicherheit-->Systemkritische Fenster & Dialoge abfangen-->Einstellungen" einen neuen Eintrag mit entsprechendem Titel erstellen (oder sogar den entsprechenden Eintrag löschen, der das Fenster blockiert).

Wenn SiteKiosk ein bestimmtes Fenster blockiert, finden Sie eine Benachrichtigung im SiteKiosk-Protokoll (...\SiteKiosk\Logfiles).
Beispiel:
[SiteKiosk] Notification: According to the windows monitoring rule(Title:'xxxxxx' Class:'xxxx') the window (Title:'xxxxxxxx' Class:'xxxxxxxxx') will be closed


Mehr Informationen zu diesem Feature hier:
https://www.provisio.com/helpconsole/SiteKiosk%20Hilfe/de-DE/default.htm?windows___dialoge.htm
https://www.provisio.com/helpconsole/SiteKiosk%20Hilfe/de-DE/default.htm?handling_of_windows.htm
https://www.provisio.com/de-DE/CustomerSupportCenter/ArticleDetails.aspx?ArticleID=19286

2. Zugriffsrechte des SiteKiosk Benutzers:
Im "Auto Start"-Modus wird der SiteKiosk Browser innerhalb des eingeschränkten lokalen SiteKiosk Benutzerkontos gestartet. Hier gelten eingeschränkte auf Ordner (read only, read & execute, blocked....) und bestimmter EXE-Programme sind gesperrt.

Um die Benutzerrechte für den SiteKiosk Benutzer zu ändern, können Sie den System-Sicherheits-Assistenten verwenden (z.B. vollen Zugriff auf den Ordner, in dem sich die zu startende EXE befindet).
Weitere Informationen finden Sie hier:
https://www.provisio.com/helpconsole/SiteKiosk%20Hilfe/de-DE/default.htm?step_2_-_security_manager.htm
https://www.provisio.com/helpconsole/SiteKiosk%20Hilfe/de-DE/default.htm?advanced.htm
https://www.provisio.com/helpconsole/SiteKiosk%20Hilfe/de-DE/default.htm?access_rights1.htm

Hier noch ein ausführlicher Artikel zur Fehlerbehebung bei Verwendung externer Anwendungen:
http://devblog.provisio.com/post/2015/05/15/Troubleshooting-Guidelines-for-Using-External-Applications-with-SiteKiosk.aspx

Mit freundlichen Grüßen,
Michael Olbrich
My Account
Login
Language (Tickets):