locked
Как добивить новый тип вируса в список исключений с MFCS Console RRS feed

  • Вопрос

  • Добрый день!

    У меня такая задача: на закладке Mirosoft Forefront Client Securety Console - Policy Management - FCS Common Comp - Overrides. Можно добавить исключения по имени вируса. (Overrides based on threat)

    В моем случае нужно сделать так, что бы Forefront не обращал внимания на файлы HackTool:Win32/Keygen

    Однако в предлогаемом списке нет такого названия. Отсюда вопрос: Как можно добавить новое имя в этот список?

    P.S. Компьютер с MFCS Console постоянно обновляется с update.microsoft.com

     

    Заранее спасибо!

    30 июня 2011 г. 12:19

Ответы

  • Дмитрий, прошу прощения за ожидание!

     

    Все оказалось намного проще!

    Ключ с Virus ID Необходимо добавить по этому пути:


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Threats\ThreatIDDefaultAction]
    "2147593794"=dword:00000006

    Есть одна тонкость, права на редактирование ветки AM есть только у пользователя SYSTEM, так что во избежании дальнейшых проблем с вирусами лучше воспользоваться GPO

     

    Спасибо за помощь!

     

    • Помечено в качестве ответа Dmitry Ananyev 29 июля 2011 г. 15:10
    29 июля 2011 г. 15:09

Все ответы

  • Dmitry, при условии наличия последних обновлений недоступность выбора определенных угроз в списке переопределений говорит о том, что поведение FCS относительно этих угроз переопределению не подлежит.

    На свой страх и риск Вы можете переопределить любую угрозу через GPO, манипулирую ключом реестра

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Threats\ThreatIDDefaultAction

    Value Name: <ThreatID>

    Value Type: DWORD

    Value: 6

    <ThreatID> - идентификатор угрозы, который Вы можете определить из логов, 6 - пропустить при сканировании

    Параметры политики и разделы реестра


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.
    • Предложено в качестве ответа Dmitry Davydov 15 июля 2011 г. 13:02
    • Помечено в качестве ответа Yuriy Lenchenkov 19 июля 2011 г. 8:11
    • Снята пометка об ответе Dmitry Ananyev 29 июля 2011 г. 15:10
    1 июля 2011 г. 15:56
  • Дмитрий, спасибо за ответ.

     

    Добавил запись в реестр на тестовом ПК, в меню FCS клиента Allowed items действительно появилась запить о HackTool:Win32/Keygen

    но при расспаковывании архива с "зараженным файлом" fcs опять ругается. и предлагает только поместить в карантин.

     

    Есть какие нибудь еще мысли на этот счет?

    1 июля 2011 г. 17:01
  • Похоже, что поведение FCS при переопределении на Ignore именно такое. Удалось обнаружить, что это переопределение позволяет "угрозе" выполняться, но пользователя все равно оповещает о выполнении вредоносного кода и создает соответствующее событие на основе определения.

    А вот эта штука http://support.microsoft.com/?kbid=940060 добавила в переопределения Ignore Always. Не исключено, что может повлиять и в Вашей ситуации.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.
    • Предложено в качестве ответа Dmitry Davydov 15 июля 2011 г. 13:02
    • Помечено в качестве ответа Yuriy Lenchenkov 19 июля 2011 г. 8:11
    • Снята пометка об ответе Dmitry Ananyev 29 июля 2011 г. 15:10
    5 июля 2011 г. 15:24
  • Support MML, удалось ли Вам справиться с настройкой FCS ? Помог ли чем-нибудь хотфикс?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.
    12 июля 2011 г. 11:47
  • Дмитрий, прошу прощения за ожидание!

     

    Все оказалось намного проще!

    Ключ с Virus ID Необходимо добавить по этому пути:


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Threats\ThreatIDDefaultAction]
    "2147593794"=dword:00000006

    Есть одна тонкость, права на редактирование ветки AM есть только у пользователя SYSTEM, так что во избежании дальнейшых проблем с вирусами лучше воспользоваться GPO

     

    Спасибо за помощь!

     

    • Помечено в качестве ответа Dmitry Ananyev 29 июля 2011 г. 15:10
    29 июля 2011 г. 15:09