Hay una revisión resolver algunos problemas relacionados con el cliente de antimalware Forefront Client Security

Este artículo describe los problemas de cliente de antimalware de Microsoft Forefront Client Security (FCS) que se corrigen en el paquete de revisiones de Forefront Client Security.

INTRODUCCIÓN

Problemas que corrige este paquete de hotfix

Problema 1

El panorama del malware ha evolucionado, que requiere nuevas técnicas para detectar malware de forma más eficaz.
Solución
Se agregan nuevas características para detectar software malintencionado nuevo a Forefront Client Security. Debe aplicar esta revisión para habilitar estas nuevas características. Esta revisión incluye cambios en el controlador de modo de núcleo de Forefront Client Security.

Problema 2

El componente de exploradores de Software de la interfaz de usuario de antimalware sale prematuramente en un equipo que ejecuta Windows 2000 cuando se encuentra un acceso directo en una carpeta de inicio de Windows.
Solución
Esta revisión implementa un cambio en la forma en que utiliza el COM en el componente de Software Explorers. El cambio soluciona un problema que sólo está presente en Windows 2000. Este problema hace que el componente de Software Explorers salir antes de tiempo.

Problema 3

Aunque el uso de MpCmdRun.exe-seguimiento indica que realiza un seguimiento de todos los niveles y todos los grupos, algunas instrucciones de seguimiento no se agregan al archivo de registro binario. Sin seguimiento no estaba disponible para el componente de minifiltro de modo de núcleo.
Solución
MpCmdRun.exe-seguimiento se modifica para incluir todos los niveles y todos los grupos. El componente de minifiltro de modo de núcleo se actualiza para iniciar otra vez instrucciones de seguimiento en el archivo de registro binario.

Problema 4

Forefront Client Security inesperadamente examina los archivos que se almacenan en ubicaciones de red cuando se realiza un análisis de un equipo cliente que tiene archivos de acceso directo. Este es el comportamiento que se describe en el siguiente artículo de Knowledge Base:
939361 forefront Client Security inesperadamente examina los archivos que se almacenan en ubicaciones de red cuando se realiza un análisis completo de un equipo cliente

Solución
Este problema se resuelve mediante una actualización del motor de detección de Forefront Client Security (FCS) y a través de una actualización de servicio de FCS. Se actualiza la forma en que el motor de FCS analiza los archivos de acceso directo (.lnk). El motor puede configurarse ahora para consultar la ruta de acceso a la que apunta el acceso directo. Si la ruta está en el equipo local, el motor analizará la ubicación que se hace referencia. Si la ruta es una ubicación de red, el motor no analizará la referencia.

Este motor de análisis de comportamiento se introdujo con la versión del motor 1.1.4701.0, mayo de 2009 que se lanzó con actualización de definición 1.59.3.0. De forma predeterminada, no está habilitado el nuevo acceso directo el comportamiento de análisis. Para habilitar esta característica, debe hacer todo lo siguiente:
  • Instale la versión de actualización de definición 1.59.3.0 o una versión posterior.
  • Instalar la actualización de cliente de antimalware que se describe en este artículo.
  • Se aplican los pasos de configuración de directivas que se describen en la sección "Más información" de este artículo.

Problema 5

En una unidad de sistema es un volumen de disco dinámico, el malware detectado hace detecciones repetidas y crea los archivos sobrantes.
Solución
Este problema se corrige para que las detecciones en una unidad del sistema es un volumen de disco dinámico no causan detecciones repetidas o archivos innecesarios.

Problema 6

El centro de acciones de Windows 7 genera un mensaje de protección de Virus: "Forefront Client Security está activado pero informa su estado al centro de seguridad de Windows en un formato que ya no se admite. Utilice la función de actualización automática del programa o póngase en contacto con la elaboración del programa para obtener una versión actualizada."

Solución
Esta actualización contiene cambios en cómo Forefront Client Security interactúa con el centro de seguridad de Windows y es necesario para compatibilidad en Windows 7.

Información de la revisión

Existe un hotfix disponible desde Microsoft.

Nota: Esta revisión está disponible desde Microsoft Update y de Windows Server Update Services. Si desea obtener el archivo de implementación mediante un método diferente, siga estos pasos:
  1. Visite el siguiente sitio Web de catálogo de Microsoft Update:
  2. Escriba 971026 en el cuadro de búsqueda y, a continuación, haga clic en Buscar.
  3. Haga clic en Agregar para agregar la revisión a la cesta.
  4. Cerca de la barra de búsqueda en la parte superior, haga clic en el vínculo Ver cesta .
  5. Haga clic en Descargar.
  6. Haga clic en Examinar, especifique la carpeta a la que desea descargar la revisión y, a continuación, haga clic en Aceptar.
  7. Haga clic en continuary, a continuación, haga clic en para aceptar los términos de licencia del Software de Microsoft. La revisión empieza a descargar.
  8. Espere hasta que se descarga la revisión en la ubicación especificada y, a continuación, haga clic en Cerrar.

Problema conocido con esta actualización

Este hotfix no puede instalarse cuando utilice Windows Update para instalar actualizaciones en un equipo que ejecuta una instalación Server Core de Windows Server 2008. Para obtener más información acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

955884 la actualización de Forefront Client Security (actualización de 952265) puede no instalarse en una instalación Server Core de Windows Server 2008 cuando utilice Windows Update

Requisitos previos

No hay ningún requisito previo para instalar este hotfix.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix reemplaza el hotfix siguientes:
952265 que pueden producir daños en los datos en un equipo que tenga instalado Forefront Client Security

938054 hay un hotfix resolver algunos problemas relacionados con el cliente de Forefront Client Security

956280 minifiltro de modo de núcleo de Forefront Client Security la descarga cuando explora un recurso compartido de archivos de red que contiene muchos archivos malintencionados

Información de archivo

La versión en inglés de este paquete de revisiones usa un paquete de Microsoft Windows Installer para instalar el paquete de revisiones. Las fechas y las horas de estos archivos se muestran en hora Universal coordinada (UTC) en la tabla siguiente. Al ver la información del archivo, la fecha se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en el elemento de fecha y hora del Panel de Control.

Forefront Client Security, versiones basadas en x86

Nombre del archivoVersión del archivoTamaño de archivoFechaHora
Amhelp.chmNo aplicable65,21628-Oct-200817:55
Mpasbase.vdm1.0.0.0572,72028-Oct-200817:58
Mpasdesc.dll1.5.1972.049,02403-Jun-200922:48
Mpasdlta.vdm1.0.0.09.00828-Oct-200817:58
Mpavbase.vdm1.0.0.0204,62428-Oct-200817:58
Mpavdlta.vdm1.0.0.09,04028-Oct-200817:58
Mpavrtm.dll1.5.1972.0128,36803-Jun-200922:29
Mpclient.dll1.5.1972.0366,44803-Jun-200922:29
Mpcmdrun.exe1.5.1972.0349,04803-Jun-200922:26
Mpengine.dll1.1.3520.03,308,62428-Oct-200817:57
Mpevmsg.dll1.5.1972.023,42403-Jun-200922:48
Mpfilter.sys1.5.1969.069,61615-May-200917:35
Mpoav.dll1.5.1972.092,01603-Jun-200922:29
Mprtmon.dll1.5.1972.0730,99203-Jun-200922:29
Mpsigdwn.dll1.5.1972.0129,92003-Jun-200922:29
Mpsoftex.dll1.5.1972.0518,01603-Jun-200922:29
Mpsvc.dll1.5.1972.0304,51203-Jun-200922:29
Mputil.dll1.5.1972.0177,02403-Jun-200922:29
Msascui.exe1.5.1972.01,033,60003-Jun-200922:29
Msmpcom.dll1.5.1972.0221,04003-Jun-200922:29
Msmpeng.exe1.5.1972.016,88003-Jun-200922:26
Msmplics.dll1.5.1972.09,08803-Jun-200922:29
Msmpres.dll1.5.1972.0766,33603-Jun-200922:48

Forefront Client Security, versiones basadas en x64

Nombre del archivoVersión del archivoTamaño de archivoFechaHora
Amhelp.chmNo aplicable65,21628-Oct-200817:55
Mpasbase.vdm1.0.0.0572,72028-Oct-200817:58
Mpasdesc.dll1.5.1972.049,52004-Jun-200900:36
Mpasdlta.vdm1.0.0.09.00828-Oct-200817:58
Mpavbase.vdm1.0.0.0204,62428-Oct-200817:58
Mpavdlta.vdm1.0.0.09,04028-Oct-200817:58
Mpavrtm.dll1.5.1972.0154,49604-Jun-200900:17
Mpclient.dll1.5.1972.0546,68804-Jun-200900:17
Mpcmdrun.exe1.5.1972.0504,60804-Jun-200900:15
Mpengine.dll1.1.3520.04,431,95228-Oct-200817:57
Mpevmsg.dll1.5.1972.023,40804-Jun-200900:36
Mpfilter.sys1.5.1969.088,94415-May-200917:35
Mpoav.dll1.5.1972.0117,63204-Jun-200900:17
Mprtmon.dll1.5.1972.01,181,05604-Jun-200900:17
Mpsigdwn.dll1.5.1972.0179,58404-Jun-200900:17
Mpsoftex.dll1.5.1972.0791,42404-Jun-200900:17
Mpsvc.dll1.5.1972.0416,12804-Jun-200900:17
Mputil.dll1.5.1972.0247,16804-Jun-200900:17
Msascui.exe1.5.1972.01,636,73604-Jun-200900:17
Msmpcom.dll1.5.1972.0305,53604-Jun-200900:17
Msmpeng.exe1.5.1972.016,36804-Jun-200900:15
Msmplics.dll1.5.1972.09,08804-Jun-200900:17
Msmpres.dll1.5.1972.0764,28804-Jun-200900:36

Más información

De forma predeterminada, no está habilitado el nuevo comportamiento de análisis de acceso directo que se describe en la resolución del problema 4. Para habilitar esta característica, debe instalar la actualización del motor y la actualización que se describe en este artículo. Después de instalar estas actualizaciones, debe implementar la directiva al cliente para cambiar su comportamiento predeterminado. Esta directiva se puede implementar a través de la directiva local o de Active Directory mediante un archivo de plantilla administrativa (ADM) de directiva de grupo. La configuración de directiva no es directamente se despliegan a través de la consola de administración de Forefront Client Security. Sin embargo, se puede agregar a una implementación de archivo antes de utilizar Fcslocalpolicytool.exe para aplicar la directiva.

Pasos de configuración de directiva

Para implementar la directiva, utilice una de las dos opciones siguientes.

Opción 1: Implementar la directiva mediante un archivo ADM

  1. Crear un archivo de plantilla administrativa de directiva de grupo.
    1. Inicie el Bloc de notas.
    2. Copie y pegue los siguientes comandos en el Bloc de notas:
      CLASS MACHINECATEGORY !!FCSCategory
      POLICY !!NetworkScan_Name
      KEYNAME "SOFTWARE\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Scan"
      EXPLAIN !!NetworkScan_Explain

      VALUENAME DisableScanningNetworkFiles
      VALUEON NUMERIC 1
      VALUEOFF NUMERIC 0
      END POLICY
      END CATEGORY

      [strings]
      FCSCategory="Microsoft FCS Scan Configuration"
      NetworkScan_Name="Disable Network Scan"
      NetworkScan_Explain="This setting instructs the FCS antimalware client not to scan referenced network locations."

    3. En el menú Archivo, haga clic en Guardar como.
    4. Seleccione un destino y, a continuación, escriba KB971026.adm en el cuadro nombre de archivo .
    5. En el cuadro Guardar como tipo y, a continuación, haga clic en todos los archivos (*. *).
  2. Utilizar el archivo de plantilla administrativa de directiva de grupo para implementar directivas
    1. Coloque el archivo KB971026.adm en una ubicación que está disponible en el equipo de implementación de la directiva. Para obtener más información acerca de cómo administrar los archivos ADM, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      816662 recomendaciones para administrar los archivos de plantilla administrativa (.adm) de directiva de grupo

    2. Abra el editor de directivas de grupo local apropiado o ubicación basada en Active Directory. Normalmente, esto se realiza mediante el editor de directivas de grupo local, usuarios de Active Directory y equipos o el Console(GPMC) de administración de directiva de grupo.
    3. Expanda Configuración del equipo, haga clic en Plantillas administrativas, haga clic en Agregar o quitar plantillas.
    4. Haga clic en Agregar.
    5. Haga clic para seleccionar el archivo KB971026.adm que creó en el paso 1 y, a continuación, haga clic en Abrir.
    6. Haga clic en Cerrar. La carpeta de Plantillas administrativas clásicas (ADM) se crea bajo Plantillas administrativas.
    7. En Windows Vista o Windows Server 2008, expanda Plantillas administrativas clásicas (ADM), haga clic en Configuración de detección de Microsoft FCS.
    8. En el panel derecho, haga doble clic en Deshabilitar el análisis de red.
    9. Seleccione Habilitary, a continuación, haga clic en Aceptar.

Opción 2: Implementar la directiva modificando el archivo .reg

.

Solucionarlo en mi lugar

Para permitir que la revisión del paquete corregir este problema automáticamente, siga estos pasos:
  1. Utilice la consola de administración de Forefront Client Security para implementar la directiva a un archivo. reg. Para obtener más información, consulte la "sección del registro archivo implementación" en el siguiente sitio Web de Microsoft:
  2. Haga clic en el vínculo de corregir este problema , haga clic en Ejecutar en el cuadro de diálogo descarga de archivos.
  3. Siga las instrucciones del asistente que aparece.



Nota: Este paquete MSI puede ejecutarse en modo silencioso mediante la importación de un archivo de registro. En concreto, puede ejecutar el paquete MSI mediante la sintaxis siguiente:

msiexec.exe /i < ruta MSI y el nombre >/qn FIXITTARGETDIR = "< ruta de acceso y nombre >"
Observe que todos los caracteres de la propiedad FIXITTARGETDIR deben estar en mayúsculas. Además, la ruta de acceso del archivo debe ser la ruta de acceso completa.

Un ejemplo de instalación silenciosa es la siguiente:
msiexec.exe  /i  c:\temp\MicrosoftFixit50502.msi  /qn FIXITTARGETDIR=”c:\temp\Scan.reg”


Nota: Este asistente puede estar en inglés solamente; Sin embargo, el automático también corregir trabajo para otras versiones de idioma de Windows.

Nota: Si no está en el equipo que tiene el problema, puede guardar esta corrección automática en una unidad flash o en un CD para que se pueda ejecutar en el equipo que tiene el problema.


Solucionarlo por mí mismo

Para modificar el archivo. reg, siga estos pasos:
  1. Utilice la consola de administración de Forefront Client Security para implementar la directiva a un archivo. reg. Para obtener más información, consulte la "sección del registro archivo implementación" en el siguiente sitio Web de Microsoft:
  2. Abra el Explorador de Windows y busque el archivo. reg.
  3. Haga clic en el archivo .reg y, a continuación, haga clic en Editar.
  4. Desplácese hasta el final del archivo y, a continuación, agregue las dos líneas siguientes al final del archivo:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Scan]"DisableScanningNetworkFiles"=dword:1 
  5. Guarde y cierre el archivo. reg.
  6. Utilice fcslocalpolicytool.exe para importar el archivo .reg en el equipo deseado. Para obtener más información, consulte la "sección del registro archivo implementación" en el siguiente sitio Web de Microsoft:

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Propiedades

Id. de artículo: 971026 - Última revisión: 13 ene. 2017 - Revisión: 1

Microsoft Forefront Client Security

Comentarios