locked
FCS. автоматическое удаление угрозы RRS feed

  • Вопрос

  • Домен.

    машина - пользователь с правалми пользователя.

    схвати блокиратор (смс), FCS вывел сообщение что обнаружена угроза, и надо с ней разобраться. но пользователь ничего не делает, и соответсвенно -при следующем запуске машины - блокиратор сделал свое дело.

    вот почему то мне раньше казалось, что все происходит автоматически - удаление вируса. или я путаю что-то.

    если не путаю, то как настроить, чтобы машина была обезопасена от подобных инцидентов.

    так же и касаемо, если пользователь с админскими правами!

    2 августа 2011 г. 8:53

Ответы

  • bahtey, по умолчанию FCS не производит никаких удалений. Если механизм защиты в реальном времени обнаруживает угрозу, то она блокируется, а пользователь оповещается. Тем самым предоставляется выбор действия, которое следует произвести над обнаруженной заразой. Но, если в течение 10 минут никакого отклика от пользователя не поступает, тогда выполняется действие по умолчанию, прописанное или в политике, или в определениях угроз. Все это время неприятель блокирован и никто не может его прочитать или запустить.

    При помощи политик Вы можете переопределять дефолтное поведение с конкретной угрозой, категорией угроз или их серьезности

    Переопределение реагирования на вредоносные программы по умолчанию

    Сканирование по расписанию применяет действие по умолчанию над такими подвисшими угрозами. Проблему, что все это не работает, когда пользователь не залогинен в системе, решает вот этот апдейт

    Forefront Client Security anti-malware client update: April 2010


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.
    • Предложено в качестве ответа Dmitry Davydov 7 августа 2011 г. 12:26
    • Помечено в качестве ответа Dmitry Davydov 9 августа 2011 г. 13:59
    3 августа 2011 г. 15:45
  • да, я подобное читал, но у меня версия стоит клиента 1.5.1996.0.

    так это же отлично, стало быть защита Вашей сети не имеет описанной в статье бреши

    и опять же блокировщики определяются по разному, допустим как trojan:win32/eyestye, и в переопределениях их не увидишь.

    не совсем так, у Вас имеется возможность создавать переопределения даже для тех угроз, которые не представлены в списке. Посмотрите здесь тему

    Как добивить новый тип вируса в список исключений с MFCS Console

    Правда, что-то в настройках я вижу только пункт о том, что угрозу стоит пропускать при сканировании - других вариантов нет.

    только по уровню угрозы выбирать...

    А вот для категорий и серьезности имеется возможость выбирать различные действия. Ну, в конечном итоге, не этого ли Вы добиваетесь, чтобы наиболее злостные (или все) угрозы удалялись автоматически?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    • Предложено в качестве ответа Dmitry Davydov 7 августа 2011 г. 12:26
    • Помечено в качестве ответа bahtey 8 августа 2011 г. 2:55
    4 августа 2011 г. 11:21

Все ответы

  • никто не готов высказать свою идею?
    3 августа 2011 г. 8:42
  • bahtey, по умолчанию FCS не производит никаких удалений. Если механизм защиты в реальном времени обнаруживает угрозу, то она блокируется, а пользователь оповещается. Тем самым предоставляется выбор действия, которое следует произвести над обнаруженной заразой. Но, если в течение 10 минут никакого отклика от пользователя не поступает, тогда выполняется действие по умолчанию, прописанное или в политике, или в определениях угроз. Все это время неприятель блокирован и никто не может его прочитать или запустить.

    При помощи политик Вы можете переопределять дефолтное поведение с конкретной угрозой, категорией угроз или их серьезности

    Переопределение реагирования на вредоносные программы по умолчанию

    Сканирование по расписанию применяет действие по умолчанию над такими подвисшими угрозами. Проблему, что все это не работает, когда пользователь не залогинен в системе, решает вот этот апдейт

    Forefront Client Security anti-malware client update: April 2010


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.
    • Предложено в качестве ответа Dmitry Davydov 7 августа 2011 г. 12:26
    • Помечено в качестве ответа Dmitry Davydov 9 августа 2011 г. 13:59
    3 августа 2011 г. 15:45
  • да, я подобное читал, но у меня версия стоит клиента 1.5.1996.0.

    и опять же блокировщики определяются по разному, допустим как trojan:win32/eyestye, и в переопределениях их не увидишь.

    только по уровню угрозы выбирать...

    4 августа 2011 г. 2:54
  • да, я подобное читал, но у меня версия стоит клиента 1.5.1996.0.

    так это же отлично, стало быть защита Вашей сети не имеет описанной в статье бреши

    и опять же блокировщики определяются по разному, допустим как trojan:win32/eyestye, и в переопределениях их не увидишь.

    не совсем так, у Вас имеется возможность создавать переопределения даже для тех угроз, которые не представлены в списке. Посмотрите здесь тему

    Как добивить новый тип вируса в список исключений с MFCS Console

    Правда, что-то в настройках я вижу только пункт о том, что угрозу стоит пропускать при сканировании - других вариантов нет.

    только по уровню угрозы выбирать...

    А вот для категорий и серьезности имеется возможость выбирать различные действия. Ну, в конечном итоге, не этого ли Вы добиваетесь, чтобы наиболее злостные (или все) угрозы удалялись автоматически?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    • Предложено в качестве ответа Dmitry Davydov 7 августа 2011 г. 12:26
    • Помечено в качестве ответа bahtey 8 августа 2011 г. 2:55
    4 августа 2011 г. 11:21
  • все ж у меня есть еще вопрос. дабы не плодить темы.

    почему-то FCS клиент в режиме "реального времени" как-то странно ведет себя, не обнаруживая допустим, потенциальные вирусы закидываемые по сети на машину с клиентом FCS. а лишь когда выбираешь проверить каталог с этими угрозами, начинает что-то находить.

    как-то можно покрутить? я понимаю настроек как таковых нет, но по сути, много паразитов у людей в кэше сидит браузера. и складывается впечатление что явно не просматривается веб-трафик.

    14 сентября 2011 г. 9:03