locked
Настройка FCS на действия с неклассифицированными угрозами. RRS feed

  • Вопрос

  • Добрый день!

    В компании используется Forefront Client Security.

    Произошла следующая ситуация:

    Компьютер, на котором был установлен клиент fcs получил зараженный файл, видимо через приложение agent mail.ru, или каким либо другим способом, точного ответа пока нету. FCS не смог классифицировать зараженный файл в двух ситуациях:

    1. когда он попал на компьютер

    2. когда он начал работать и записал файлы заданих (jobs) в %Systemroot%\tasks.

    Из логов понятно, что эти объекты были проигнорированы в связи с тем что это [Unclassified software]

    Microsoft Forefront Client Security Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. Microsoft Forefront Client Security can't undo changes that you allow.

    For more information please see the following:

    http://go.microsoft.com/fwlink/?linkid=74409

    Scan ID: {20753D7D-959F-442C-A424-3DB7132DBD3B}

    Agent: Application Registration

    User: domain\ivanov

    Name: Unknown

    ID:

    Severity: Not Yet Classified

    Category: Not Yet Classified

    Path Found: file:C:\WINDOWS\tasks\rajf09rx.job;file:C:\Documents and Settings\ivanov\Local Settings\temp\3fe06.exe;taskscheduler:C:\WINDOWS\tasks\rajf09rx.job

    Alert Type: Unclassified software

    Process Name:

    Detection Type:

    Status:

    -----------------------------------

    Подскажите, как правильно настроить FCS, для того что бы он блокировал и уведомлял администраторов по всем неклассифицированным объектам?

    Так же, пользователи не должны сами менять настройки и выбирать действия с подозрительными объектами.

    Прошу прощения, если некорректно описал. если нужно уточнения, с радостью дополню и помогу следствию :)

    Спасибо!

    С уважением, Дмитрий Ананьев.


    3 сентября 2013 г. 10:00

Ответы

  • Здравствуйте Дмитрий,

    С FCS не доводилось тесно работать, к сожалению. Насколько понимаю, действие на Unclassified software по умолчанию идет Ignore, и изменить его нет возможности - FCS default action for Unclassified Software - can it be modified?

    По поводу настройки уведомлений могут быть полезными данные ссылки:

    Planning your policies

    Best practices with Client Security

    Using the Client Security agent

    Надеюсь поможет :) Может откликнется кто-то с большим опытом c FCS..


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется как есть, без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    4 сентября 2013 г. 7:35