Добрый день!
В компании используется Forefront Client Security.
Произошла следующая ситуация:
Компьютер, на котором был установлен клиент fcs получил зараженный файл, видимо через приложение agent mail.ru, или каким либо другим способом, точного ответа пока нету. FCS не смог классифицировать зараженный файл
в двух ситуациях:
1. когда он попал на компьютер
2. когда он начал работать и записал файлы заданих (jobs) в %Systemroot%\tasks.
Из логов понятно, что эти объекты были проигнорированы в связи с тем что это [Unclassified software]
Microsoft Forefront Client Security Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to
allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. Microsoft Forefront Client Security can't undo changes that you allow.
For more information please see the following:
http://go.microsoft.com/fwlink/?linkid=74409
Scan ID: {20753D7D-959F-442C-A424-3DB7132DBD3B}
Agent: Application Registration
User: domain\ivanov
Name: Unknown
ID:
Severity: Not Yet Classified
Category: Not Yet Classified
Path Found: file:C:\WINDOWS\tasks\rajf09rx.job;file:C:\Documents and Settings\ivanov\Local Settings\temp\3fe06.exe;taskscheduler:C:\WINDOWS\tasks\rajf09rx.job
Alert Type: Unclassified software
Process Name:
Detection Type:
Status:
-----------------------------------
Подскажите, как правильно настроить FCS, для того что бы он блокировал и уведомлял администраторов по всем неклассифицированным объектам?
Так же, пользователи не должны сами менять настройки и выбирать действия с подозрительными объектами.
Прошу прощения, если некорректно описал. если нужно уточнения, с радостью дополню и помогу следствию :)
Спасибо!
С уважением, Дмитрий Ананьев.
