本文介绍了 Microsoft 高级威胁分析 (ATA) 1.7 版的更新。
不要将晚于 1.7 版,因为这破坏系统的版本的这篇文章中运行命令。此外,不要尝试更改该命令并从 Microsoft 支持服务或产品组不直接指令的情况下运行它。
此更新中修复的问题
问题 1
从 ATA 1.6 版 (1.6.4103) 或 ATA 1.6 版更新 1 (1.6.4317) 迁移到 ATA 1.7 版 (1.7.5402) 与 0x80070643 错误代码将失败。
问题 2
之后将迁移到或安装 ATA 1.7 版 (1.7.5402),ATA 仍然生成通知 (电子邮件、 日志或事件日志) 的可疑活动的状态已更改为"已清除"。
问题 3
ATA 产生大量的"侦测使用目录服务枚举"可疑激活后将迁移到或安装 ATA 1.7 版 (1.7.5402)。
解决方案
要解决这些问题,请下载并运行"如何获取此更新"一节中描述的更新。更新升级到 ATA 1.7 ATA 生成 1.7.5647。
问题 3: 安装此更新后,您可以使用下面的过程中禁用"侦测使用目录服务枚举"可疑活动检测并删除旧的可疑活动,升级到 ATA 1.7 版生成后1.7.5647.要执行此操作,请执行以下步骤:-
从提升的命令提示符下,导航到以下位置:
C:\Program 该高级威胁Analytics\Center\MongoDB\bin
-
类型 – Mongo.exe ATA。(请注意"ATA"必须是大写。)
-
将以下命令粘贴在 mongo 命令提示符。
-
若要关闭可疑的现有活动:
数据库。SuspiciousActivity.update ({_t:"SamrReconnaissanceSuspiciousActivity"},{$set: {状态:"消除"}},{多: 真})
-
若要禁用"使用目录服务枚举侦察"可疑的活动:
db.SystemProfile.update({_t:"CenterSystemProfile"},{$set:
{"Configuration.SamrReconnaissanceDetectorConfiguration.IsEnabled":false}})
-
如何获取此更新
方法 1: Microsoft 更新
此更新可在 Microsoft 更新。有关如何使用 Microsoft 更新的详细信息,请参阅如何获取通过 Windows Update 更新。
方法 2: Microsoft 下载中心
下列文件已可从 Microsoft 下载中心下载:立即下载 ATA 1.7 版更新 1 包。 有关如何下载 Microsoft 支持文件的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何从联机服务获得 Microsoft 支持文件Microsoft 已对此文件进行病毒扫描。Microsoft 使用自该文件发布日期起可用的最新的病毒检测软件。该文件存储在安全增强型服务器上,帮助防止对文件进行任何未经授权的更改。
更新详细信息
系统必备组件
若要安装此更新,也应该首先安装 ATA 1.6 版更新 1 (1.6.4317) 或 ATA 1.7 版 (1.7.5402)。如果您具有 ATA 1.6 版 (1.6.4103),您必须首先升级到 ATA 1.6 版更新 1,从Microsoft 高级威胁分析 1.6 版描述的更新 1。
注册表信息
若要应用此更新,您不必对注册表进行任何更改。
重启要求
您可能需要在应用此更新后,重启计算机。
更新替换信息
此更新不替换以前发布的更新。
详细信息
证书不兼容与 ATA 1.7 迁移
简介
在 ATA 1.7 版,ATA 中心 ATA 中心服务和 ATA 控制台需要一个证书。当从 ATA 1.6 版升级到 1.7 版时,升级过程将当前正在使用 IIS 为 ATA 控制台作为 ATA 1.7 版的证书的证书。该证书将使用 ATA 中心服务和 web 控制台。如果 IIS 当前正在使用的证书的 KSP 证书,升级将失败并出现以下消息:
ATA 1.7 版不支持当前配置的 ATA 控制台证书;请按照 KB3191777 中的说明进行操作,以便能够完成 ATA 中心更新过程。
解决方案
若要切换 ATA 控制台正在使用的证书,请执行以下步骤:
-
在 ATA 中心服务器上安装新的证书 (非 KSP)。可以使用相同的主题名称,如下所示的现有证书以避免用户浏览到 ATA 控制台时导致问题。
-
打开 IIS 管理器中。
-
展开服务器的名称,然后展开网站。
-
选择 Microsoft ATA 控制台站点,然后在操作窗格中,单击绑定。
-
选择HTTPS,然后单击编辑。
-
在SSL 证书,选择新证书。
-
等待所有的 ATA 网关进行同步的中心。
-
重新运行 ATA 1.7 升级。
注意是否您必须重新运行升级之前安装新的 ATA 网关,您必须下载更新后的 ATA 网关包从 ATA 中心运行 ATA 网关安装前。
注意:要验证证书的颁发使用 KSP 模板,请执行以下步骤:
-
打开提升的命令提示符,然后键入以下命令:
certutil-存储我 <CertName>
-
如果输出是"提供商 = Microsoft 软件密钥存储提供程序,"它是 KSP 证书。
参考资料
了解 Microsoft 用于描述软件更新的术语。