Denne artikkelen beskriver en oppdatering for Microsoft Advanced trusselen analyse (ATA) v1.7.
IKKE Kjør kommandoen i denne artikkelen på versjonene som er senere enn v1.7, fordi dette skader systemet. Også, ikke Prøv å endre denne kommandoen, og kjører det uten direkte instruksjon fra Microsoft Kundestøtte eller produktgruppen.
Problemer som er løst i denne oppdateringen
Problem 1
Migrering fra ATA v1.6 (1.6.4103) eller ATA v1.6 Update 1 (1.6.4317) til ATA v1.7 (1.7.5402) mislykkes med en 0x80070643-feilkode.
Problem 2
Når du overfører til eller Installer ATA v1.7 (1.7.5402), ATA fortsatt genererer varsler (e-post, syslog eller hendelseslogger) for mistenkelige aktiviteter der statusen er endret til "har sluttet."
Problem 3
ATA genererer et stort antall "Reconnaissance ved hjelp av tjenester mappeopplisting" mistenkelig aktiveres etter at du overfører til eller installerer ATA v1.7 (1.7.5402).
Løsning
Hvis du vil løse disse problemene, kan du laste ned og kjøre oppdateringen som er beskrevet i delen "Slik får denne oppdateringen". Update-oppgraderinger ATA til ATA 1.7 bygge 1.7.5647.
For problem 3: Når du installerer denne oppdateringen, kan du bruke fremgangsmåten nedenfor til å deaktivere gjenkjenning av "Reconnaissance bruke tjenester mappeopplisting" mistenkelig aktivitet og fjerne de gamle mistenkelige aktivitetene etter oppgradering til ATA v1.7 build 1.7.5647. for å gjøre dette, gjør du følgende:
-
Fra en hevet ledetekst, kan du gå til følgende plassering:
C:\Program Files\Microsoft Avansert trusselenAnalytics\Center\MongoDB\bin
-
Type – Mongo.exe ATA. (Obs! "ATA" må skrives med store bokstaver.)
-
Lim inn følgende kommandoer i mongo ledeteksten.
-
Å fjerne eksisterende mistenkelige aktiviteter:
DB. SuspiciousActivity.update ({_L: "SamrReconnaissanceSuspiciousActivity"}, {$set: {Status: "Lukket"}}, {multi: SANN})
-
Slik deaktiverer du "Reconnaissance ved hjelp av tjenester mappeopplisting" mistenkelig aktivitet:
db.SystemProfile.update({_t:"CenterSystemProfile"},{$set:
{"Configuration.SamrReconnaissanceDetectorConfiguration.IsEnabled":false}})
-
Slik får du denne oppdateringen
Metode 1: Microsoft Update
Denne oppdateringen er tilgjengelige på Microsoft Update. Hvis du vil ha mer informasjon om hvordan du bruker Microsoft Update, kan du se hvordan du får en oppdatering via Windows Update.
Metode 2: Microsoft Download Center
Følgende fil er tilgjengelig for nedlasting fra Microsoft Download Center:
Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
119591 hvordan du ned Microsoft-støttefiler fra elektroniske tjenesterMicrosoft har søkt etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble lagt ut. Filen lagres på sikkerhetsforbedrede servere som bidrar til å hindre uautoriserte endringer i filen.
Detaljert oppdateringsinformasjon
Forutsetninger
Hvis du vil installere denne oppdateringen, må du først installere ATA v1.6 med Update 1 (1.6.4317) eller ATA v1.7 (1.7.5402). Hvis du har ATA v1.6 (1.6.4103), må du først oppgradere til ATA v1.6 Update 1 fra Beskrivelse av oppdatering 1 for Microsoft Advanced trusselen Analytics v1.6.
Registerinformasjon
Du trenger ikke å foreta endringer i registret for å installere denne oppdateringen.
Krav om omstart
Du må kanskje starte datamaskinen på nytt etter at du har installert denne oppdateringen.
Informasjon om erstatning av oppdatering
Denne oppdateringen erstatter ikke tidligere utgitte oppdateringer.
Hvis du vil ha mer informasjon
Sertifikatet er ikke kompatibel med ATA 1.7 overføring
Introduksjon
ATA v1.7 krever ATA-Center ett sertifikat for både tjenesten ATA Center og ATA-konsollen. Når du oppgraderer fra ATA v1.6 v1.7, tar oppgraderingsprosessen sertifikatet for øyeblikket brukes av IIS for ATA-konsollen som sertifikatet for ATA v1.7. Dette sertifikatet vil bli brukt av både ATA Center-tjenesten og web-konsollen. Hvis sertifikatet som brukes av IIS er et KSP-sertifikat, mislykkes med følgende melding:
ATA versjon 1.7 støtter ikke gjeldende konfigurerte ATA konsollen sertifikatet. Følg instruksjonene i KB3191777 for å kunne fullføre oppdateringsprosessen ATA Center.
Løsning
Hvis du vil bytte sertifikatet som brukes av ATA-konsollen, følger du denne fremgangsmåten:
-
Installere det nye sertifikatet (ikke KSP) på serveren ATA Center. Du kan bruke samme navn som det eksisterende sertifikatet i emnet til å unngå å forårsake problemer når brukere besøker ATA-konsollen.
-
Åpne IIS-behandling.
-
Utvid navnet til serveren, og utvid deretter områder.
-
Velg webområdet Microsoft ATA-konsollen, og klikk deretter bindingeri Handlinger-ruten.
-
Velg HTTPS, og klikk deretter Rediger.
-
Under SSL-sertifikat, velger du det nye sertifikatet.
-
Vent til alle ATA-gatewayer til å synkronisere med sentrum.
-
Kjør ATA 1.7 oppgraderingen på nytt.
Merk Hvis du må installere en ny gateway ATA før du kan kjøre oppgraderingen, må du laste ned den oppdaterte ATA Gateway-pakken fra ATA Center før du kjører installasjonen ATA-Gateway.
Obs! Hvis du vil kontrollere at sertifikatet ble utstedt ved hjelp av en KSP-malen, gjør du følgende:
-
Åpne en ledetekst, og skriv deretter inn følgende:
certutil-lagre Mine < CertName >
-
Hvis utdataene er "Provider = Microsoft Software Key Storage Provider" er det et KSP-sertifikat.
Referanser
Lær mer om terminologien som Microsoft bruker til å beskrive oppdateringer av programvare.
