Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Microsoft vient de republier la mise à jour (4.9.219.0) pour sa plateforme anti logiciels malveillants. Cette mise à jour concerne les clients Forefront EndPoint Protection 2010 UR1, et System Center 2012 EndPoint Protection SP1/SP2/R2/R2 SP1 qu’ils soient gérés ou non. La mise à jour est publiée à travers Microsoft Updates sous la catégorie Critical Updates et le produit Forefront EndPoint Protection.

Quels sont les éléments ajoutés par cette mise à jour ?

  • Résout un problème où l’import du module PowerShell Endpoint Protection échoue sur Windows 8 et Windows 8.1.
  • Supprime la case Turn on this app dans l’onglet Administrator de la partie Settings.
  • Ajoute des chaines localisées manquantes à l’interface graphique.

Quels était les éléments déjà adressés ?

  • La détection est améliorée pour les applications potentiellement non souhaitées (PUAs). Ceci bloque les PUAs d’être téléchargées depuis Internet Explorer, Firefox et Chrome. Ceci permet de détecter les PUAs dans les circonstances et emplacements :
    • Un fichier qui a Mark of the Web (MOTW)
    • Un fichier dans le répertoire Downloads
    • Un fichier dans le répertoire Temp

Il ne détectera pas en dehors des dossiers et ne supprimera pas les PUAs déjà installées. Vous devez l’activé en utilisant la clé de registre suivante :

Emplacement:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Microsoft Antimalware\MpEngine
DWORD name: MpEnablePUS
DWORD value: 1

 

  • Les ameliorations VDI à l’interface graphique pour mieux gérer les multiples sessions à distance et pour empêcher les utilisateurs de redémarrer la machine si le nettoyage d’un logiciel malveillant nécessite un redémarrage. Les administrateurs peuvent contrôler ceci par GPO en utilisant :

Emplacement:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware\UX Configuration
DWORD name: SuppressRebootNotification
DWORD value: 1

  • Optimisation des performances sur les machines virtuelles autour de l’utilisation de la mémoire et le temps initial de chargement de la machine virtuelle. Un script est disponible pour télécharger les signatures une fois sur le serveur hôte et les réutiliser par les VMs. Ceci permet de sauvegarder la bande passante lors du téléchargement des signatures.
  • Le hash (SHA1) des fichiers de menaces détectées peut être enregistré dans le journal d’événements (EventID 1120) afin de faire des recherches additionnelles sur d’autres menaces. Pour activer cette fonction, vous devez utiliser la clé de registre :

Emplacement:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Microsoft Antimalware
DWORD name: ThreatFileHashLogging
DWORD value: 1

 

Plus d’informations sur la KB3153224 : Revised March 2016 anti-malware platform update for Endpoint Protection clients

Facebook Like
Anonymous