Mise à jour du client Forefront Client Security anti-malware : avril 2010


INTRODUCTION


Cet article décrit les problèmes de client de logiciels anti-programme malveillant de Microsoft Forefront Client Security (FCS) qui sont résolus dans ce package de correctifs.

Problèmes résolus dans ce package de correctifs

Problème 1

Protection en temps réel de Forefront Client Security détecte, suspend et entreprend une action contre les menaces de logiciels malveillants. Après la suspension d’une menace, l’utilisateur est averti. L’utilisateur peut être la possibilité de choisir l’action qui est effectuée, selon la configuration du client. Si aucune action n’est effectuée après 10 minutes, une action par défaut qui est définie par une stratégie de Microsoft ou par les définitions est exécutée. Pendant ce temps, les menaces de logiciels malveillants sont suspendues et ne peuvent pas être lues ou exécutées par d’autres applications.

Ce délai de protection en temps réel est implémenté par un processus d’interface utilisateur. Si un utilisateur ne se connecte pas l’ordinateur, ce processus ne s’exécute pas. Par conséquent, FCS ne prend pas d’action sur le logiciel malveillant suspendu.
Solution de contournement
Lorsque le logiciel malveillant est détecté par la protection en temps réel, le logiciel malveillant est suspendu et Impossible de lire ou exécuté par d’autres applications. Ce comportement produit lorsque l’utilisateur est connecté à l’ordinateur et lorsqu’un utilisateur n’est pas connecté l’ordinateur. Par conséquent, l’ordinateur est sous protection. Toutefois, le logiciel malveillant se trouve toujours sur le disque.

Si un utilisateur ouvre une session sur l’ordinateur une fois que le logiciel malveillant est détecté, ils sont avertis dans l’interface utilisateur et commence par la période de délai de protection en temps réel.

Lorsque vous déployez une stratégie à des ordinateurs clients, FCS intervient automatiquement sur les logiciels malveillants détectés pendant les analyses planifiées. Si vous effectuez une analyse complète planifiée de l’ordinateur, une action est entreprise contre les logiciels malveillants détectées et suspendu une fois l’analyse terminée. Une analyse complète comprend tous les lecteurs de disque dur sur l’ordinateur et prend les mesures que si un utilisateur est connecté à l’ordinateur lors de l’analyse.
Résolution
Cette mise à jour ajoute une horloge supplémentaire pour le service de protection contre les logiciels malveillants. Cette minuterie supplémentaire implémente le délai de protection en temps réel. Par conséquent, l’action par défaut qui est définie par une stratégie ou par les définitions est exécutée lorsqu’aucun utilisateur n’est connecté à l’ordinateur.

Problème 2

Une modification dans les bibliothèques de le Driver Install Frameworks (DIFx) pour les Applications est décrite sous la rubrique « Problème 1 » dans la section « Résolution » de l’article de la Base de connaissances (KB) de l’article suivant :
Mise à jour du client 976668 forefront Client Security anti-malware : décembre 2009

De nombreuses méthodes d’installation automatiques installent les mises à jour en utilisant le compte LocalSystem. Par exemple, mises à jour automatiques et System Center Configuration Manager vous pouvez utiliser le compte LocalSystem des mises à jour. Lorsque le correctif 976668 est installé en utilisant le compte LocalSystem sur un ordinateur fonctionnant sous Windows 2000, la mise à jour échoue et l’erreur suivante est enregistrée dans le fichier Mp_ambits.log :
DIFXAPP: INFO: creating HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\DIFxApp\Components\{153AA63E-3BFD-495C-A35F-85F66650141D} (User's SID: 'S-1-5-18') ...
DIFXAPP: ERROR 0x57 encountered while creating subkey for component '{153AA63E-3BFD-495C-A35F-85F66650141D}'
DIFXAPP: RETURN: ProcessDriverPackages() 87 (0x57)
Solution de contournement
Pour installer la mise à jour qui est décrite dans 976668 Ko sur un ordinateur fonctionnant sous Windows 2000, ouvrez une session sur l’ordinateur en tant qu’utilisateur interactif et exécutez la mise à jour. Pour obtenir la mise à jour, utilisez le site Web Microsoft Update à l’aide d’un navigateur Web, ou téléchargez et exécutez la mise à jour à partir du catalogue Microsoft Update qui est décrite dans KB 976668.
Résolution
Cette mise à jour n’utilise plus DIFx pour les Applications pendant l’installation. La mise à jour utilise une technologie d’installation personnalisé qui peut être utilisée sur tous les systèmes d’exploitation de FCS actuellement pris en charge.

Problème 3

Le service de logiciels anti-programme malveillant FCS quitte de façon inattendue sur un ordinateur qui exécute Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2.
Résolution
Cette mise à jour corrige un problème dans le service de logiciels anti-programme malveillant FCS sur le sur un ordinateur qui exécute Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2.

Plus d'informations


Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft.

Remarque Ce correctif logiciel est disponible à partir de Microsoft Update et de Windows Server Update Services. En outre, le correctif peut être obtenu en suivant ces étapes :
  1. Visitez le site Web du catalogue Microsoft Update suivant :
  2. Tapez 979536 dans la zone Rechercher , puis cliquez sur Rechercher.
  3. Cliquez sur Ajouter pour ajouter le correctif dans le panier.
  4. Dans la barre de recherche, en haut, cliquez sur le lien Afficher le panier .
  5. Cliquez sur Télécharger.
  6. Cliquez sur Parcourir, spécifiez le dossier dans lequel vous souhaitez télécharger le correctif, puis cliquez sur OK.
  7. Cliquez sur Continuer, puis cliquez sur J’accepte pour accepter les termes du contrat de licence logiciel Microsoft.
  8. Lors de la mise à jour est téléchargée à l’emplacement que vous avez spécifié, cliquez sur Fermer.

Conditions préalables

Il n’y a aucune condition préalable à l’installation de ce correctif.

Nécessite un redémarrage

Vous devrez peut-être redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif remplace le client de logiciels anti-programme malveillant est déployé en utilisant le package de déploiement de Forefront Client Security (1.0.1725.0) sur un ordinateur.
Package de déploiement de forefront Client Security (1.0.1725.0) 976669 : décembre 2009

Ce correctif remplace les correctifs suivants :
Mise à jour du client 976668 forefront Client Security anti-malware : décembre 2009

971026 un correctif est disponible pour résoudre certains problèmes avec le client de logiciels anti-programme malveillant de Forefront Client Security

952265 la corruption de données peut se produire sur un ordinateur équipé de Forefront Client Security est installé

938054 un correctif est disponible pour résoudre certains problèmes avec le client Forefront Client Security

956280 mini-filtre en mode noyau de Forefront Client Security la décharge lorsque vous naviguez sur un partage de fichiers réseau qui contient de nombreux fichiers malveillants

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.
Forefront Client Security, versions 32 bits
Nom de fichierVersion de fichierTaille du fichierDateHeure
Amhelp.chmNe s'applique pas65,21628-Oct-200817:55
Mpasbase.vdm1.0.0.0572,72028-Oct-200817:58
Mpasdesc.dll1.5.1981.049,02419-Jan-201022:10
Mpasdlta.vdm1.0.0.09,00828-Oct-200817:58
Mpavbase.vdm1.0.0.0204,62428-Oct-200817:58
Mpavdlta.vdm1.0.0.09,04028-Oct-200817:58
Mpavrtm.dll1.5.1981.0128,38419-Jan-201021:51
Mpclient.dll1.5.1981.0366,97619-Jan-201021:51
Mpcmdrun.exe1.5.1981.0349,04819-Jan-201021:49
Mpengine.dll1.1.3520.03,308,62428-Oct-200817:57
Mpevmsg.dll1.5.1981.023,42419-Jan-201022:10
Mpfilter.sys1.5.1969.069,61615-May-0917:35
Mpoav.dll1.5.1981.092,03219-Jan-201021:51
Mprtmon.dll1.5.1981.0731,00819-Jan-201021:51
Mpsigdwn.dll1.5.1981.0129,92019-Jan-201021:51
Mpsoftex.dll1.5.1981.0518,01619-Jan-201021:51
Mpsvc.dll1.5.1981.0316,28819-Jan-201021:51
Mputil.dll1.5.1981.0177,02419-Jan-201021:51
Msascui.exe1.5.1981.01,033,60019-Jan-201021:51
Msmpcom.dll1.5.1981.0221,05619-Jan-201021:51
Msmpeng.exe1.5.1981.016,88019-Jan-201021:49
Msmplics.dll1.5.1981.09,08819-Jan-201021:51
Msmpres.dll1.5.1981.0766,33619-Jan-201022:10
Forefront Client Security, versions 64 bits
Nom de fichierVersion de fichierTaille du fichierDateHeure
Amhelp.chmNe s'applique pas65,21628-Oct-200817:55
Mpasbase.vdm1.0.0.0572,72028-Oct-200817:58
Mpasdesc.dll1.5.1981.049,53619-Jan-201023:59
Mpasdesc.dll (WOW64)1.5.1981.049,02419-Jan-201022:10
Mpasdlta.vdm1.0.0.09,00828-Oct-200817:58
Mpavbase.vdm1.0.0.0204,62428-Oct-200817:58
Mpavdlta.vdm1.0.0.09,04028-Oct-200817:58
Mpavrtm.dll1.5.1981.0155,00819-Jan-201023:41
Mpclient.dll1.5.1981.0546,68819-Jan-201023:41
Mpclient.dll (WOW64)1.5.1981.0366,97619-Jan-201021:51
Mpcmdrun.exe1.5.1981.0504,09619-Jan-201023:38
Mpengine.dll1.1.3520.04,431,95228-Oct-200817:57
Mpevmsg.dll1.5.1981.023,42419-Jan-201023:59
Mpfilter.sys1.5.1969.088,94415-May-200917:35
Mpoav.dll1.5.1981.0117,63219-Jan-201023:41
Mpoav.dll (WOW64)1.5.1981.092,03219-Jan-201021:51
Mprtmon.dll1.5.1981.01,181,05619-Jan-201023:41
Mpsigdwn.dll1.5.1981.0179,58419-Jan-201023:41
Mpsoftex.dll1.5.1981.0791,42419-Jan-201023:41
Mpsvc.dll1.5.1981.0434,56019-Jan-201023:41
Mputil.dll1.5.1981.0247,16819-Jan-201023:41
Mputil.dll (WOW64)1.5.1981.0177,02419-Jan-201021:51
Msascui.exe1.5.1981.01,636,73619-Jan-201023:41
Msmpcom.dll1.5.1981.0305,53619-Jan-201023:41
Msmpeng.exe1.5.1981.016,36819-Jan-201023:38
Msmplics.dll1.5.1981.09,08819-Jan-201023:41
Msmplics.dll (WOW64)1.5.1981.09,08819-Jan-201023:41
Msmpres.dll1.5.1981.0764,28819-Jan-201023:59

Problèmes connus


Si vous exécutez la solution de contournement est décrite sous la rubrique « Problème 2 » en installant le correctif 976668 en tant qu’utilisateur interactif sur un ordinateur qui exécute Windows 2000, vous devez également exécuter cette mise à jour en tant qu’utilisateur interactif. Cette exigence est nécessaire, car cette mise à jour désinstalle la mise à jour qui est décrite dans l’article 976668 de la base de connaissances avant d’installer cette mise à jour. Si vous installez cette mise à jour en utilisant le compte LocalSystem, les mêmes problèmes qui sont décrits dans l’article 976668 de la base de connaissances se produisent lors de la désinstallation du stade de la mise à jour.

État


Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».