本文將說明 Microsoft 進階威脅分析 (ATA) v1.7 的更新。
請勿在這份文件中執行命令,是晚於 v1.7,這損害系統的版本。此外,不要嘗試變更這項指令,並執行它沒有直接的指令,從 Microsoft 支援服務或產品群組。
此更新中所修正的問題
問題 1
從 ATA v1.6 (1.6.4103) 或 ATA v1.6 更新 1 (1.6.4317) 移轉至 ATA v1.7 (1.7.5402) 就會失敗,錯誤碼為 0x80070643。
問題 2
之後您將移轉到或安裝 ATA v1.7 (1.7.5402),ATA 仍然會通知 (電子郵件、 系統或事件記錄檔) 產生可疑的活動,其狀態已變更為"dismissed"。
問題 3
ATA 會產生大量的 「 使用目錄服務列舉型別偵察"可疑啟動之後您將移轉至或安裝 ATA v1.7 (1.7.5402)。
解決方案
若要修正這些問題,請下載並執行 < 如何取得此更新程式=""> 一節所述的更新。更新升級 ATA 1.7 的 ATA 建置 1.7.5647。
問題 3: 在安裝此更新之後,您可以使用下列程序來停用 < 偵察使用目錄服務列舉型別=""> 可疑的活動偵測並移除舊的可疑活動,升級為 ATA v1.7 組建之後1.7.5647。 若要這麼做,請依照下列步驟執行:
-
從提升權限的命令提示字元中,瀏覽至下列位置:
進階威脅Analytics\Center\MongoDB\bin的 C:\Program 必要
-
型別 – Mongo.exe ATA。(附註「 ATA 」 必須是大寫)。
-
Mongo 命令提示字元中,貼上下列的命令。
-
若要關閉現有的可疑活動:
db。SuspiciousActivity.update ({_t:"SamrReconnaissanceSuspiciousActivity"},{$set: {狀態: 「 關閉 」}},{多重: true})
-
若要停用"偵察使用目錄服務列舉型別"可疑的活動:
db.SystemProfile.update({_t:"CenterSystemProfile"},{$set:
{"Configuration.SamrReconnaissanceDetectorConfiguration.IsEnabled":false}})
-
如何取得此更新程式
方法 1: Microsoft 更新
此更新適用於 Microsoft 更新的。如需有關如何使用 Microsoft 更新的詳細資訊,請參閱如何取得透過 Windows Update 更新。
方法 2:Microsoft 下載中心
可從「Microsoft 下載中心」下載下列檔案:
立即下載 ATA 更新 1 v1.7 套件。
如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591如何從線上服務取得 Microsoft 的支援檔案Microsoft 會掃描這個檔案有無病毒。Microsoft 會使用張貼檔案當日可使用的最新病毒偵測軟體。檔案會儲存在加強安全性的伺服器,以避免受到任何未經授權的更改。
更新的詳細資訊
先決條件
若要安裝此更新程式,您應該先安裝 ATA v1.6 與更新 1 (1.6.4317) 或 ATA v1.7 (1.7.5402)。如果您有 ATA v1.6 (1.6.4103) 時,您必須先升級到 ATA v1.6 更新 1 從描述的更新 1 Microsoft 進階的威脅分析 v1.6。
登錄資訊
若要套用此更新程式,您不需要對登錄進行任何變更。
重新啟動需求
套用此更新之後,可能需要重新啟動電腦。
更新取代資訊
此更新不會取代先前發行的更新。
更多的資訊
憑證與不相容 ATA 1.7 移轉
簡介
在 ATA v1.7 ATA 中心都需要一個憑證 ATA 中心服務] 及 [ATA 主控台。當您從 ATA v1.6 升級至 v1.7 時,升級程序就會位於目前正由 IIS ATA 主控台為 ATA v1.7 的憑證的憑證。這個憑證將用由 ATA 中心服務和 web 主控台。如果目前正由 IIS 憑證 KSP 憑證,升級失敗時,並出現下列訊息:
ATA 1.7 版本不支援目前設定的 ATA 主控台憑證。請遵循 KB3191777 中的指示,才能夠完成 ATA 中心更新處理程序。
解決方案
若要切換目前正由 ATA 主控台的憑證,請依照下列步驟執行:
-
ATA 中央伺服器上安裝新的憑證 (非 KSP)。若要避免造成問題的原因,當使用者瀏覽至 ATA 主控台時,您可以使用如下所示的現有憑證的主旨名稱相同。
-
開啟 IIS 管理員]。
-
展開 [伺服器的名稱,然後展開 [站台。
-
選取 Microsoft ATA 主控台的網站,,,然後按一下 [動作] 窗格中的 [繫結。
-
選取HTTPS,,然後按一下 [編輯]。
-
在 [ SSL 憑證] 中,選取新的憑證。
-
等候同步處理的中央的全部 ATA 閘道。
-
請重新執行 ATA 1.7 升級。
請注意,是否您必須先安裝新的 ATA 閘道,再重新執行升級,您必須執行 ATA 閘道安裝之前,先從 ATA 中心下載更新的 ATA 閘道套件。
注意若要確認使用 KSP 範本發出憑證,請依照下列步驟執行:
-
開啟提升權限的命令提示字元,然後輸入下列:
certutil-儲存我 <CertName>
-
如果輸出 」 提供者 = Microsoft 軟體金鑰儲存提供者"它是 KSP 憑證。
參考
深入了解 Microsoft 用來描述軟體更新的術語。