Segurança : Cisco AMP for Endpoints

Configurar e controle exclusões em FireAMP

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (17 Novembro 2015) | Feedback

Introdução

Este documento descreve como criar exclusões de modo que um conector de FireAMP não faça a varredura do diretório do programa. Isto é terminado a fim impedir conflitos ou problemas de desempenho entre um conector de FireAMP e uns aplicativos anti-vírus ou outros. Isto é especialmente importante com assinaturas anti-vírus que contêm as cordas que o conector de FireAMP detecta como malicioso ou emite com arquivos quarantined.

Contribuído por Nazmul Rajib, por Caly Knowles, e por Gordon Strosnider, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento do console da nuvem de FireAMP, FireAMP para valores-limite, e o Produtos anti-vírus.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Tipos da exclusão

Há três tipos de exclusões úteis no console de FireAMP. Se o tipo errado da exclusão é usado, a exclusão não funcionará. É importante notar o formato de cada tipo a fim verificar que a exclusão esteve adicionada corretamente durante o processo de ajustamento.

Extensão

Este tipo da exclusão é consideravelmente óbvio. É usado a fim excluir arquivos de uma determinada extensão, não importa onde na máquina. Exemplos:

  • .db
  • .db-journal
  • .db3
  • .db3-journal

Caminho

Esta exclusão pode ser usada a fim excluir um trajeto singular. Todas as subpastas dentro desse trajeto serão excluídas igualmente. As exclusões do trajeto são únicas que podem usar a lista especial constante do artigo ID (CSIDL) porque um convite e um CSIDL não cooperam. Os dois formatos do trajeto são:

  • CSIDL_WINDOWS\system32\
  • C:\Windows\system32\

Nota: “Do fim \” é opcional e “*” será tomado como um diretório literal, não um convite.

Convite

Esta exclusão é a mais versátil, mas causa a maioria de confusão. A maneira a mais fácil de identificar um convite é o uso do asterik. Se o asterik esta presente em qualquer trajeto, é um convite. Isto é útil em sistemas com usuários múltiplos e as letras da unidade múltiplas. Como indicado para o tipo da exclusão do trajeto, isto não trabalhará com CSIDL. Se há letras da unidade múltiplas, é o melhor começar com o convite. Os exemplos do convite são:

  • *\Windows\system32\
  • C:\Windows\system32\*\logs.log
  • * \ Windows \ * \ *.log
  • *.db*  

Nota: O formato do último exemplo *.db* do convite é muito mais lento processado. Cisco recomenda alistar pelo contrário a extensão completa sob exclusões. Veja os exemplos sob a extensão.

Configurar

A fim criar exclusões, termine estas etapas:

  1. Escolha o Gerenciamento > as exclusões no console da nuvem de FireAMP.

  2. O clique cria a exclusão ajustada a fim criar uma lista nova de exclusões. Dê entrada com um nome para a lista e o clique cria.

  3. O clique adiciona a exclusão a fim adicionar uma exclusão a sua lista. Você será alertado entrar em um trajeto para a exclusão.

  4. Incorpore o CSIDL dos produtos de software que você instalou em seus valores-limite e clica então cria.

    Nota: Um valor CSIDL identifica os dobradores especiais usados por um aplicativo. Este é sistema-independente e independente de todo o nome de arquivo ou lugar do sistema.

    Nota: No tiro de tela precedente, o nome de diretório é excluído para Symantec. Uma vez que o CSIDL é carregado no computador que executa o conector de FireAMP, o CSIDL resolve ao máximo o trajeto, C:\ProgramData\Symantec.

  5. Escolha o Gerenciamento > as políticas. O clique edita ao lado da política apropriada. Da lista de drop-down ajustada da exclusão do costume, escolha a exclusão ajustam-no criado.

    Nota: Uma vez que você criou um grupo da exclusão, você deve adicionar-lo a todas as políticas que você criar.

  6. Clique a política da atualização e repita as etapas para todas as outras políticas que você quiser o aplicado ajustado da exclusão a.

    Nota: Há um atraso entre uma atualização da política e o intervalo de batimento cardíaco seguinte, quando um conector recebe uma alteração de política actualizado.

    Dica: A fim determinar o CSIDLs para seu produtos de segurança ou aplicativo atual, contacte o fabricante. Para uma lista completa de CSIDLs, refira Microsoft Dev Center - Desktop.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Apêndice A: Exclusões recomendadas

Baseado na lista anti-vírus da exclusão de Microsoft, Cisco recomenda que você exclui:

Estações de trabalho do Windows (genéricas)

  • CSIDL_BASEDIR
  • * \ informação do volume de sistema \ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \ Prefetch
  • * \ Windows \ SoftwareDistribution \ Datastore \ logs \ *.log
  • * \ \ de WindowsSoftwareDistribution \ Datastore \ \ logs \ edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ logs \ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ logs \ tmp.edb
  • * \ Windows \ Segurança \ banco de dados \ *.chk
  • * \ Windows \ Segurança \ banco de dados \ *.edb
  • * \ Windows \ Segurança \ banco de dados \ *.jrs
  • * \ Windows \ Segurança \ banco de dados \ *.log
  • * \ Windows \ Segurança \ banco de dados \ *.sdb
  • .db-journal
  • .db-wal
  • .db-shm
  • .pst

Windows Server (genéricos)

  • CSIDL_BASEDIR
  • * \ informação do volume de sistema \ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \ Prefetch
  • * \ Windows \ SoftwareDistribution \ Datastore \ logs \ *.log
  • * \ \ de Windows \ SoftwareDistribution \ Datastore \ logs \ edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ logs \ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \ Datastore \ logs \ tmp.edb
  • * \ Windows \ Segurança \ banco de dados \ *.chk
  • * \ Windows \ Segurança \ banco de dados \ *.edb
  • * \ \ de Windows \ Segurança \ banco de dados \ *.log
  • * \ Windows \ Segurança \ banco de dados \ *.sdb

Controladores do domínio do Windows

  • * \ Windows \ ntds \ EDB*.log
  • * \ Windows \ ntds \ Edbres*.jrs
  • * \ Windows \ ntds \ *.pat
  • *\Windows\System32\DNS\*.dns
  • *\Windows\System32\DNS\*.scc
  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ ntds \ ntds.dit
  • CSIDL_WINDOWS \ ntds \ EDB.chk
  • CSIDL_WINDOWS \ ntds \ TEMP.edb
  • CSIDL_WINDOWS \ SYSVOL \ domínio \ DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  • CSIDL_WINDOWS \ SYSVOL \ plataforma
  • CSIDL_WINDOWS \ SYSVOL \ áreas de staging
  • CSIDL_WINDOWS \ SYSVOL \ sysvol
  • CSIDL_WINDOWS\System32\ntfrs.exe
  • CSIDL_WINDOWS\System32\dfsr.exe
  • CSIDL_WINDOWS\System32\dfsrs.exe
  • CSIDL_WINDOWS\System32\dns.exe

Windows - IIS

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • Arquivos compactados provisórios de C:\inetpub\temp\IIS
  • Arquivos compactados provisórios CSIDL_WINDOWS \ IIS
  • CSIDL_WINDOWS\system32\inetsrv
  • CSIDL_WINDOWS\system32\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\SysWOW64\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles

Windows - Servidor SQL

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES \ serviços de Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting \ ReportServer \ escaninho \ ReportingServicesService.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSAS10.MSSQLSERVER\OLAP\Bin\MSMDSrv.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES \ serviços de Microsoft SQL Server\MSSQL.3\Reporting \ ReportServer \ escaninho \ ReportingServicesService.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.2\OLAP\Bin\MSMDSrv.exe
  • .bak
  • .ldf
  • .mdf
  • .trn
  • .abf
  • .ctl
  • .dbf
  • .rdo
  • .arc
  • .ndf

Windows - Proteção do valor-limite de Symantec

  • CSIDL_COMMON_APPDATA \ Symantec
  • Proteção CSIDL_PROGRAM_FILES \ Symantec \ ponto final de Symantec
  • Proteção do valor-limite CSIDL_PROGRAM_FILESX86\Symantec\Symantec
  • * \ Windows \ Temp \ musdmys_*
  • * \ Windows \ Temp \ content.zip.tmp \ *.diff
  • * \ Windows \ Temp \ content.zip.tmp \ SymDeltaDecompressOptions.xml
  • * \ Windows \ Temp \ content.zip.tmp \ cur.scr
  • * \ Windows \ Temp \ TMP*.tmp

Windows - Altiris por Symantec

  • * \ Windows \ Temp \ AltirisScript*.cmd
  • CSIDL_PROGRAM_FILES \ Altiris \ agente \ TaskManagement de Altiris
  • CSIDL_PROGRAM_FILES \ Altiris \ inventário \ Outbox

Windows - Tendência

  • CSIDL_PROGRAM_FILES \ Trend Micro
  • Micro CSIDL_PROGRAM_FILESX86\Trend

Windows - McAfee

  • CSIDL_PROGRAM_FILES \ McAfee
  • CSIDL_PROGRAM_FILESX86\McAfee
  • CSIDL_COMMON_APPDATA \ McAfee

Windows - Pelotão da frente de Microsoft

  • CSIDL_PROGRAM_FILES \ pelotão da frente de Microsoft
  • Pelotão da frente CSIDL_PROGRAM_FILESX86\Microsoft

Windows - Cliente da Segurança de Microsoft

  • CSIDL_PROGRAM_FILES \ cliente Segurança de Microsoft
  • Cliente da Segurança CSIDL_PROGRAM_FILESX86\Microsoft

Windows - Sophos

  • CSIDL_PROGRAM_FILES \ Sophos
  • CSIDL_PROGRAM_FILESX86\Sophos

Mac - Estações de trabalho (genéricas)

  • /Volumes/ */Backups.backupdb
  • /private/var/vm
  • ght-V100
  • /.MobileBackups
  • /Quarantine
  • /Volumes/*/.Spotlight-V100*

Mac - Jabber

  • /bin/ps
  • /usr/bin/grep
  • /Users/ */Library/Logs/Jabber

Mac - JAMF Casper

  • /usr/bin/sw_vers
  • /Library/Application Support/JAMF/Usage/201*-*-*/.dat*

Mac - McAfee

  • /Library/McAfee/
  • Apoio de /Library/Application/McAfee/

Mac - Crashplan

  • /Library/Caches/CrashPlan/
  • *.log de /Library/Logs/CrashPlan/

Mac - Fusão

  • /Library/Logs/VMware/

Mac - Escritório

  • dados do usuário de /Users/ */Documents/Microsoft/escritório 2011 Identities/*
  • escritório/probabilidade/probabilidade 15 Profiles/* de /Users/ */Library/Group Containers/*
  • /Users/ */Library/Caches/Outlook/*
  • /Users/ */Library/Caches/TemporaryItems/Outlook Temp/*kcIB*

Windows - Software da beira do lago - Systrack

  • * \ arquivos de programa (x86)\SysTrack\LsiAgent\Condense\*\*\*.tmp
  • * \ arquivos de programa (x86)\SysTrack\LsiAgent\Condense\*\*.hld

Windows - Aplicativos SAS

  • .lck
  • .sd2
  • .sc2
  • .SPDS
  • *.sas* (veja a nota sob o convite.)
  • .utl

Igualmente o lugar do trabalho SAS precisa de ser excluído, mas o dobrador pode ser diferente em versões diferentes SAS.

Windows - Splunk

  • \ Arquivos de programa \ Splunk (%SPLUNK_HOME%) e todos os sub-diretórios
  • \ Arquivos de programa \ Splunk \ var \ liberal \ splunk (%SPLUNK_DB%) e todos os sub-diretórios
  • \ Arquivos de programa \ SplunkUniversalForwarder (%SPLUNK_HOME%) e todos os sub-diretórios

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118341