WPROWADZENIE
W tym artykule opisano problemy klienta złośliwym oprogramowaniem Microsoft Forefront Client Security (FCS), które zostały rozwiązane w tym pakiecie poprawek.
Problemy rozwiązywane przez ten pakiet poprawek
Problem 1
Ochrona w czasie rzeczywistym programu Forefront Client Security wykrywa, wstrzymuje i podejmuje działania przed zagrożeniami ze strony. Po zagrożenie jest zawieszone, użytkownik jest powiadamiany. Użytkownik może mieć możliwość zadecydować, jaka akcja zostanie podjęta, w zależności od konfiguracji klienta. Jeśli po 10 minutach zostanie podjęta żadna akcja, domyślnej akcji, który jest zdefiniowany przez zasady lub przez definicje jest wykonywany. W tym czasie zagrożeń przed złośliwym oprogramowaniem są zawieszone i nie może być czytać lub wykonywane przez inne aplikacje.
Ten okres zwłoki ochrony w czasie rzeczywistym jest implementowana przez proces interfejsu użytkownika. Jeśli użytkownik nie zaloguje się do komputera, ten proces nie jest uruchamiany. W związku z tym programu FCS nie podejmować działań na zawieszonych złośliwego oprogramowania.
Obejście problemu
Po wykryciu złośliwego oprogramowania przez funkcję ochrony w czasie rzeczywistym, złośliwego oprogramowania jest zawieszony i nie może być czytać lub wykonywane przez inne aplikacje. To zachowanie występuje zarówno, gdy użytkownik jest zalogowany do komputera i kiedy użytkownik nie jest zalogowany do komputera. W związku z tym komputer jest objęte ochroną. Jednak złośliwego oprogramowania wciąż znajduje się na dysku.
Jeśli użytkownik loguje się do komputera po wykryciu złośliwego oprogramowania, o nich powiadomione w interfejsie użytkownika i rozpoczyna się okres opóźnienia ochrony w czasie rzeczywistym.
Gdy zasady wdrożyć na komputerach klienckich, FCS podejmuje działania automatycznie na złośliwego oprogramowania wykrytego podczas skanowania zaplanowane. Jeśli zaplanowane zadanie pełnego skanowania komputera, podjął działania przeciwko obecność złośliwego oprogramowania, które było wykrywane i zawieszony po zakończeniu skanowania. Pełne skanowanie obejmuje wszystkie stacje dysków twardych na komputerze i podejmuje działania, niezależnie od tego, czy użytkownik jest zalogowany do komputera podczas skanowania.
Rozwiązanie
Ta aktualizacja dodaje dodatkowe czasomierza z usługą ochrony przed złośliwym oprogramowaniem. Ten czasomierz dodatkowe implementuje okres opóźnienia ochrony w czasie rzeczywistym. W związku z tym domyślnej akcji, który jest zdefiniowany przez zasady lub przez definicje jest wykonywany, gdy żaden użytkownik nie jest zalogowany do komputera.
Problem 2
Zmiany do bibliotek Driver Install Frameworks (DIFx) dla aplikacji jest opisany w pozycji "Numer 1" w sekcji "Rozwiązanie" następującego artykułu z bazy wiedzy Knowledge Base (KB) artykuł:
Aktualizacja klienta programu 976668 programu forefront Client Security wykrywającego złośliwe oprogramowanie: grudnia 2009
Wiele metod zautomatyzowanej instalacji Zainstaluj aktualizacje przy użyciu konta System lokalny. Na przykład aktualizacje automatyczne i Menedżer konfiguracji programu System Center dla aktualizacji należy użyć konta System lokalny. Po zainstalowaniu poprawki 976668 przy użyciu konta System lokalny na komputerze z systemem Windows 2000, aktualizacja nie powiedzie się i następujący błąd jest rejestrowany w pliku Mp_ambits.log:
DIFXAPP: INFO: creating HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\DIFxApp\Components\{153AA63E-3BFD-495C-A35F-85F66650141D} (User's SID: 'S-1-5-18') ...
DIFXAPP: ERROR 0x57 encountered while creating subkey for component '{153AA63E-3BFD-495C-A35F-85F66650141D}'
DIFXAPP: RETURN: ProcessDriverPackages() 87 (0x57)
Obejście problemu
Do zainstalowania aktualizacji, którą opisano w KB 976668 na komputerze z systemem Windows 2000, należy zalogować się na komputerze jako użytkownik interakcyjny, a następnie uruchom aktualizację. Aby uzyskać aktualizację, korzystać z witryny Microsoft Update w sieci Web przy użyciu przeglądarki sieci Web, lub Pobierz, a następnie uruchom aktualizację z katalogu Microsoft Update, który jest opisany w KB 976668.
Rozwiązanie
Ta aktualizacja nie jest już używa DIFx dla aplikacji podczas instalacji. Aktualizacja korzysta z technologii instalacji niestandardowej, używany na wszystkich aktualnie obsługiwanych systemach operacyjnych programu FCS.
Problem 3
Usługa złośliwym FCS nieoczekiwanie na komputerze, na którym jest uruchomiony system Windows Vista, Windows Server 2008, Windows 7 lub Windows Server 2008 R2.
Rozwiązanie
Ta aktualizacja rozwiązuje problem w usłudze złośliwym FCS na na komputerze, na którym jest uruchomiony system Windows Vista, Windows Server 2008, Windows 7 lub Windows Server 2008 R2.
Więcej informacji
Informacje o poprawce
Obsługiwana poprawka jest udostępniana przez firmę Microsoft.
Uwaga Ta poprawka jest dostępna w witrynie Microsoft Update oraz programu Windows Server Update Services. Ponadto można uzyskać poprawki wykonaj następujące czynności:
-
Odwiedź następującą witrynę sieci Web Microsoft Update Catalog:
-
W polu wyszukiwania wpisz 979536 , a następnie kliknij przycisk Wyszukaj.
-
Kliknij przycisk Dodaj , aby dodać tę poprawkę do koszyka.
-
W pobliżu paska wyszukiwania u góry kliknij łącze Wyświetl koszyk .
-
Kliknij przycisk Pobierz.
-
Kliknij przycisk Przeglądaj, określ folder, do którego chcesz pobrać poprawkę, a następnie kliknij przycisk OK.
-
Kliknij przycisk Kontynuuj, a następnie kliknij przycisk akceptuję , aby zaakceptować postanowienia licencyjne dotyczące oprogramowania firmy Microsoft.
-
Gdy aktualizacja została pobrana do określonej lokalizacji, kliknij przycisk Zamknij.
Wymagania wstępne
Nie istnieją żadne wymagania wstępne dotyczące instalacji tej poprawki.
Wymagania dotyczące ponownego uruchomienia
Może być konieczne ponowne uruchomienie komputera po zastosowaniu tej poprawki.
Informacje dotyczące zastępowania poprawek
Ta poprawka zastępuje złośliwym oprogramowaniem klienta, który jest wdrażane za pomocą pakietu wdrażania programu Forefront Client Security (1.0.1725.0) na komputerze.
Pakiet wdrażania programu forefront Client Security 976669 (1.0.1725.0): grudnia 2009
Ta poprawka zastępuje następujące poprawki:
Aktualizacja klienta programu 976668 programu forefront Client Security wykrywającego złośliwe oprogramowanie: grudnia 2009
971026 poprawka jest dostępna w celu rozwiązania niektórych problemów z klienta programu Forefront Client Security wykrywającego złośliwe oprogramowanie
952265 może spowodować uszkodzenie danych na komputerze, na którym został zainstalowany program Forefront Client Security
938054 poprawka jest dostępna w celu rozwiązania niektórych problemów z klienta programu Forefront Client Security
956280 minifiltra programu Forefront Client Security trybu jądra zwalnia podczas przeglądania sieci udział pliku, który zawiera wiele szkodliwych plików
Informacje o plikach
Wersja anglojęzyczna tej poprawki ma atrybuty plików (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyć z karty Strefa czasowa w aplecie Data i godzina w Panelu sterowania.
Program Forefront Client Security, wersje 32-bitowe
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
|---|---|---|---|---|
|
Amhelp.chm |
Nie dotyczy |
65,216 |
28-Oct-2008 |
17:55 |
|
Mpasbase.vdm |
1.0.0.0 |
572,720 |
28-Oct-2008 |
17:58 |
|
Mpasdesc.dll |
1.5.1981.0 |
49,024 |
19-Jan-2010 |
22:10 |
|
Mpasdlta.vdm |
1.0.0.0 |
9,008 |
28-Oct-2008 |
17:58 |
|
Mpavbase.vdm |
1.0.0.0 |
204,624 |
28-Oct-2008 |
17:58 |
|
Mpavdlta.vdm |
1.0.0.0 |
9,040 |
28-Oct-2008 |
17:58 |
|
Mpavrtm.dll |
1.5.1981.0 |
128,384 |
19-Jan-2010 |
21:51 |
|
Mpclient.dll |
1.5.1981.0 |
366,976 |
19-Jan-2010 |
21:51 |
|
Mpcmdrun.exe |
1.5.1981.0 |
349,048 |
19-Jan-2010 |
21:49 |
|
Mpengine.dll |
1.1.3520.0 |
3,308,624 |
28-Oct-2008 |
17:57 |
|
Mpevmsg.dll |
1.5.1981.0 |
23,424 |
19-Jan-2010 |
22:10 |
|
Mpfilter.sys |
1.5.1969.0 |
69,616 |
15-May-09 |
17:35 |
|
Mpoav.dll |
1.5.1981.0 |
92,032 |
19-Jan-2010 |
21:51 |
|
Mprtmon.dll |
1.5.1981.0 |
731,008 |
19-Jan-2010 |
21:51 |
|
Mpsigdwn.dll |
1.5.1981.0 |
129,920 |
19-Jan-2010 |
21:51 |
|
Mpsoftex.dll |
1.5.1981.0 |
518,016 |
19-Jan-2010 |
21:51 |
|
Mpsvc.dll |
1.5.1981.0 |
316,288 |
19-Jan-2010 |
21:51 |
|
Mputil.dll |
1.5.1981.0 |
177,024 |
19-Jan-2010 |
21:51 |
|
Msascui.exe |
1.5.1981.0 |
1,033,600 |
19-Jan-2010 |
21:51 |
|
Msmpcom.dll |
1.5.1981.0 |
221,056 |
19-Jan-2010 |
21:51 |
|
Msmpeng.exe |
1.5.1981.0 |
16,880 |
19-Jan-2010 |
21:49 |
|
Msmplics.dll |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
21:51 |
|
Msmpres.dll |
1.5.1981.0 |
766,336 |
19-Jan-2010 |
22:10 |
Program Forefront Client Security, wersje 64-bitowe
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
|---|---|---|---|---|
|
Amhelp.chm |
Nie dotyczy |
65,216 |
28-Oct-2008 |
17:55 |
|
Mpasbase.vdm |
1.0.0.0 |
572,720 |
28-Oct-2008 |
17:58 |
|
Mpasdesc.dll |
1.5.1981.0 |
49,536 |
19-Jan-2010 |
23:59 |
|
Mpasdesc.dll (WOW64) |
1.5.1981.0 |
49,024 |
19-Jan-2010 |
22:10 |
|
Mpasdlta.vdm |
1.0.0.0 |
9,008 |
28-Oct-2008 |
17:58 |
|
Mpavbase.vdm |
1.0.0.0 |
204,624 |
28-Oct-2008 |
17:58 |
|
Mpavdlta.vdm |
1.0.0.0 |
9,040 |
28-Oct-2008 |
17:58 |
|
Mpavrtm.dll |
1.5.1981.0 |
155,008 |
19-Jan-2010 |
23:41 |
|
Mpclient.dll |
1.5.1981.0 |
546,688 |
19-Jan-2010 |
23:41 |
|
Mpclient.dll (WOW64) |
1.5.1981.0 |
366,976 |
19-Jan-2010 |
21:51 |
|
Mpcmdrun.exe |
1.5.1981.0 |
504,096 |
19-Jan-2010 |
23:38 |
|
Mpengine.dll |
1.1.3520.0 |
4,431,952 |
28-Oct-2008 |
17:57 |
|
Mpevmsg.dll |
1.5.1981.0 |
23,424 |
19-Jan-2010 |
23:59 |
|
Mpfilter.sys |
1.5.1969.0 |
88,944 |
15-May-2009 |
17:35 |
|
Mpoav.dll |
1.5.1981.0 |
117,632 |
19-Jan-2010 |
23:41 |
|
Mpoav.dll (WOW64) |
1.5.1981.0 |
92,032 |
19-Jan-2010 |
21:51 |
|
Mprtmon.dll |
1.5.1981.0 |
1,181,056 |
19-Jan-2010 |
23:41 |
|
Mpsigdwn.dll |
1.5.1981.0 |
179,584 |
19-Jan-2010 |
23:41 |
|
Mpsoftex.dll |
1.5.1981.0 |
791,424 |
19-Jan-2010 |
23:41 |
|
Mpsvc.dll |
1.5.1981.0 |
434,560 |
19-Jan-2010 |
23:41 |
|
Mputil.dll |
1.5.1981.0 |
247,168 |
19-Jan-2010 |
23:41 |
|
Mputil.dll (WOW64) |
1.5.1981.0 |
177,024 |
19-Jan-2010 |
21:51 |
|
Msascui.exe |
1.5.1981.0 |
1,636,736 |
19-Jan-2010 |
23:41 |
|
Msmpcom.dll |
1.5.1981.0 |
305,536 |
19-Jan-2010 |
23:41 |
|
Msmpeng.exe |
1.5.1981.0 |
16,368 |
19-Jan-2010 |
23:38 |
|
Msmplics.dll |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
23:41 |
|
Msmplics.dll (WOW64) |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
23:41 |
|
Msmpres.dll |
1.5.1981.0 |
764,288 |
19-Jan-2010 |
23:59 |
Znane problemy
Jeśli można wykonać obejście, którą opisano w pozycji "Problem 2" przez zainstalowanie poprawki 976668 interakcyjnego na komputerze, na którym jest uruchomiony system Windows 2000, można również uruchomić tę aktualizację jako użytkownik interakcyjny. Ten wymóg jest niezbędny, ponieważ ta aktualizacja powoduje odinstalowanie aktualizacji, którą opisano w artykule KB 976668 przed zainstalowaniem tej aktualizacji. Po zainstalowaniu tej aktualizacji przy użyciu konta System lokalny, te same problemy, które są opisane w artykule KB 976668 występują podczas których odinstalować etap aktualizacji.
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
