Bekannte Probleme und Abhilfemaßnahmen

Beim Upgrade von Sentinel LDK v7.3 bis v.7.8 auf Sentinel LDK v7.10 werde alle nicht englisch lokalisierten Kunden-Kontakte und Channel-Partner-Kontakte in Sentinel LDK-EMS in englisch lokalisierte Kontakte umgewandelt.

Hinweis: Sie können dieses Problem ignorieren, wenn Ihre Kunden- und Channel-Partner-Kontakte zur Verwendung der englischen Lokalisierung eingestellt sind oder Sie kein Upgrade von Sentinel LDK-EMS vornehmen.

Abhilfemaßnahme: Eine Lösung für dieses Problem wird im technischen Hinweis geliefert, der hier verfügbar ist.

Sentinel LDK-EMS Web Services unterstützen nicht das Hinzufügen von dynamische Speicherdateien zu Produkten.

Abhilfemaßnahme: Nutzen Sie die grafische Sentinel LDK-EMS-Schnittstelle, um dynamische Speicherdateien zu Produkten hinzuzufügen.

Wenn ein Benutzer auf den Link in einer (von Sentinel LDK-EMS gesendeten) E-Mail für die Anzeige eines planmäßigen Berichts klickt, wird der Bericht nicht angezeigt, wenn der DNS-Server nicht den im Link vorhandenen Server-Hostnamen auflösen kann. Stattdessen wird die Nachricht „Diese Seite kann nicht angezeigt werden“ angezeigt.

Abhilfemaßnahme: Fügen Sie in der Dateietc/host auf dem Computer des Benutzers einen Eintrag mit dem Hostnamen und der IP-Adresse des Sentinel LDK-EMS-Computers ein.

Kunden, die vor Sentinel LDK 7.7 mit einem Channel-Partner verknüpft wurden, werden in Sentinel LDK-EMS dem betroffenen Channel-Partner-Benutzer nicht angezeigt. Der Channel-Partner-Benutzer kann allerdings einen neuen Eintrag für einen vorhandenen Kunden mit derselben E-Mail-Adresse, die bereits in der EMS-Datenbank vorliegt, erstellen. In dieser Situation wird der Channel-Partner-Benutzer eine Berechtigung für den Kunden nicht erfüllen können.

Abhilfemaßnahme: Wenn der Channel-Partner-Benutzer den erforderlichen Kunden nicht in Sentinel LDK-EMS anlegen kann, sollte der Software-Anbieter das Fullfillment der Berechtigung für den Kunden handhaben.

Das Sentinel Remote Update System (RUS) wird nicht für Mac-Systeme unterstützt.

Abhilfemaßnahme:Um einen Fingerabdruck zu erzeugen, verwenden Sie Sentinel Admin Control Center.

Beim Installieren unterschiedlicher Versionen der Sentinel LDK-Laufzeitumgebung (RTE) über eine vorhandene Version auf einer Linux-Plattform wird der neu installierte hasplmd-Daemon üblicherweise automatisch gestartet. In den folgenden Fällen wird der hasplmd-Daemon jedoch nicht automatisch gestartet:

>Bei einem Upgrade der RTE-Version 8.13 oder niedriger auf RTE-Version 8.15 oder höher

ODER

>Bei einem Downgrade der RTE-Version 8.15 oder höher auf RTE-Version 8.13 oder niedriger

Abhilfemaßnahme: Führen Sie nach dem Installieren der gewünschten Version der RTE einen der folgenden Schritte aus:

>Installieren Sie die gewünschte Version der RTE zum zweiten Mal.  Nach dem Ausführen der zweiten Installation startet der hasplmd-Daemon automatisch.

ODER

>Starten Sie den hasplmd-Daemon manuell durch Eingeben des Befehls: systemctl start hasplmd

Nehmen Sie die folgende Situation an:

>Eine RTE ohne Altsystem-Driver wird auf einem neuen Computer installiert.

>Eine RTE mit Altsystem-Drivern wird später auf dem Computer installiert.

Eine Anwendung, die eine RTE mit Altsystem-Drivern benötigt, wird nicht erfolgreich ausgeführt. Während der Installation der RTE mit Altsystem-Drivern wird keine Warnung und kein Fehler generiert.

Abhilfemaßnahme: Generieren Sie einen Diagnosebericht mit Admin Control Center und wenden sich an den technischen Support von Thales.

Nehmen Sie die folgende Situation an:

>Wenn der aktuelle Status eines SL-Keys dekodiert wird (mit der SL-Lizenzgenerierungs-API), wird der Status des Containers als ID des sicheren Speichers stimmt nicht überein in der Spalte Key-ID angezeigt.

>Der Key enthält ein Produkt, das rehost-fähig oder auslagerbar ist ODER der Produktlizenztyp ist Ausführungen oder Ablaufdatum.

Wenn sich die SSID (Sichere Speicher-ID) des Containers ändert (beispielsweise wenn der Container beschädigt oder gelöscht wird), wird das Produkt als Geklont gekennzeichnet und kann nicht mehr verwendet werden. In anderen Situationen hat der Status ID des sicheren Speichers stimmt nicht überein keine Bedeutung und kann ignoriert werden.

Nehmen Sie die folgende Situation an:

1.Windows ist auf einem Mac-Computer mit Boot Camp installiert.

2.Eine SL-Lizenz ist im Windows-System installiert.

Die ID des sicheren Speichers kann sich ändern und verursachen, dass Feature-ID 0 als „geklont“ markiert wird.

Abhilfemaßnahme: Installieren Sie die SL-Lizenz nicht im Windows-System. Lassen Sie die Anwendung einen Netzwerkplatz einer Cloud-Lizenz verbrauchen.

Der Sentinel LDK License Manager (Prozess hasplms.exe) hängt sich vorübergehend auf und erreicht eine sehr hohe CPU-Auslastung (ca. 1,9 GB).

Abhilfemaßnahme: Schützen Sie die Anwendung mit den neuesten API-Bibliotheken und führen Sie ein Upgrade auf die neueste RTE durch, wenn die RTE auf dem Computer des Endanwenders erforderlich ist.

Nehmen Sie die folgende Situation an:

>Eine geschützte Anwendung wurde unter Verwendung von Visual Studio 2015 erstellt

>Control Flow Guard wurde in Visual Studio ausdrücklich aktiviert.

>Die Anwendung verlinkt statisch oder dynamisch auf die Sentinel-Licensing-API.

>Der externer License Manager (hasp_rt.exe) wird nicht verwendet.

>Die Anwendung wird unter Windows 10 oder dem Windows 8.1 Update (KB3000850) ausgeführt. (Nicht alle Windows 8.1 Versionen, nur die letzten)

Die ausgeführte Anwendung kann fehlschlagen.

Abhilfemaßnahme: Schließen Sie den externen License Manager (hasp_rt.exe) in die geschützte Anwendung ein.

Nehmen Sie die folgende Situation am Kundenstandort an:

>Auf einem Computer ist die Version 7.51 der Laufzeitumgebung installiert.

>Auf einem anderen Computer ist eine frühere Version der Laufzeitumgebung als v.7.51 installiert.

>Der Kunde führt mit einer Lizenz mehrfach ein Rehosting mit diesen beiden Computern durch.

>Auf einem der beiden Computer wird ein Update der Lizenz durchgeführt.

Bei einem Rehosting-Versuch tritt möglicherweise ein Fehler mit der Nachricht HASP_REHOST_ALREADY_APPLIED auf.

Abhilfemaßnahme: Fordern Sie eine neue SL-Lizenz vom Software-Anbieter für die geschützte Anwendung auf dem Ziel-Computer an. Vor dem nächsten Rehosting-Versuch installieren Sie die aktuelle Laufzeitumgebung auf beiden Computern.

Wenn der Benutzer unter Linux eine Windows-64-Bit-geschützte Anwendung unter Verwendung von Wine mit Standardoptionen ausführt, könnte Linux einen Fehler 'Debugger erkannt' zurückgeben.

Abhilfemaßnahme: Deaktivieren Sie Benutzer-Debugger-Erkennung für die Anwendung, wenn Sie die Anwendung unter Verwendung von Envelope schützen. (Beachten Sie, dass die Deaktivierung der Debugger-Erkennung die allgemeine Sicherheit der Anwendung verringert.)

Nachdem ein Benutzer eine Razer-Abyssus-Maus verbindet und Razer-Treiber auf einem Computer installiert, erkennt der Gerätemanager auf dem Computer einen Sentinel HL-Key nicht, wenn der Key zum selben USB-Port verbunden ist, zu dem die Maus vorher verbunden war.

Dieses Problem ist an Razer weitergeleitet worden.

Nehmen Sie die folgende Situation an:

Ein Sentinel HL-Key (Treiberlose Konfiguration) ist im Standardmodus zu einem USB-Host-Controller auf QEMU-Emulator Version 2.0.0 und Virtual Maschine Manager Version 0.9.5 verbunden.

Wenn der Key getrennt wird, wird der Key weiterhin im Admin Control Center als ein verbundener Key angezeigt. (Eine geschützte Anwendung, deren Lizenz sich im Key befindet, wird jedoch nicht ausgeführt, nachdem der Key getrennt wurde.)

Abhilfemaßnahme: Stellen Sie den USB-Controller auf den USB 2.0-Modus ein.

Debugger-Erkennung ist nicht bereitgestellt für .NET-Anwendungen.

Abhilfemaßnahme: Implementieren Sie den Debugger-Erkennungsmechanismus in den Anwendungscode und verwenden Sie Envelope, um die Methoden zu schützen, die diese Funktionen aufrufen.

Wird eine geschützte Anwendung unter Novell ZENworks Agent ausgeführt, generiert die Anwendung u. U. Fehler 'Debugger erkannt' und kann bei der Ausführung fehlschlagen. Dies liegt daran, dass ZENworks Agent sich als ein Debugger an die gestartete Anwendung anhängt, um unterschiedliche Ereignisse zu überwachen.

Wenn ein Fehler 'Debugger erkannt' generiert wird, ist es für die geschützte Anwendung möglich, zu ermitteln, welcher Prozess als ein Debugger erachtet wird.

Wenn eine geschützte Anwendung erkennt, dass ein Debugger angehängt ist, generiert die Anwendung u. U. mehrere Meldungsfenster 'Debugger erkannt'.

Nehmen Sie die folgende Situation an:

1.Installieren Sie Adminmodus-Lizenzen auf Ihrem lokalen Computer.

2.Führen Sie IObit Advanced SystemCare Ultimate 12 aus, um Ihren Rechner zu bereinigen und zu optimieren.

3.Starten Sie Ihren Rechner neu.

Möglicherweise fehlen lokale SL-Adminmodus-Lizenzen, oder sie werden als geklonte Lizenzen erkannt. Das ist ein mit dem IObit-Produkt verbundenes Problem. Thales hat diese Problem bei IObit gemeldet und es wird gegenwärtig untersucht.

Abhilfemaßnahme: Verwenden Sie nicht die aktuelle Version des IObit-Produkts, ODER verwenden Sie keine SL-Adminmodus-Lizenzen, bis das Problem behoben wurde. (Die Verwendung von SL-Benutzermodus-Lizenzen ist möglich.)

Wenn eine Java-Anwendung geschützt wird, fehlt Envelope mit der Meldung 'Schwerwiegender interner Fehler (12)' fehl.

Abhilfemaßnahme: Sollte es zu diesem Fehler kommen, schützen Sie die Java-Anwendung unter Verwendung einer der folgenden Techniken:

>Wenn die Anwendung JARs innerhalb einer ausführbaren JAR-/WAR-Datei enthält, entfernen Sie diese JARs, wenn Sie die ausführbare Datei mit Envelope schützen. Sie können die JARs zu den ausführbaren JAR-/WAR-Dateien hinzufügen, nachdem der Schutz vollständig ist.

>Erstellen Sie eine ausführbare JAR-/War-Datei unter Verwendung nur dieser Klassen, die Sie schützen möchten. Nachdem Sie Schutz angewendet haben, können Sie andere Klassen oder JARs oder jedwede Abhängigkeiten der geschützten ausführbaren JAR-/WAR-Datei hinzufügen.

Für eine Java 7- oder Java 8-Anwendung, die mit Envelope geschützt ist, muss der Endbenutzer die folgende Befehlszeilensyntax verwenden, um die geschützte Anwendung zu starten:

>Java 7: java -UseSplitVerifier -jar ProtectedJar.jar angeben

>Java 8 uns später: java -noverify -jar ProtectedJar.jar angeben

Ist das entsprechende Flag nicht angegeben, gibt die Anwendung u. U. java.verifyerror zurück, wenn sie gestartet wird.

Nehmen Sie die folgende Situation an:

>Ein Envelope-Projekt wurde mit Envelope Version 7.3 oder früher erstellt.

>Das Projekt enthält Einstellungen für eine Java-Anwendung.

>Auf der Registerkarte Schutzeinstellungen für die Java-Anwendung wählen Sie die Option zum Überschreiben der Standardschutzeinstellungen aus.

Das Kontrollkästchen Kulanzzeiträume nach fehlgeschlagener Lizenzprüfung zulassen sollte änderbar sein. Das Kontrollkästchen kann aber nicht geändert werden.

Abhilfemaßnahme: Nehmen Sie auf der Registerkarte Erweitert eine beliebige Änderung an der Eigenschaft MESSAGE_OUTPUT_MODE vor und machen die Änderung dann rückgängig. Das zwingt Envelope, eine interne Datenstruktur zu laden, woraufhin das Kontrollkästchen Kulanzzeiträume nach fehlgeschlagener Lizenzprüfung zulassen geändert werden kann.

Hinweis:: Dieser Kulanzzeitraum wird für Web-Anwendungen nicht unterstützt.

Aufgrund einer bekannten Einschränkung in Java, wird das Dialogfeld Hintergrundprüfung (Abbrechen/Erneut versuchen/Ignorieren) möglicherweise nicht angezeigt, wenn der Thread einer Hintergrundprüfung zu non-EDT wechselt. Envelope wurde geändert, so dass der durch die geschützte Anwendung in der geschützten Anwendung ausgelöste Fehlerdialog Vorrang hat. Dadurch wurde das Auftreten des Problems verringert, aber nicht vollständig behoben.

Für Apps, die auf das .NET-Framework Version 4.6 oder später ausgerichtet sind, werden CultureInfo.CurrentCulture und CultureInfo.CurrentUICulture im ExecutionContext des Threads gespeichert, der über asynchrone Operationen verläuft. Demzufolge werden Änderungen der Eigenschaften CultureInfo.CurrentCulture und CultureInfo.CurrentUICulture in später gestarteten asynchronen Aufgaben berücksichtigt.

Wenn sich die aktuelle Kultur oder aktuelle UI-Kultur von der System-Kultur unterscheidet, überschreitet die aktuelle Kultur die Threadgrenzen und wird die aktuelle Kultur des Threadpool-Threads, der die asynchrone Operation ausführt.

Beim Schützen einer Beispielanwendung unter Implementierung des vorstehenden Verhaltens mit dem Schutztyp „nur .NET“ verhält sich die Anwendung erwartungsgemäß. Bei den Schutztypen „.NET und Windows-Shell“ oder „Nur Windows-Shell“ nutzt der Thread die Kultur des Systems, um das Verhalten festzulegen.

Abhilfemaßnahme:

Gehen Sie folgendermaßen vor:

1..NET-Framework 4.5 verwenden.

2.Verwenden Sie

CultureInfo.DefaultThreadCurrentCulture = new CultureInfo(...)

anstelle von

Thread.CurrentThread.CurrentCulture = new CultureInfo(...).

Nehmen Sie die folgende Situation an:

1.Eine .NET-Anwendung ist mit Envelope geschützt.

2.Der Schutztyp enthält Windows-Shell (mit oder ohne die Methodenebene).

3.Die Anwendung versucht, mit der folgenden Methode ein Modul-Handle abzurufen:

IntPtr hMod = Marshal.GetHINSTANCE(Assembly.GetExecutingAssembly().GetModules()[0])

Der zurückgegebene Handle ist möglicherweise nicht richtig und es wird demzufolge ein Fehler generiert.

Abhilfemaßnahme: Sie können die System-API GetModuleHandle der Kernel32.dll aufrufen, um das Modul-Handle zu erhalten.

Beispiel:

[DllImport("kernel32.dll", CallingConvention = CallingConvention.StdCall, CharSet = CharSet.Auto)] private static extern IntPtr GetModuleHandle(IntPtr lpModuleName); IntPtr hMod = GetModuleHandle(Process.GetCurrentProcess().MainModule.ModuleName);

Nehmen Sie die folgende Situation an:

>Eine Linux-Anwendung ist mit Envelope mit Schutz gegen Debugging geschützt.

>Die Anwendung ruft den Systemaufruf wait(&status) auf. Das entspricht Folgendem:

waitpid(-1, &status, 0)

Die Anwendung kann sich aufhängen.

Abhilfemaßnahme 1: Waitpid für die pid eines bestimmten untergeordneten Prozesses (pid > 0) aufrufen.

Abhilfemaßnahme 2: Die Funktion für den Schutz vor Debugging in Envelope deaktivieren. Hinweis: Diese Abhilfemaßnahme führt zu einer signifikanten Einschränkung der Sicherheit der geschützten Anwendung. Thales empfiehlt Ihnen, sich vom technischen Support beraten zu lassen, bevor Sie sich für diese Abhilfemaßnahme entscheiden.

Eine geschützte Anwendung verarbeitet Signale möglicherweise nicht richtig, wenn:

>Hintergrundprüfungen aktiviert sind, und

>Signal-Handler von einem von der Anwendung erstellten Thread registriert sind.

Abhilfemaßnahme: Führen Sie einen der folgenden Schritte aus:

>Deaktivieren Sie sowohl Hintergrundprüfung als auch Anti-Debugging. (Das können Sie durch Angeben der folgenden Befehlszeilen-Flags tun: -b:0 --debug --memdump)

>(Bevorzugte Abhilfemaßnahme) Registrieren Sie den Signal-Handler im Hautp-Thread und nicht in einer Thread-Funktion. Eine Thread-Funktion ist eine der Folgenden:

•Eine als start_routine an pthread_create übergebene Funktion

•Eine aus start_routine aufgerufene Funktion.

>Wenn Envelope auf einer VMware Fusion 7.1.1-Virtual-Machine auf einem Mac-Rechner ausgeführt wird und Sie die geschützte Anwendung zu einem HGFS-Volumen (HGFS = Host Guest File System) speichern, wird die Anwendungsdatei beschädigt.

>Wenn Sie eine geschützte Anwendung auf einer VMware Fusion Virtual Machine aus einer HGFS-Freigabe ausführen und die Anwendung erfordert Schreibzugriff, wird der Fehler 'In Datei kann nicht geschrieben werden' zurückgegeben.

Das Envelope-Befehlszeilen-Tool (envelope_darwin) funktioniert jetzt nur, wenn sich Envelope.app (UI-Bündel) im selben Ordner befindet. Um das Befehlszeilen-Tool verwenden zu können, kopieren Sie Envelope.app in den Ordner, in dem auch das Befehlszeilen-Tool liegt.