安全 : Cisco AMP for Endpoints

在FireAMP配置与管理排除

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 5 月 5 日) | 反馈

简介

本文描述如何创建排除,以便FireAMP连接器不扫描程序的目录。这完成为了防止冲突或性能问题在FireAMP连接器和抗病毒或其他应用程序之间。这是特别重要与包含字符串FireAMP连接器检测作为有恶意或用检查的文件发出的抗病毒签名。

贡献用Nazmul Rajib, Caly诺尔斯和哥顿Strosnider, Cisco TAC工程师。

先决条件

要求

思科建议您有FireAMP Cloud控制台知识,终端和抗病毒产品的FireAMP。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

排除类型

有可用的排除的三种类型在FireAMP控制台。如果使用错误的排除类型,排除不会作用。注释每个类型格式为了验证排除在调整的进程中适当地被添加了是重要的。

分机

此排除类型是相当显然的。它用于为了排除有些分机的文件,不管哪里在计算机。这可以被输入用两种方式:

  • .chk
  • *.chk

路径

此排除可以用于为了排除一个单一路径。在该路径内的所有子文件夹也将被排除。路径排除是能使用康斯坦特殊项目标识列表的唯一部分(CSIDL),因为通配符和CSIDL不合作。两个路径格式是:

  • CSIDL_WINDOWS\system32\
  • C:\Windows\system32\

注意:结尾‘\’可选和‘*’不会被采取作为一个字面值目录,没有通配符。

通配符

此排除最多用途,但是导致多数混乱。识别通配符的简便的方法是使用asterik。如果asterik是存在任何路径,它是通配符。这是有用在有多个用户和多个盘符的系统。如陈述为路径排除类型,这不会与CSIDL一起使用。如果有多盘符,从通配符开始是最佳的。通配符示例是:

  • *\Windows\system32\
  • C:\Windows\system32\*\logs.log
  • * \ Windows \ * \ *.log

配置

为了创建排除,请完成这些步骤:

  1. 选择在FireAMP Cloud控制台的Management>排除

  2. 单击创建设置的排除为了建立排除一新的列表。输入一名称对于列表并且单击创建

  3. 单击添加排除为了添加排除到您的列表。将提示您输入排除的一个路径。

  4. 输入您在您的终端安装然后单击创建软件产品的CSIDL。

    注意:CSIDL值识别应用程序使用的特殊文件夹。这独立系统和对立于系统的所有文件名或位置。

    注意:在上一个屏幕画面,目录名称为Symantec被排除。一旦CSIDL在运行FireAMP连接器的计算机装载, CSIDL解决到完整路径, C:\ProgramData\Symantec

  5. 选择Management>策略。单击在相应的策略旁边编辑。从自定义排除集合下拉列表,请选择排除设置您创建。

    注意:一旦创建排除集,您必须添加它到您创建的所有策略。

  6. 点击更新策略并且重复您希望排除设置已应用的所有其他策略的步骤。

    注意:当连接器接收一更新策略变更时,有策略更新和下心跳间隔之间的延迟。

    提示:为了确定您的当前安全产品或应用程序的CSIDLs,请联系制造商。对于CSIDLs完整列表,参考Microsoft Dev中心-桌面

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。

附录 A:推荐的排除

Microsoft抗病毒排除列表,思科建议您排除:

Windows工作站(通用的)

  • CSIDL_BASEDIR
  • * \系统容量信息\ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \预取
  • * \ Windows \ SoftwareDistribution \数据存储器\日志\ *.log
  • * \ WindowsSoftwareDistribution \ \数据存储器\ \日志\ edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \数据存储器\ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \数据存储器\日志\ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \数据存储器\日志\ tmp.edb
  • * \ Windows \安全\数据库\ *.chk
  • * \ Windows \安全\数据库\ *.edb
  • * \ Windows \安全\数据库\ *.jrs
  • * \ Windows \安全\数据库\ *.log
  • * \ Windows \安全\数据库\ *.sdb
  • .db日志
  • .dbwal
  • .dbshm
  • .pst

Windows服务器(通用的)

  • CSIDL_BASEDIR
  • * \系统容量信息\ tracking.log$
  • CSIDL_SYSTEM \ emptyregdb.dat
  • CSIDL_SYSTEM\CatRoot2
  • CSIDL_WINDOWS \预取
  • * \ Windows \ SoftwareDistribution \数据存储器\日志\ *.log
  • * \ Windows \ \ SoftwareDistribution \数据存储器\日志\ edb*.log
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ SoftwareDistribution \数据存储器\ Datastore.edb
  • CSIDL_WINDOWS \ SoftwareDistribution \数据存储器\日志\ edb.chk
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res1.log
  • CSIDL_WINDOWS\SoftwareDistribution\Datastore\Logs\Res2.log
  • CSIDL_WINDOWS \ SoftwareDistribution \数据存储器\日志\ tmp.edb
  • * \ Windows \安全\数据库\ *.chk
  • * \ Windows \安全\数据库\ *.edb
  • * \ Windows \安全\ \数据库\ *.log
  • * \ Windows \安全\数据库\ *.sdb

Windows -域控制器

  • * \ Windows \ ntds \ EDB*.log
  • * \ Windows \ ntds \ Edbres*.jrs
  • * \ Windows \ ntds \ *.pat
  • *\Windows\System32\DNS\*.dns
  • *\Windows\System32\DNS\*.scc
  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS \ ntds \ ntds.dit
  • CSIDL_WINDOWS \ ntds \ EDB.chk
  • CSIDL_WINDOWS \ ntds \ TEMP.edb
  • CSIDL_WINDOWS \ SYSVOL \域\ DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  • CSIDL_WINDOWS \ SYSVOL \试运行
  • CSIDL_WINDOWS \ SYSVOL \试运行区域
  • CSIDL_WINDOWS \ SYSVOL \ sysvol
  • CSIDL_WINDOWS\System32\ntfrs.exe
  • CSIDL_WINDOWS\System32\dfsr.exe
  • CSIDL_WINDOWS\System32\dfsrs.exe
  • CSIDL_WINDOWS\System32\dns.exe

Windows - IIS

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • C:\inetpub\temp\IIS临时压缩文件
  • CSIDL_WINDOWS \ IIS临时压缩文件
  • CSIDL_WINDOWS\system32\inetsrv
  • CSIDL_WINDOWS\system32\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\SysWOW64\inetsrv\w3wp.exe
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles

Windows - SQL server

  • CSIDL_COMMON_APPDATA \ ntuser.pol
  • CSIDL_WINDOWS\system32\GroupPolicy\registry.pol
  • CSIDL_WINDOWS\System32\LogFiles
  • CSIDL_WINDOWS\SysWow64\LogFiles
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting服务\ ReportServer \ Bin \ ReportingServicesService.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSAS10.MSSQLSERVER\OLAP\Bin\MSMDSrv.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLServr.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.3\Reporting服务\ ReportServer \ Bin \ ReportingServicesService.exe
  • CSIDL_PROGRAM_FILES \ Microsoft SQL Server\MSSQL.2\OLAP\Bin\MSMDSrv.exe
  • .bak
  • .ldf
  • .mdf
  • .trn
  • .abf
  • .ctl
  • .dbf
  • .rdo
  • .arc
  • .ndf

Windows - Symantec终端保护

  • CSIDL_COMMON_APPDATA \ Symantec
  • CSIDL_PROGRAM_FILES \ Symantec \ Symantec端点保护
  • CSIDL_PROGRAM_FILESX86\Symantec\Symantec终端保护
  • * \ Windows \临时\ musdmys_*
  • * \ Windows \临时\ content.zip.tmp \ *.diff
  • * \ Windows \临时\ content.zip.tmp \ SymDeltaDecompressOptions.xml
  • * \ Windows \临时\ content.zip.tmp \ cur.scr
  • * \ Windows \临时\ TMP*.tmp

Windows - Altiris用Symantec

  • * \ Windows \临时\ AltirisScript*.cmd
  • CSIDL_PROGRAM_FILES \ Altiris \ Altiris代理程序\ TaskManagement
  • CSIDL_PROGRAM_FILES \ Altiris \库存\发件箱

Windows -趋势

  • CSIDL_PROGRAM_FILES \ Trend Micro
  • CSIDL_PROGRAM_FILESX86\Trend简单

Windows - McAfee

  • CSIDL_PROGRAM_FILES \ McAfee
  • CSIDL_PROGRAM_FILESX86\McAfee
  • CSIDL_COMMON_APPDATA \ McAfee

Windows - Microsoft最前方

  • CSIDL_PROGRAM_FILES \ Microsoft最前方
  • CSIDL_PROGRAM_FILESX86\Microsoft Forefont

Windows - Microsoft安全客户端

  • CSIDL_PROGRAM_FILES \ Microsoft安全客户端
  • CSIDL_PROGRAM_FILESX86\Microsoft安全客户端

Windows - Sophos

  • CSIDL_PROGRAM_FILES \ Sophos
  • CSIDL_PROGRAM_FILESX86\Sophos

Mac -工作站(通用的)

  • /Volumes/ */Backups.backupdb
  • /private/var/vm
  • ght-V100
  • /.MobileBackups
  • /Quarantine
  • /Volumes/*/.Spotlight-V100*

Mac - Jabber

  • /bin/ps
  • /usr/bin/grep
  • /Users/ */Library/Logs/Jabber

Mac - JAMF凯斯普尔

  • /usr/bin/sw_vers
  • /Library/Application Support/JAMF/Usage/201*-*-*/.dat*

Mac - Crashplan

  • /Library/Caches/CrashPlan/
  • /Library/Logs/CrashPlan/ *.log

Mac -融合

  • /Library/Logs/VMware/

Mac -办公室

  • /Users/ */Documents/Microsoft用户数据/办公室2011 Identities/*
  • /Users/ */Library/Group Containers/*办公室/Outlook /Outlook 15个Profiles/*
  • /Users/ */Library/Caches/Outlook/*
  • /Users/ */Library/Caches/TemporaryItems/Outlook Temp/*kcIB*

Windows -湖边软件- Systrack

  • * \程序文件(x86)\SysTrack\LsiAgent\Condense\*\*\*.tmp
  • * \程序文件(x86)\SysTrack\LsiAgent\Condense\*\*.hld

Windows - SAS应用程序

  • .lck
  • .sd2
  • .sc2
  • .SPDS
  • .sas*
  • .utl

并且SAS工作位置需要被排除,但是文件夹可能是不同的用不同的SAS版本。

Windows - Splunk

  • \程序文件\ Splunk (%SPLUNK_HOME%)和所有子目录
  • \程序文件\ Splunk \ var \解放\ splunk (%SPLUNK_DB%)和所有子目录
  • \程序文件\ SplunkUniversalForwarder (%SPLUNK_HOME%)和所有子目录

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118341