Intune/调查恶意软件

来自站长百科
跳转至: 导航、​ 搜索

Windows Intune | 创建和管理计算机组 | 部署Windows Intune客户端软件 | 策略 | Windows Intune更新 | Endpoint Protection | Windows Intune警报

调查需要跟进的恶意软件[ ]

需要跟进的恶意的软件恶意软件)应该立即调查。Windows Intune 允许您轻松地查找需要跟进的恶意软件,以便您可以采取相应的措施。如果恶意软件的当前状态是以下状态中的一种,则该恶意软件实例需要跟进:活动恶意软件、操作已失败、需要手动步骤、需要完全扫描或需要重启。

具体步骤[ ]

1.打开 Windows Intune 管理员控制台。

2.在工作区快捷方式窗格中,单击“Endpoint Protection”图标。

3.在导航窗格中,单击“概述”(如果尚未选择)。

4.此时将出现“Endpoint Protection 概要”页,并显示按严重性排序的问题(严重问题显示在开头)。这些问题显示为链接

5.执行以下操作之一:

  • 若要首先重点调查需要跟进的恶意软件,请在“恶意软件状态”下面单击“需要跟进的恶意软件实例”。此时会出现相关的恶意软件的列表。

在“需要跟进”列中,单击想要调查的恶意软件旁边的编号。此时将打开恶意软件的“属性”页的“计算机”选项卡,并显示具有恶意软件的计算机的列表。

  • 若要首先重点调查具有需要跟进的恶意软件的计算机,请在“计算机状态”下面单击“需要跟进的具有恶意软件的计算机”。此时将出现相关计算机的列表。

在“需要跟进”列中,单击想要调查的计算机旁边的编号。此时将打开“计算机属性”页的“恶意软件”选项卡,并显示在计算机上找到的相关恶意软件的列表。

6.对于列表中的每台计算机或每个恶意软件实例,“当前状态”列指明了恶意软件在计算机上是否处于活动状态、操作是否失败(无法从客户端计算机中删除恶意软件)、是否需要手动步骤、是否需要完全扫描或者是否需要重启客户端计算机。

“恶意软件执行”列指明了恶意软件属于以下三种情况中的哪一种:在检测到时正在客户端计算机上运行、在客户端计算机上被阻止运行,在运行管理员或用户启动的完全系统扫描时未再次被检测到(由“未知”状态来表示)。

7.预览窗格中显示有关恶意软件的详细信息。

8.查看预览窗格中“当前状态”下面的信息,了解要采取的建议操作。若要详细了解恶意软件防护中心中的恶意软件,请单击“了解”旁边的链接,或者单击“了解此恶意软件”。

在完成任何建议的操作后,运行完全系统扫描。运行完全系统扫描将会使状态更改为“最近已解决”。

调查最近解决的恶意软件[ ]

Windows Intune(TM) 管理员控制台允许您快速识别和调查最近解决的恶意软件。默认情况下,如果在过去7天内检测到恶意软件实例,并且 Endpoint Protection 已成功解决该实例,则认为此实例是最近解决的。其当前状态通常被报告为“已隔离”、“已移除”或“已清理”。

注意:通过配置“跟踪已解决的恶意软件(天)”Endpoint Protection 代理设置,可以将默认值 7 天更改为 0 到 30 天之间的任何值。

具体步骤[ ]

1.打开 Windows Intune 管理员控制台。

2.在工作区快捷方式窗格中,单击“Endpoint Protection”图标。

3.在导航窗格中,单击“概述”(如果尚未选择)。

4.此时将出现“Endpoint Protection 概要”页,并显示按严重性排序的问题(严重问题显示在开头)。这些问题显示为链接。

5.执行以下操作之一:

  • 若要首先重点调查最近解决了哪个恶意软件,请在“恶意软件状态”下面单击“最近已解决的恶意软件实例”。此时会出现相关的恶意软件的列表。

在“最近已解决”列中,单击想要调查的恶意软件旁边的编号。此时将打开恶意软件的“属性”页的“计算机”选项卡,并显示具有最近已解决恶意软件的计算机的列表。

  • 若要首先重点调查哪些计算机具有最近解决的恶意软件,请在“计算机状态”下面单击“具有最近解决的恶意软件的计算机”。此时将出现相关计算机的列表。

在“最近已解决”列中,单击想要调查的计算机旁边的编号。此时将打开“计算机属性”页的“恶意软件”选项卡,并显示在计算机上最近解决的恶意软件的列表。

6.对于列表中的每台计算机或每个恶意软件实例,“当前状态”列指出了恶意软件是被删除、隔离还是被清理。

“恶意软件执行”列指明了恶意软件属于以下三种情况中的哪一种:在检测到时正在客户端计算机上运行、在客户端计算机上被阻止运行,在运行管理员或用户启动的完全系统扫描时未再次被检测到(由“未知”状态来表示)。

7.预览窗格中显示有关恶意软件的详细信息。

8.查看预览窗格中“当前状态”下面的信息,了解要采取的建议操作。若要详细了解恶意软件防护中心中的恶意软件,请单击“了解”旁边的链接,或者单击“了解此恶意软件”。

调查特定的恶意软件实例[ ]

Windows Intune允许您快速查找特定恶意的软件(或恶意软件)实例以及查看详细信息。这包括在其上检测到或最近解决了恶意软件的计算机以及恶意软件当前状态的列表。您也可以访问恶意软件防护中心主题,该主题提供了有关恶意软件的其他详细信息。

具体步骤[ ]

1.打开 Windows Intune 管理员控制台。

2.执行以下任一操作:

  • 如果知道恶意软件实例的名称,请在工作区快捷方式窗格中单击“Endpoint Protection”图标,然后在“Endpoint Protection 概述”页上的“搜索所有恶意软件”框中,键入想要查看其详细信息的恶意软件的名称。
  • 如果您知道在其上检测到或最近解决了恶意软件实例的计算机的名称,请在工作区快捷方式窗格中单击“计算机”图标。在“计算机概述”页上的“搜索所有计算机”框中,键入想要查看其恶意软件列表的计算机。在“计算机属性”页上,单击“恶意软件”。

3.在管理列表中,单击想要查看其属性的恶意软件的名称。

4.此时将打开恶意软件的“属性”页,并会显示软件的状态摘要。

5.若要查看有关恶意软件的详细信息,请执行以下任一操作:

  • 若要查看有关恶意软件的 Microsoft 恶意软件防护中心主题,请单击“了解此恶意软件”。恶意软件防护中心主题包括摘要信息、技术分析以及防护和恢复步骤。
  • 若要查看在其上检测到或最近解决了恶意软件的计算机的列表,请单击“计算机”选项卡。此选项卡显示恶意软件的当前状态、执行状态(是在计算机上运行了还是阻止了该恶意软件)以及到目前为止检测到该恶意软件的次数。

查看位于前列的恶意软件实例的列表[ ]

在“Endpoint Protection 概要”页上,您可以查看位居前列的五个恶意的软件(或恶意软件)实例的列表(如果适用)。此列表包括组织中最普遍的五个软件实例(由在其上检测到或最近解决了软件的计算机的数量确定)。

具体步骤[ ]

1.打开 Windows Intune(TM) 管理员控制台。

2.在工作区快捷方式窗格中,单击“Endpoint Protection”图标。

3.在导航窗格中,单击“概述”(如果尚未选择)。

4.位居前列的五个恶意软件实例的列表(如果适用)将显示在“检测范围最广的恶意软件实例”下。

5.若要查看有关列表中某个恶意软件实例的详细信息,请执行以下操作:

  • 若要查看恶意软件的详细信息(例如类别或严重性),请单击相应软件的名称。
  • 若要查看在其上检测到或最近解决了恶意软件的计算机的名称,请单击恶意软件名称旁边的数字。

在所有计算机中搜索恶意软件实例[ ]

您可以使用“Endpoint Protection 概要”页上的“搜索所有恶意软件”框来快速确定在组织中被管理的计算机上是否检测到或最近解决了特定恶意的软件(或恶意软件)实例。

具体步骤[ ]

1.打开 Windows Intune(TM) 管理员控制台。

2.在工作区快捷方式窗格中,单击“Endpoint Protection”图标。

3.在导航窗格中,单击“概述”(如果尚未选择)。

4.在“搜索所有恶意软件”框中,键入要搜索的恶意软件的名称(例如,Win32/JSAgent)。

注意:恶意软件实例的名称可能有所不同,具体情况视防病毒软件制造商而定。例如,Microsoft 防病毒软件程序可能将某个恶意软件实例称为“Conficker”,而其他防病毒软件制造商可能将同样的恶意软件实例称之为另一个名称。

如果在任何计算机上检测到或最近解决了恶意软件,则名称和有关该软件的附加信息将出现在管理列表中。

恶意软件严重性分类[ ]

恶意的软件(或恶意软件)实例的严重性显示在报告了该软件的计算机的“属性”页“恶意软件”选项卡上,并显示在恶意软件实例的“属性”页的“常规”选项卡上。

恶意软件的严重性分类如下所示:

  • 严重:与病毒蠕虫病毒相似,分布广泛或特别有害的程序,对用户的隐私及其计算机的安全产生负面影响,并损坏用户的计算机。
  • 高:通常在用户不知情或未经用户同意的情况下收集用户个人信息,对用户的隐私产生负面影响或破坏其计算机(例如,通过收集信息或更改设置)的程序。
  • 中:可能影响用户的隐私或更改计算机,因此对用户的计算体验产生负面影响(例如,通过收集个人信息或更改设置)的程序。
  • 低:通常没有任何负面影响并且为良性的程序。
  • 未知:恶意软件的严重性尚未分类。

需要跟进的状态条件[ ]

若要了解为计算机上的恶意的软件(或恶意软件)实例报告“需要跟进”状态的原因,您可以查看该恶意软件实例的“当前状态”列。恶意软件实例的当前状态显示在报告了该软件的计算机的“属性”页的“恶意软件”选项卡上,并显示在恶意软件实例的“属性”页的“计算机”选项卡上。

在“当前状态”列中,将会报告生成“需要跟进”状态的条件,如下表所示:

点击看大图

指示恶意软件最近已解决的状态条件[ ]

若要了解为计算机上的恶意的软件(恶意软件)实例报告“最近已解决”状态的原因,您可以查看该恶意软件实例的“当前状态”列。恶意软件实例的当前状态显示在报告了该软件的计算机的“属性”页的“恶意软件”选项卡上,并显示在恶意软件实例的“属性”页的“计算机”选项卡上。

在“当前状态”列中,生成“最近已解决”状态的条件如下表所示:

点击看大图

参考来源[ ]

http://onlinehelp.microsoft.com/zh-cn/windowsintune/ff398985.aspx

Windows Intune使用手册导航

Windows Intune使用手册

许可证工作区 | 软件工作区 | 系统概述工作区 | Windows Intune管理员控制台

创建和管理计算机组

使用计算机组和计算机 | 检查计算机和组的状态摘要和详细信息 | 使用筛选器缩小搜索范围 | 代理运行状况消息疑难解答

部署Windows Intune客户端软件

客户端软件要求及工作方式 | 在使用组策略管理的企业中规划部署 | 部署客户端软件 | 验证客户端软件安装 | 删除客户端软件 | 客户端计算机的防火墙和代理服务器设置 | 解决部署错误 | 新建组织单位

策略

配置策略 | 管理策略 | Windows Intune代理策略设置 | Windows Intune Center策略设置 | Windows防火墙策略设置 | 策略问题疑难解答 | 策略信息报告

Windows Intune更新

开始使用更新 | 检查更新状态摘要和详细信息 | 查看更新 | 管理更新 | 更新管理 | 生成更新报表 | 更新疑难解答

Endpoint Protection

检查计算机和组的Endpoint Protection状态摘要和恶意软件详细信息 | 调查恶意软件 | 调查未受保护的计算机 | 调查具有保护警告的计算机 | 管理Endpoint Protection设置和执行基本任务 | 使用运行其他反恶意软件应用程序的计算机 | Endpoint Protection问题疑难解答 | 针对Endpoint Protection准备客户端计算机

Windows Intune警报

检查计算机和组的警报状态摘要和详细信息 | 调查警报 | 警报状态详细信息 | 管理警报 | 管理远程协助请求

取自“https://www.zzbaike.com/wiki/Intune/调查恶意软件?oldid=70424