Это интересно

  • ОКД
  • ЗКС
  • ИПО
  • КНПВ
  • Мондиоринг
  • Большой ринг
  • Французский ринг
  • Аджилити
  • Фризби

Опрос

Какой уровень дрессировки необходим Вашей собаке?
 

Полезные ссылки

РКФ

 

Все о дрессировке собак


Стрижка собак в Коломне

Поиск по сайту

Главная » Журнал » Отключить журнал событий windows 10

Включение Управляемого доступа к папкам. Отключить журнал событий windows 10


Включение функции защищенных папок в Windows 10

  • 12/01/2017
  • Время чтения: 2 мин
  • Соавторы
    • Iaan D'Souza-Wiltshire
    • olprod

В этой статье

Область применения

  • Windows10 версии1709

Аудитория

  • Администраторы безопасности предприятия

Управляемость доступна с помощью следующих инструментов:

  • Приложение «Центр безопасности Защитника Windows»
  • Групповая политика
  • PowerShell
  • Поставщики служб конфигурации для управления мобильными устройствами

Управляемый доступ к папкам помогает защитить ценные данные от вредоносных приложений и угроз, таких как программы-шантажисты. Он является частью Exploit Guard в Защитнике Windows.

В этом разделе описываются способы включения Управляемого доступа к папкам с помощью приложения "Центр безопасности Защитника Windows", групповой политики, PowerShell и поставщиков служб конфигурации (CSP) управления мобильными устройствами (MDM).

Включение и аудит Управляемого доступа к папкам

Управляемый доступ к папкам можно включить с помощью приложения "Центр безопасности Защитника Windows", групповой политики, PowerShell или поставщиков служб конфигурации MDM. Можно также включить функцию в режиме аудита. Режим аудита позволяет проверить, как функция будет работать (и просмотреть события), без влияния на обычное использование этого компьютера.

Дополнительные сведения о том, как работает режим аудита и когда он может понадобиться, см. в разделе аудит Exploit Guard в Защитнике Windows.

Примечание

Функция "Управляемый доступ к папкам" отобразит состояние в приложении Центр безопасности Защитника Windows в разделе Параметры защиты от вирусов и угроз. Если компонент настроен с помощью групповой политики, PowerShell или поставщиков служб конфигурации MDM, состояние изменится в приложении Центр безопасности Защитника Windows после перезагрузки устройства. Если для компонента задан Режим аудита с помощью любого из этих средств, приложение Центр безопасности Защитника Windows отобразит состояние Отключено. Дополнительные сведения о принципе работы режима аудита см. в разделе Использование режима аудита для оценки возможностей Exploit Guard в Защитнике Windows.

Использование приложения безопасности Защитника Windows для включения Управляемого доступа к папкам

  1. Откройте Центр безопасности Защитника Windows, щелкнув значок щита на панели задач или выполнив поиск в меню «Пуск» по запросу Защитник.

  2. Нажмите плитку Защита от вирусов и угроз (или значок щита в левой строке меню), а затем значок Параметры защиты от вирусов и угроз:

    Снимок экрана параметров защиты от вирусов и угроз в Центре безопасности Защитника Windows

  3. Переключите функцию в режим Вкл.

    Снимок экрана с включенным Управляемым доступом к папкам

Использование групповой политики для включения Управляемого доступа к папкам

  1. На компьютере, осуществляющем групповую политику, откройте Консоль управления групповыми политиками, правой кнопкой мыши щелкните объект групповой политики, который вы хотите настроить, и выберите команду Редактировать.

  2. В редакторе управления групповыми политиками перейдите к пункту Конфигурация компьютера.

  3. Щелкните Политики, а затем— Административные шаблоны.

  4. Разверните дерево до узла Компоненты Windows > Антивирусная программа "Защитник Windows" > Exploit Guard в Защитнике Windows > Управляемый доступ к папкам.

  5. Дважды щелкните параметр Настроить Управляемый доступ к папкам и установите для него значение Включено. В параметрах можно указать один из следующих вариантов:

    • Включить — вредоносным и подозрительным приложениям будет запрещено вносить изменения в файлы в защищенных папках. В журнал событий Windows будут заноситься соответствующие уведомления.
    • Отключено (по умолчанию) — Управляемый доступ к папкам не будет работать. Все приложения могут вносить изменения в файлы в защищенных папках.

    • Режим аудита — если вредоносное или подозрительное приложение пытается внести изменения в файл в защищенной папке, это изменение будет разрешено, но в журнал событий Windows будет внесена соответствующая запись. Это позволит вам оценить влияние этой функции на безопасность в вашей организации.

      Снимок экрана параметра групповой политики в значении "Включено" и значение "Включить", выбранное в раскрывающемся списке

Важно!

Чтобы полностью включить Управляемый доступ к папкам, необходимо задать параметру групповой политики значение Включено , а также выбрать Включить в раскрывающемся меню параметров.

Использование PowerShell для включения Управляемого доступа к папкам

  1. Введите powershell в меню «Пуск», щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора

  2. Введите следующий командлет:

    Set-MpPreference -EnableControlledFolderAccess Enabled

Функцию можно включить в режиме аудита, указав AuditMode вместо Enabled.

Используйте Disabled для отключения функции.

Использование CSP MDM для включения Управляемого доступа к папкам

Используйте поставщик служб конфигурации (CSP) ./Vendor/MSFT/Policy/Config/Defender/GuardedFoldersList, чтобы разрешить приложениям вносить изменения в защищенные папки.

Статьи по теме

docs.microsoft.com

Устранение неполадок подключения к Advanced Threat Protection в Защитнике Windows

  • 11/21/2017
  • Время чтения: 13 мин
  • Соавторы
    • jcaparas
    • olprod

В этой статье

Область применения:

  • Windows 10 Корпоративная
  • Windows 10 для образовательных учреждений
  • Windows 10 Pro
  • Windows 10 Pro для образовательных учреждений
  • Advanced Threat Protection в Защитнике Windows (ATP в Защитнике Windows)
  • WindowsServer2012R2
  • WindowsServer2016

При возникновении проблем может потребоваться выполнить процесс устранения неполадок подключения к ATP в Защитнике Windows. На этой странице приведены подробные инструкции по устранению неполадок подключения, которые могут возникнуть при развертывании с помощью одного из средств развертывания, а также распространенных ошибок, возникающих в конечных точках.

Если процесс подключения конечных точек завершен, но спустя час конечные точки отсутствуют в представлении Компьютеры, это может указывать на проблему, связанную с подключением конечных точек или соединением.

Устранение неполадок подключения при развертывании с использованием групповой политики

Развертывание с использованием групповой политики осуществляется путем запуска сценария подключения в конечных точках. На консоли управления групповыми политиками отсутствует информация об успешности развертывания.

Если процесс подключения конечных точек завершен, но спустя час конечные точки отсутствуют в представлении Компьютеры, можно проверить результат выполнения сценария в конечных точках. Дополнительные сведения см. в разделе Устранение неполадок подключения при развертывании с помощью сценария в конечной точке.

Если сценарий выполнен успешно, см. список возможных дополнительных ошибок в разделе Устранение неполадок подключения в конечной точке.

Устранение неполадок подключения при развертывании с помощью System Center Configuration Manager

При подключении конечных точек с помощью следующих версий System Center Configuration Manager:

  • System Center 2012 Configuration Manager
  • System Center 2012 R2 Configuration Manager
  • System Center Configuration Manager (current branch) версии 1511
  • System Center Configuration Manager (current branch) версии 1602

Развертывание с помощью вышеперечисленных версий System Center Configuration Manager осуществляется путем запуска сценария подключения в конечных точках. Отслеживать развертывание можно в консоли диспетчера настройки.

Если выполнить развертывание не удается, проверьте результат выполнения сценария в конечных точках.

Если подключение выполнено успешно, но спустя час конечные точки не отображаются в представлении Компьютеры, см. список возможных дополнительных ошибок в разделе Устранение неполадок подключения в конечной точке.

Устранение неполадок подключения при развертывании с помощью сценария в конечной точке

Проверьте результат выполнения сценария в конечной точке:

  1. Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу Ввод.

  2. Выберите Журналы Windows > Приложение.

  3. Выполните поиск события в источнике событий WDATPOnboarding.

Если выполнить сценарий не удается и в результате поиска события обнаруживается ошибка, для устранения проблемы можно проверить код события в представленной ниже таблице.

Примечание

Следующие события относятся только к сценарию подключения.

Идентификатор события Тип ошибки Действия по разрешению
5 Данные отключения найдены, но их удаление невозможно Проверьте разрешения в реестре, в частности HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.
10 Не удалось записать данные подключения в реестр Проверьте разрешения в реестре, в частностиHKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat.Убедитесь в том, что сценарий был выполнен с правами администратора.
15 Не удалось запустить службу SENSE Проверьте состояние службы (с помощью команды sc query sense). Убедитесь в том, что текущее состояние не является промежуточным ("Pending_Stopped", "Pending_Running"), и запустите сценарий повторно (с правами администратора).

Если конечная точка работает под управлением Windows 10 версии 1607 и при выполнении команды sc query sense возвращает START_PENDING, перезагрузите компьютер. Если это не решит проблему, обновите систему до версии KB4015217 и снова попытайтесь выполнить подключение.
15 Не удалось запустить службу SENSE Появляется сообщение об ошибке: "Произошла системная ошибка 577". Необходимо включить драйвер ELAM антивирусной программы "Защитник Windows", инструкцию см. в разделе о том, как убедиться, что антивирусная программа "Защитник Windows" не отключена политикой.
30 При выполнении сценария не удалось дождаться запуска службы Возможно, запуск службы занимает более длительное время, или при попытке запуска произошла ошибка. Дополнительные сведения о событиях и ошибках, связанных с SENSE, см. в разделе Просмотр событий и ошибок для конечных точек с помощью просмотра событий.
35 При выполнении сценария не удалось найти необходимое значение реестра состояний подключения При первом запуске службы SENSE состояние подключения вносится в раздел реестраHKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status.При выполнении сценария не удалось найти его за несколько секунд. Можно провести тестирование вручную и проверить наличие соответствующего значения. Дополнительные сведения о событиях и ошибках, связанных с SENSE, см. в разделе Просмотр событий и ошибок для конечных точек с помощью просмотра событий.
40 Для состояния подключения службы SENSE не задано значение 1 Не удалось надлежащим образом подключить службу SENSE. Дополнительные сведения о событиях и ошибках, связанных с SENSE, см. в разделе Просмотр событий и ошибок для конечных точек с помощью просмотра событий.
65 Недостаточно прав Запустите сценарий повторно с правами администратора.

Устранение неполадок подключения с помощью Microsoft Intune

С помощью Microsoft Intune можно проверять коды ошибок и устранять причины проблем.

Если вы настроили политики в Intune и они не распространяются на конечные точки, может потребоваться настроить автоматическую регистрацию в MDM. Дополнительные сведения см. в разделе Настройка автоматической регистрация в MDM.

Возможные причины неполадок при подключении можно определить с помощью следующих таблиц:

  • Таблица «Коды ошибок Microsoft Intune и OMA-URI»
  • Таблица «Известные проблемы несоответствия»
  • Таблица "Журналы событий управления мобильными устройствами (MDM)"

Если ни один из журналов событий и шагов по устранению неполадок не принес нужного результата, загрузите локальный сценарий из раздела портала Управление конечными точками и запустите его в командной строке с повышенными привилегиями.

Коды ошибок Microsoft Intune и OMA-URI:

Шестнадцатеричный код ошибки Десятичный код ошибки Описание ошибки OMA-URI Возможная причина и шаги по устранению неполадок
0x87D1FDE8 -2016281112 Сбой исправления Подключение Отключение Возможная причина: Сбой подключения или отключения на неверном большом двоичном объекте: неправильная подпись или отсутствие полей PreviousOrgIds.

Шаги по устранению неполадок: Проверьте код события в разделе Просмотр ошибок подключения агента в журнале событий конечной точки.

Проверьте журналы событий MDM в следующих таблицах или следуйте инструкциям в разделе Диагностика ошибок MDM в Windows 10.
Подключение Отключение SampleSharing Возможная причина: Раздел реестра политик ATP в Защитнике Windows не существует, или клиент DM OMA не имеет полномочий для записи в нем.

Шаги по устранению неполадок: Убедитесь в наличии следующего раздела реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

Если он не существует, откройте командную строку с повышенными привилегиями и добавьте нужный раздел.
SenseIsRunning OnboardingState OrgId Возможная причина: Попытка изменения со свойством, доступным только для чтения. Не удалось выполнить подключение.

Шаги по устранению неполадок: См. шаги по устранению неполадок в статье Устранение проблем подключения к Advanced Threat Protection в Защитнике Windows.

Проверьте журналы событий MDM в следующих таблицах или следуйте инструкциям в разделе Диагностика ошибок MDM в Windows 10.
Все Возможная причина: Попытка развертывания ATP в Защитнике Windows на неподдерживаемых SKU/платформе, особенно голографическом SKU.

Поддерживаемые в настоящее время платформы: Корпоративная, для образовательных учреждений и Профессиональная. Сервер не поддерживается.
0x87D101A9 -2016345687 Syncml(425): при выполнении запрошенной команды произошла ошибка, поскольку у отправителя отсутствуют разрешения управления доступом (ACL) для получателя. Все Возможная причина: Попытка развертывания ATP в Защитнике Windows на неподдерживаемых SKU/платформе, особенно голографическом SKU.

Поддерживаемые в настоящее время платформы: Корпоративная, для образовательных учреждений и Профессиональная.

Известные проблемы несоответствия

Следующая таблица содержит сведения о проблемах несоответствия и способах их устранения.

Ситуация Симптомы Возможная причина и шаги по устранению неполадок
1 Компьютер соответствует требованиям по OMA-URI SenseIsRunning. Однако он не соответствует требованиям по OMA-URI OrgId, Onboarding и OnboardingState. Возможная причина: Убедитесь в том, что пользователь выполнил процедуру первого запуска после установки или обновления Windows. Во время первого запуска не удалось завершить подключение, однако служба SENSE уже работает.

Шаги по устранению неполадок: Дождитесь завершения первого запуска.
2 Компьютер соответствует требованиям по OMA-URI OrgId, Onboarding и OnboardingState, однако не соответствует требованиям по OMA-URI SenseIsRunning. Возможная причина: Для службы SENSE задан тип запуска "Отложенный запуск". Иногда это приводит к тому, что сервер Microsoft Intune определяет компьютер как не соответствующий требованиям по SenseIsRunning, когда сеанс DM запускается при загрузке системы.

Шаги по устранению неполадок: Эта проблема должна быть устранена автоматически в течение 24 часов.
3 Компьютер не соответствует требованиям Шаги по устранению неполадок: Убедитесь в том, что на одном компьютере не развернуты одновременно политики подключения и отключения.

Журналы событий управления мобильными устройствами (MDM)

Просмотрите журналы событий MDM для устранения проблем, которые могут возникнуть при подключении:

Имя журнала: Microsoft\Windows\DeviceManagement-EnterpriseDiagnostics-Provider

Имя канала: Admin

ID Серьезность Описание события Шаги по устранению неполадок
1819 Ошибка Поставщик служб конфигурации Advanced Threat Protection в Защитнике Windows: не удается задать значение узла. NodeId: (%1), TokenName: (%2), Result: (%3). Скачайте накопительное обновление для Windows 10 версии 1607.

Устранение неполадок подключения в конечной точке

Если используемые средства развертывания не обнаруживают ошибку в процессе подключения, но конечные точки спустя час по-прежнему отсутствуют в представлении компьютеров, изучите следующие разделы и узнайте, как проверить наличие ошибок в работе агента ATP в Защитнике Windows:

Просмотр ошибок подключения агента в журнале событий конечной точки

  1. Нажмите кнопку Пуск, введите Просмотр событий и нажмите клавишу Ввод.

  2. В области Просмотр событий (локальный) выберите Журналы приложений и служб > Microsoft > Windows > SENSE.

    Примечание

    SENSE — это внутреннее имя, которое используется для обозначения датчика поведения, на котором основана работа ATP в Защитнике Windows.

  3. Для загрузки журнала выберите Операционный.

  4. В области Действие выберите Фильтровать текущий журнал.

  5. На вкладке Фильтр в области Уровень события: выберите Критический, Предупреждение и Ошибка, а затем нажмите кнопку ОК.

    Изображение фильтра журнала Просмотра событий

  6. События, которые могут указывать проблемы, будут отображаться в области Операционный. Эти проблемы можно попытаться устранить, основываясь на представленных в следующей таблице решениях:

Идентификатор события Сообщение Действия по разрешению
5 Службе Advanced Threat Protection в Защитнике Windows не удалось подключиться к серверу по адресу variable. Проверка доступа к Интернету из конечной точки.
6 Служба Advanced Threat Protection в Защитнике Windows не подключена, а параметры подключения не найдены. Код ошибки: variable Повторный запуск сценария подключения.
7 Службе Advanced Threat Protection в Защитнике Windows не удается прочитать параметры подключения. Код ошибки: variable Убедитесь в наличии доступа к Интернету из конечной точки, а затем повторите весь процесс подключения.
9 Службе Advanced Threat Protection в Защитнике Windows не удалось изменить свой тип запуска. Код ошибки: variable Если событие произошло во время подключения, перезагрузите компьютер и повторите попытку запуска сценария подключения. Дополнительные сведения см. в разделе Повторный запуск сценария подключения.

Если событие произошло во время отключения, обратитесь в службу поддержки.
10 Службе Advanced Threat Protection в Защитнике Windows не удалось сохранить сведения о процессе подключения. Код ошибки: variable Если событие произошло во время подключения, повторите попытку запуска сценария подключения. Дополнительные сведения см. в разделе Повторный запуск сценария подключения.

Если проблема сохраняется, обратитесь в службу поддержки.
15 Службе Advanced Threat Protection в Защитнике Windows не удается запустить канал команд по URL-адресу: variable Проверка доступа к Интернету из конечной точки.
17 Службе Advanced Threat Protection в Защитнике Windows не удалось изменить расположение службы функциональных возможностей для подключенных пользователей и телеметрии. Код ошибки: variable Повторный запуск сценария подключения. Если проблема сохраняется, обратитесь в службу поддержки.
25 Служба Advanced Threat Protection в Защитнике Windows не может восстановить состояние работоспособности в реестре. Код ошибки: variable Обратитесь в службу поддержки.
27 Не удалось включить режим Advanced Threat Protection в Защитнике Windows. Сбой процесса подключения. Код ошибки: variable Обратитесь в службу поддержки.
29 Сбой при считывании параметров отключения. Тип ошибки: %1, код ошибки: %2, описание: %3 Убедитесь в наличии доступа к Интернету из конечной точки, затем повторите весь процесс отключения.
30 Не удалось отключить режим $(build.sense.productDisplayName) в Advanced Threat Protection в Защитнике Windows. Код ошибки: %1 Обратитесь в службу поддержки.
32 Службе $(build.sense.productDisplayName) не удалось выполнить запрос на самостоятельную остановку после завершения процесса отключения. Код ошибки: %1 Убедитесь, что выбран тип запуска службы "Вручную", и перезагрузите компьютер.
55 Не удалось создать авторегистратор безопасной трассировки событий Windows. Код ошибки: %1 Перезагрузите компьютер.
63 Обновление типа запуска внешней службы. Имя: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3, код выхода: %4 Выясните, почему изменился тип запуска указанной службы. Если код выхода отличен от 0, вручную измените тип запуска на ожидаемый.
64 Запуск остановленной внешней службы. Имя: %1, код выхода: %2 Если событие возникает повторно, обратитесь в службу поддержки.
68 Непредвиденный тип запуска службы. Имя службы: %1, фактический тип запуска: %2, ожидаемый тип запуска: %3 Выясните, почему изменился тип запуска. Исправьте тип запуска указанной службы.
69 Служба остановлена. Имя службы: %1 Запустите указанную службу. Если проблема сохраняется, обратитесь в службу поддержки.

В конечной точке присутствуют дополнительные компоненты, от которых зависит правильность функционирования агента ATP в Защитнике Windows. При отсутствии связанных с подключением ошибок в журнале событий агента ATP в Защитнике Windows далее необходимо выполнить следующие действия, чтобы убедиться в правильности настройки дополнительных компонентов.

Убедитесь, что служба диагностических данных включена

Если конечные точки работают неправильно, убедитесь в том, что автоматический запуск службы диагностических данных в Windows 10 настроен и эта служба запущена в конечной точке. Служба могла быть отключена другими программами или в результате изменения конфигурации пользователя.

В первую очередь необходимо убедиться в том, что служба автоматически запускается при запуске Windows. Затем следует проверить, работает ли служба в настоящее время (и при необходимости запустить ее).

Проверка готовности к использованию службы

Используйте командную строку для проверки типа запуска службы диагностических данных в Windows 10:

  1. Откройте командную строку с повышенными привилегиями на конечной точке:

    a. Нажмите кнопку Пуск, введите значение cmd и нажмите клавишу Ввод.

    b. Щелкните правой кнопкой мыши Командная строка и выберите Запустить от имени администратора.

  2. Введите указанную ниже команду и нажмите клавишу Ввод.

    sc qc diagtrack

    Если служба включена, результат должен выглядеть как на следующем снимке экрана:

    Результат выполнения команды sc query для diagtrack

    Если для параметра START_TYPE не задано значение AUTO_START, необходимо настроить автоматический запуск службы.

Используйте командную строку для включения автоматического запуска службы диагностических данных в Windows 10:

  1. Откройте командную строку с повышенными привилегиями на конечной точке:

    a. Нажмите кнопку Пуск, введите значение cmd и нажмите клавишу Ввод.

    b. Щелкните правой кнопкой мыши Командная строка и выберите Запустить от имени администратора.

  2. Введите указанную ниже команду и нажмите клавишу Ввод.

    sc config diagtrack start=auto

  3. Отображается сообщение об успешном выполнении. Проверьте изменение, указав следующую команду и нажав клавишу Ввод:

    sc qc diagtrack

  4. Запустите службу.

    a. Введите в командной строке следующую команду и нажмите клавишу Ввод:

    sc start diagtrack

Проверка наличия Интернет-подключения в конечной точке

Для работы датчика ATP в Защитнике Windows требуется, чтобы служба Microsoft Windows HTTP (WinHTTP) передавала данные датчиков и обменивалась данными со службой ATP в Защитнике Windows.

Параметр WinHTTP не зависит от параметров прокси-сервера для просмотра страниц в Интернете и других приложений контекста пользователя и должен определять прокси-серверы, доступные в конкретной среде.

Чтобы обеспечить подключение этого датчика к службе, выполните действия, описанные в разделе Проверка подключения клиента к URL-адресам службы ATP в Защитнике Windows.

В случае сбоя проверки и использования в имеющейся среде прокси-сервера для подключения к Интернету выполните действия, описанные в разделе Настройка прокси-сервера и параметров подключения к Интернету.

Как убедиться, что антивирусная программа "Защитник Windows" не отключена политикой

Проблема: после подключения служба ATP в Защитнике Windows не запускается.

Признак: подключение успешно завершается, но при попытке запустить службу возникает ошибка 577.

Решение. Если на конечных точках запущено антивредоносное ПО сторонних разработчиков, для включения агента ATP в Защитнике Windows необходим драйвер раннего запуска антивредоносной программы (ELAM) Защитника Windows. Необходимо убедиться, что Защитник Windows не отключен системной политикой.

  • Откройте средство, используемое для применения политик, и убедитесь, что очищены следующие политики Защитника Windows:

    • DisableAntiSpyware
    • DisableAntiVirus

    Например, в групповой политике не должно быть записей со следующими значениями:

    • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key>
    • <Key Path="SOFTWARE\Policies\Microsoft\Windows Defender"><KeyValue Value="0" ValueKind="DWord" Name="DisableAntiSpyware"/></Key>

  • После очистки политики повторите процесс подключения на конечной точке.

  • Так же можно проверить следующие значения разделов реестра, чтобы убедиться, что политика отключена:

    1. Откройте реестр key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender.

    2. Убедитесь, что отсутствует значение DisableAntiSpyware.

      Изображение раздела реестра для антивирусной программы "Защитник Windows"

Устранение неполадок подключения на сервере

В случае возникновения неполадок при подключении сервера выполните следующие проверочные действия, чтобы исключить возможные проблемы.

Также может потребоваться проверить следующее:

  • Убедитесь, что выполняется служба Advanced Threat Protection в Защитнике Windows, на вкладке Процессы в Диспетчере задач. Пример:

    Изображение представления процессов с выполняемой службой Advanced Threat Protection в Защитнике Windows

  • Проверьте раздел Просмотр событий > Журналы приложений и служб > Operation Manager на наличие ошибок.

  • В разделе Службы проверьте, выполняется ли Microsoft Monitoring Agent на сервере. Например:

    Изображение раздела "Службы"

  • В разделе Microsoft Monitoring Agent > Аналитика журнала Azure (OMS) проверьте компонент "Рабочие области" и убедитесь в наличии состояния "Запущено".

    Изображение свойств Microsoft Monitoring Agent

  • Убедитесь, что компьютеры отображаются в списке "Компьютеры" на портале.

Требования лицензирования

Для службы Advanced Threat Protection в Защитнике Windows необходимо наличие одного из следующих предложений корпоративного лицензирования Майкрософт:

  • Windows 10 Корпоративная E5
  • Windows 10 для образовательных учреждений E5
  • Microsoft 365 корпоративный E5, включающий в себя Windows 10 Корпоративная E5

Дополнительные сведения см. в статье о лицензировании Windows10.

Хотите использовать службу ATP в Защитнике Windows? Зарегистрируйтесь для получения бесплатной пробной версии.

Статьи по теме

docs.microsoft.com

Настройка параметров ведения журнала

Эта документация перемещена в архив и не поддерживается.

 

Применимо к: Forefront Protection for Exchange

Дата изменения раздела: 2010-05-13

Для Forefront Protection 2010 for Exchange Server (FPE) можно настроить следующие параметры ведения журнала.

Включить или отключить ведение журнала происшествий можно для каждого типа задания проверки (проверка передачи, проверка в реальном времени, проверка по расписанию, проверка по требованию). Включение ведения журнала происшествий позволяет более эффективно отслеживать производительность FPE. При этом отключение ведения журнала происшествий позволяет сэкономить место на диске при нехватке ресурсов (при условии, что для соответствующего задания проверки также отключен карантин). (Если для задания проверки отключено ведение журнала происшествий, но включен карантин, сведения о происшествиях будут записываться в базу данных, чтобы ПО FPE могло поместить на карантин соответствующий элемент. Однако такие элементы не будут отображаться в области Происшествия.)

Включение и отключение параметров ведения журнала происшествий

  1. В окне Forefront Protection 2010 for Exchange Server Administrator Console переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

  2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала включите или отключите с помощью флажков указанные ниже параметры ведения журнала происшествий.

    • Включить ведение журнала происшествий передачи — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки передачи. Ведение журнала происшествий передачи включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке передачи, снимите соответствующий флажок.

    • Включить ведение журнала происшествий в реальном времени — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки в реальном времени. Ведение журнала происшествий для проверки в реальном времени включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке в реальном времени, снимите соответствующий флажок.

    • Включить ведение журнала происшествий по расписанию — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки по расписанию. Ведение журнала происшествий для проверки по расписанию включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке по расписанию, снимите соответствующий флажок.

    • Включить ведение журнала происшествий по требованию — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки по требованию. Ведение журнала происшествий для проверки по требованию включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке по требованию, снимите соответствующий флажок.

  3. Нажмите кнопку Сохранить.

Можно указать, должна ли программа FPE сохранять копии входящих и исходящих сообщений для пограничных транспортных серверов и транспортных серверов-концентраторов, а также способ копирования. Параметр Архивировать передаваемую почту указывает, будут ли входящие и исходящие сообщения сохраняться в папки "In" и "Out", расположенные в папке данных FPE. (Расположение папки данных по умолчанию см. в разделе Папки по умолчанию.) При сохранении в файл каждому сообщению присваивается имя, состоящее из года, дня, месяца, времени и трехзначного числа (например: 20090604102005020.eml). Это помогает администраторам и инженерам службы поддержки FPE выявлять и устранять проблемы. Архивировать почту можно как до, так и после проверки; эти параметры можно настроить, что позволяет сравнить исходные сообщения с сообщениями после проверки. Например, электронная почта, к которой применялась операция удаления, отличается от исходной почты после проверки.

Настройка архивации передаваемой почты

  1. В окне Forefront Protection 2010 for Exchange Server Administrator Console переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

  2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала выберите в раскрывающемся списке Архивировать передаваемую почту один из указанных ниже параметров.

    • Не архивировать — почта не архивируется. Это значение используется по умолчанию.

    • Перед проверкой — исходные сообщения архивируются перед проверкой на вредоносные программы.

    • После проверки — результирующие сообщения архивируются после проверки на вредоносные программы.

    • До и после проверки — сообщения архивируются до и после проверки на вредоносные программы.

  3. Нажмите кнопку Сохранить.

Запись событий в журнал событий можно включить или отключить. Ведение журнала событий можно по отдельности включить и отключить для происшествий, модулей и операционных событий. Ведение журнала по умолчанию включено для всех событий.

Включение и отключение записи в журнал событий

  1. В окне Forefront Protection 2010 for Exchange Server Administrator Console переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

  2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите или снимите флажок Включить ведение журнала событий. Если этот флажок установлен (по умолчанию), то с помощью дополнительных флажков можно по отдельности включить или отключить указанные ниже параметры (по умолчанию они включены).

    • Происшествия — включить или отключить ведение журнала событий для происшествий.

    • Модули — включить или отключить ведение журнала событий для модулей.

    • Операционные — включить или отключить ведение журнала для всех остальных событий, например событий, связанных со сведениями о системе и работоспособностью.

    Если флажок Включить ведение журнала событий снят, ведение журнала событий для происшествий, модулей и операционных событий приостанавливается.

  3. Нажмите кнопку Сохранить.

Примечание Примечание:
Для вступления изменений в силу необходимо перезапустить службы Microsoft Exchange и Microsoft Forefront.

В FPE можно включить или отключить ведение текстовых журналов, которые используются агентами защиты от нежелательной почты, в том числе агентами фильтра содержимого и фильтра подключений (то есть списка блокировки уведомлений о доставке Forefront).

Включение и отключение ведения журнала агента защиты от нежелательной почты

  1. В окне Forefront Protection 2010 for Exchange Server Administrator Console переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

  2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите (чтобы включить) или снимите (чтобы отключить) флажок Включить ведение журнала агента защиты от нежелательной почты и нажмите кнопку Сохранить. Ведение журнала агента защиты от нежелательной почты включено по умолчанию.

В FPE можно включить или отключить ведение журнала происшествий, связанных с нежелательной почтой, в стандартной базе данных по происшествиям FPE.

Предупреждение Предупреждение:
При включении ведения журнала происшествий, связанных с нежелательной почтой, FPE выполняет запись в базу данных по происшествиям каждый раз, когда фильтр содержимого отклоняет или удаляет нежелательное сообщение. Это может привести к значительному увеличению размера базы данных по происшествиям, а также к снижению производительности сервера.
Включение и отключение ведения журнала происшествий, связанных с нежелательной почтой

  1. В окне Forefront Protection 2010 for Exchange Server Administrator Console переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

  2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите (чтобы включить) или снимите (чтобы отключить) флажок Включить ведение журнала происшествий, связанных с нежелательной почтой и нажмите кнопку Сохранить. По умолчанию ведение журнала происшествий, связанных с нежелательной почтой, отключено, то есть такие события в журнал не записываются. Другие параметры ведения журнала нежелательной почты задаются с помощью параметра Включить ведение журнала агента защиты от нежелательной почты.

Можно включить или отключить ведение журнала счетчиков производительности, отображаемых в системном мониторе.

Включение и отключение ведения журнала счетчиков производительности

  1. В окне Forefront Protection 2010 for Exchange Server Administrator Console переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

  2. В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите (чтобы включить) или снимите (чтобы отключить) флажок Включить счетчики производительности и нажмите кнопку Сохранить. Ведение журнала счетчиков производительности включено по умолчанию.

 

technet.microsoft.com

Как отключить уведомления в Windows 10

Разработчики новой ОС позаботились о том, чтобы пользователь был в курсе, что происходит в системе. Всплывающие сообщения будут регулярно показаны на экране. Но если вас это раздражает, не стоит тратить нервы зря, так как отключить уведомления в Windows 10 очень легко.

Где находится область уведомлений Windows 10

Значок расположен слева снизу.

Цифра означает количество новых сообщений. Чтобы открыть весь список просто кликните на пиктограмме. Здесь вы увидите весь журнал истории последних событий.

Пользователей раздражает не наличие значка, а периодически всплывающие около него сообщения. Поэтому будем разбираться, как убрать уведомления в Windows 10.

Инструмент «Параметры»

Большинство настроек теперь осуществляется в этом окне. Вызвать его можно через главное меню, поиск или контекстное меню (клик правой кнопкой на Пуске).

Зайдите в секцию управления системой.

Нужен раздел, отвечающий за действия.

Откроется центр уведомлений Windows 10, настройка его совсем проста:

  1. Изменить расположение пиктограмм быстрого действия. Перетаскивайте их, как в известной головоломке, чтобы изменить положение.

2. Добавить или удалить ненужные действия. Для этого нажмите на ссылку и используйте выключатели. Это позволит настроить панель для быстрого подключения Wi-Fi, или смены режимов отображения.

3. Указать отображение сообщений для разных состояний компьютера.

4. Настроить показ Push-сообщений для каждого приложения по отдельности.

Чтобы включить Push-уведомления в Виндовс 10, установите «Вкл», чтобы их отключить – «Откл».

Реестр

Так как все настройки сохраняются в реестре в виде параметров, можно отключить все всплывающие уведомления в Виндовс 10, просто изменив нужные значения.

  1. Зажмите WIN+R и вбейте regedit. Затем «Ок».

2. В редакторе прокликайте по пути: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ PushNotifications

3. С помощью контекстного меню (ПКМ на свободном пространстве) сделайте еще один параметр DWORD 32 бита с наименованием ToastEnabled.

4. Кликайте ПКМ на нем и выбирайте «Изменить».

5. Установите 0.

После перезапуска новые правила начнут работать.

Еще один способ избавиться от проблемы – просто скрыть пиктограмму. Как убрать значок уведомления Windows 10 в панели снизу по шагам:

  1. Сверните все окна и на пустом рабочем столе кликните ПКМ. Выберите «Персонализация».

2. Кликайте опцию «Панель задач».

3. Промотайте вниз до ссылки «Включение и выключение системных значков».

4. Передвиньте соответствующий движок в положение «Откл».

Эти действия помогут удалить панель уведомлений в Виндовс 10.

Как отключить звук уведомлений Windows 10

Если вас раздражает только звуковой сигнал, то вы можете избавиться от него. Самый простой вариант – выключить звук динамиков, но он не подходит, если вы смотрите фильм, слушаете музыку или общаетесь по видеосвязи.

Отключение звуковых уведомлений в Windows 10 можно настроить для конкретного приложения, категории событий или для всех сообщений одновременно.

  1. Отключить для приложения можно в параметрах.

Щелкните по названию и в окне настроек отключите звук, передвинув флажок.

  1. Выключить сигнал для разных событий можно в панели управления. Найдите ее через поиск и запустите.

Перейдите в раздел «Звук».

На вкладке «Звуки» вы увидите перечень категорий.

В одноименном выпадающем списке выберите опцию «Нет».

  1. Отключить звук на всех сообщениях можно в этом же окне. Проделайте все то же самое для параметра «Уведомления».

Полное отключение сервиса

Через реестр можно совсем отключить центр уведомлений в Windows 10:

  1. Запустите реестр, как было описано выше.
  2. Пройдите по пути Компьютер\HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows.

  1. Найдите раздел Explorer. Если его нет – создайте c помощью контекстного меню.

  1. В нем сделайте параметр, как уже было описано. Имя – DisableNotificationCenter, значение – 1.

После перезагрузки новые настройки станут действительными.

Если у вас версия ОС PRO – используйте редактор групповых политик.

  1. WIN+R и gpedit.msc.

  1. Далее Конфигурация пользователя – Административные шаблоны – Меню «Пуск» и панель задач.
  2. Изменяйте статус нужного действия на включено.

windows10x.ru

Смотрите также

KDC-Toru | Все права защищены © 2018 | Карта сайта