08-104000

Hoppa till innehåll
2009-04-29 02:55

Forefront och ADM-filer.

Hej! Blev nyligen ombedd att kolla möjligheten att exkludera virussökning av filer öppna av vissa processer i Microsoft Forefront via GPO-inställningar. En lösning på detta är att använda adm-filer som man sedan importerar i en GPO, se nedan för exempel.

Exempel ett, dropdown:

CLASS MACHINE
CATEGORY !!FCSCategory
POLICY !!Exclusion_Name

KEYNAME "SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Exclusions\Processes"
EXPLAIN !!Exclusion_Explain

Part "ProcessName1" DROPDOWNLIST REQUIRED
VALUENAME "C:\Windows\system32\notepad.exe"
ITEMLIST
NAME !!Setting_Enabled VALUE NUMERIC 0 DEFAULT
NAME !!Setting_Disabled VALUE DELETE
END ITEMLIST
END PART
Part "ProcessName2" DROPDOWNLIST REQUIRED
VALUENAME "C:\Windows\system32\mspaint.exe"
ITEMLIST
NAME !!Setting_Enabled VALUE NUMERIC 0 DEFAULT
NAME !!Setting_Disabled VALUE DELETE
END ITEMLIST
END PART
END POLICY

END CATEGORY


[strings]

FCSCategory="Microsoft FCS Threat Override"

Exclusion_Name="FCS Process Exclusion"
Exclusion_Description="FCS Process Exclusion"
Exclusion_Explain="Allows setting process exclusions for FCS so that it does not scan files touched by certain processes Not supported for W2K"

Setting_Enabled="Enabled"
Setting_Disabled="Disabled"

Exempel två, utan dropdown:

CLASS MACHINE
CATEGORY !!FCSCategory
POLICY !!Exclusion_Name
KEYNAME "SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Exclusions\Processes"
EXPLAIN !!Exclusion_Explain
ACTIONLISTON
KEYNAME "SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Exclusions\Processes"
VALUENAME "C:\Windows\system32\notepad.exe"
VALUE NUMERIC 0
KEYNAME "SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Exclusions\Processes"
VALUENAME "C:\Windows\system32\mspaint.exe"
VALUE NUMERIC 0
END ACTIONLISTON
ACTIONLISTOFF
KEYNAME "SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Exclusions\Processes"
VALUENAME "C:\Windows\system32\notepad.exe"
VALUE DELETE
KEYNAME "SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Exclusions\Processes"
VALUENAME "C:\Windows\system32\mspaint.exe"
VALUE DELETE
END ACTIONLISTOFF
END POLICY
END CATEGORY;
[strings]
FCSCategory="Microsoft FCS Threat Override"
Exclusion_Name="FCS Process Exclusion"
Exclusion_Description="FCS Process Exclusion"
Exclusion_Explain="Allows setting process exclusions for FCS so that it does not scan files touched by certain processes Not supported for W2K"

Några saker att ha i åtanke:

Spara filen som .adm och importera sedan genom att högerklicka på administrative templates och välj Add/Remove Templates...
Gpon kommer ligga under Computer configuration > Administrative Templates > (Classic Administrative Templates) > Microsoft FCS Threat Override

Om ni inte ser den så se till att filtering är avslaget.

Not configured ändrar inget, har den varit påslagen så kommer registernyckeln fortfarande stå kvar.
Disabled tar bort registernyckeln.
D.v.s om ni ska plocka bort gpon, sätt den till disabled innan och låt den slå igenom.

Med vänliga hälsningar,

Jonas Lagerström,
Konsult Praktikant

 

Kräv inte bara funktion.


Kräv inte bara funktion - Kräv kvalitet.  Läs mer

Du har mail.


Vi har spjutspetskompetens på Exchange. Läs mer

Enkla installationer!


Smarta installationslösningar hjälper er fokusera. Läs mer

Nå nästa nivå.


Låt oss ta fram en strategi för er it-utveckling. Läs mer

Windows 7 kampanj!


Ta del av nästa generation operativsystem. Läs mer.

Cloud Workplace


Molntjänster anpassade för små och medelstora företag. Läs mer

Alltid uppkopplad?

Arbeta mobilt - på riktigt, med Direct Access. Läs mer