Probleme mit Clients

Veröffentlicht: Dezember 2009

Betrifft: Forefront Client Security

Dieses Thema umfasst die folgenden Abschnitte:

Windows Defender und Client Security werden gleichzeitig unter Windows Vista ausgeführt

Clientbenutzer kann keine Scanzeit einstellen

Clientbenutzer kann Scans deaktivieren

Ausschlussdateien verlieren Ausschlussstatus

Fehler beim Ausführen geplanter Scans

Client Security-Benutzeroberfläche kann nach der Installation nicht geöffnet werden

Die Schaltfläche „Jetzt aktualisieren“ im Windows-Sicherheitscenter funktioniert nicht

Auf lokalisierten Windows-Versionen tritt bei der Verwendung von fcslocalpolicytool.exe ein Fehler auf

Malware wird nicht bereinigt, wenn kein Benutzer angemeldet ist

Warnungen werden bei der Clientinstallation im Clientsetup-Protokoll protokolliert

Der Client Security-Agent umfasst drei Komponenten:

  • Microsoft Forefront Client Security-Antimalwaredienst (MsMpeng.exe)

  • Microsoft Forefront Client Security-Dienst zur Sicherheitsstatusbewertung (FcsSas.exe)

  • MOM-Agent (MOMHost.exe und MOMService.exe)

Um die Ursache eines Problems auf Clientseite zu ermitteln, starten Sie die Ereignisanzeige, und überprüfen Sie die Protokolle auf Meldungen von den zuvor genannten Diensten. Der MOM-Agent protokolliert Fehler, Warnungen und informative Daten im Anwendungsprotokoll. Der Antimalwaredienst und der Dienst zur Sicherheitsstatusbewertung protokollieren Fehler, Warnungen und informative Daten im Systemprotokoll.

Windows Defender und Client Security werden gleichzeitig unter Windows Vista ausgeführt

Hintergrund

Wenn Sie den Client Security-Agent auf einem Clientcomputer unter Windows Vista bereitstellen, wird Windows Defender deaktiviert. Defender kann jedoch beispielsweise mit einer Richtlinie für den Netzwerkzugriffsschutz wieder aktiviert werden.

Beim Upgrade eines Computers (auf dem Client Security bereits installiert ist) von Windows XP auf Windows Vista ist Defender unter Windows Vista nach wie vor installiert. Dadurch werden sowohl Defender als auch Client Security ausgeführt. Diese Konfiguration wird nicht unterstützt, und Defender muss per Gruppenrichtlinie deaktiviert werden.

Lösung

In Defender ist eine ADM-Datei verfügbar, die mit Gruppenrichtlinien zur Steuerung des Verhaltens verwendet werden kann. Mit dieser Datei können Sie Defender deaktivieren.

So deaktivieren Sie Defender per Gruppenrichtlinie

  1. Navigieren Sie auf dem Clientcomputer, auf dem Defender installiert ist, in den Installationsordner von Defender, und kopieren Sie die Datei „windowsdefender.adm“ in einen Speicherort, auf den vom Netzwerk aus zugegriffen werden kann.

  2. Erweitern Sie im Gruppenrichtlinienobjekt-Editor den Eintrag Computerkonfiguration, klicken Sie mit der rechten Maustaste auf Administrative Vorlagen, und klicken Sie auf Vorlagen hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Vorlagen hinzufügen/entfernen auf die Schaltfläche Hinzufügen.

  4. Suchen Sie im Dialogfeld Richtlinienvorlagen die Datei „windowsdefender.adm“, klicken Sie auf Öffnen und anschließend im Dialogfeld Vorlagen hinzufügen/entfernen auf Schließen.

  5. Erweitern Sie im Gruppenrichtlinienobjekt-Editor den Eintrag Administrative Vorlagen und anschließend den Eintrag Windows-Komponenten, und klicken Sie auf Windows Defender.

  6. Doppelklicken Sie im Hauptbereich auf Windows Defender deaktivieren, klicken Sie auf Aktiviert und anschließend auf OK.

    Die Gruppenrichtlinie tritt beim nächsten Gruppenrichtlinien-Aktualisierungsintervall in Kraft.

Clientbenutzer kann keine Scanzeit einstellen

Auch wenn Clientbenutzer berechtigt sind, eigene Scans zu planen, können sie möglicherweise keine Startzeit für die Scans festlegen.

Hintergrund

Sie können von Benutzern geplante Scans zulassen, indem Sie zwei Startzeiteinstellungen im Dialogfeld Neue Richtlinie oder Richtlinie bearbeiten auf der Registerkarte Schutz ändern. Wenn Sie nur den Stundenwert auf Benutzergesteuert setzen, können Clientbenutzer keine Scans planen.

Lösung

Führen Sie im Dialogfeld Richtlinie bearbeiten der betreffenden Richtlinie auf der Registerkarte Schutz einen der folgenden Schritte durch:

  • Wählen Sie für beide Startzeit-Listen die Option Benutzergesteuert.

    noteHinweis:
    Dadurch kann der Benutzer die Einstellung Computer automatisch überprüfen in der Client Security-Benutzeroberfläche (UI) deaktivieren.

  • Wählen Sie einen Tag und eine Uhrzeit für Scans aus.

Clientbenutzer kann Scans deaktivieren

Clientbenutzer können das Scannen ihres Computers verhindern.

Hintergrund

Wenn Clientbenutzer berechtigt sind, Scans zu planen, sind sie ebenfalls berechtigt, diese zu deaktivieren.

Lösung

Geben Sie im Dialogfeld Richtlinie bearbeiten der betreffenden Richtlinie auf der Registerkarte Schutz für beide Startzeit-Listen einen Tag und eine Uhrzeit an.

Ausschlussdateien verlieren Ausschlussstatus

Wenn Sie Immer zulassen wählen, um zu verhindern, dass eine Datei oder ein Programm als Malware erkannt und entfernt wird, ist der Ausschluss möglicherweise nicht von Dauer.

Hintergrund

Auf der Client Security-Konsole können verschiedene Stufen von Benutzerzugriff und -steuerung definiert werden. Damit Benutzer die Liste der Ausschlüsse bearbeiten können, muss der Administrator für die auf die Clients anwendbare Client Security-Richtlinie die Option Benutzern das Hinzufügen von Ausschlüssen und Außerkraftsetzungen ermöglichen wählen.

Lösung

Aktivieren Sie im Dialogfeld Richtlinie bearbeiten der betreffenden Richtlinie auf der Registerkarte Schutz das Kontrollkästchen Benutzern das Hinzufügen von Ausschlüssen und Außerkraftsetzungen ermöglichen.

Weitere Informationen zum Konfigurieren von Richtlinien finden Sie im Client Security-Administrationshandbuch unter „Controlling the end-user experience“ (http://go.microsoft.com/fwlink/?LinkId=86661, möglicherweise in englischer Sprache).

Fehler beim Ausführen geplanter Scans

Geplante Scans können nicht gestartet werden. Client Security protokolliert keine Fehler oder Ereignisse.

Hintergrund

Damit Sie Client Security auf den Clientcomputern bereitstellen können, muss der Taskplanerdienst ausgeführt werden und für die Ausführung von Tasks richtig konfiguriert sein. Wenn Sie geplante Tasks manuell vom Dialogfeld Geplante Aufgaben aus angehalten haben, wird der Dienst angehalten und kann beim nächsten Starten des Computers nicht initialisiert werden. Wenn der Dienst nicht für die Anmeldung als lokales Systemkonto konfiguriert ist, kann er möglicherweise nicht gestartet werden.

Lösung

Stellen Sie sicher, dass der Taskplanerdienst ausgeführt wird.

So stellen Sie sicher, dass der Taskplanerdienst ausgeführt wird

  1. Erweitern Sie auf dem Clientcomputer im Snap-In Computerverwaltung den Eintrag Dienste und Anwendungen, und klicken Sie anschließend auf Dienste.

  2. Klicken Sie mit der rechten Maustaste auf Taskplaner, und klicken Sie dann auf Eigenschaften.

  3. Stellen Sie sicher, dass auf der Registerkarte Allgemein der Starttyp auf Automatisch gesetzt ist und der Dienststatus Gestartet lautet. Wenn der Dienst nicht ausgeführt wird, klicken Sie auf Starten. Klicken Sie auf OK.

Client Security-Benutzeroberfläche kann nach der Installation nicht geöffnet werden

Unmittelbar nach der Installation versuchen Sie, die Client Security-Benutzeroberfläche auf einem Clientcomputer unter Windows Vista zu starten, aber es geschieht nichts.

Hintergrund

Grund hierfür ist, dass „clientsetup.exe“ in einem Kontext mit erhöhten Rechten im Betriebssystem Windows Vista ausgeführt wird.

Lösung

Führen Sie einen der folgenden Schritte aus:

  • Melden Sie sich ab und wieder an.

  • Klicken Sie im Infobereich mit der rechten Maustaste auf das Symbol „Client Security“, klicken Sie auf Beenden, und öffnen Sie Client Security erneut über das Startmenü.

Die Schaltfläche „Jetzt aktualisieren“ im Windows-Sicherheitscenter funktioniert nicht

Nach der Installation des Client Security-Agents unter Windows Vista werden Sie vom Windows-Sicherheitscenter aufgefordert, die Antimalwaredefinitionen zu aktualisieren. Durch Klicken auf die Schaltfläche Jetzt aktualisieren müsste die Client Security-Benutzeroberfläche geöffnet werden, aber direkt nach der Installation geschieht nichts.

Hintergrund

Grund hierfür ist, dass „clientsetup.exe“ als Konto mit erhöhten Rechten ausgeführt wird.

Lösung

Starten Sie den Clientcomputer neu.

Auf lokalisierten Windows-Versionen tritt bei der Verwendung von fcslocalpolicytool.exe ein Fehler auf

Bei der Bereitstellung von Client Security-Richtlinien für Computer mit lokalisierten (d. h. nicht englischsprachigen) Windows-Versionen wird die Eingabe Ja von fcslocalpolicytool.exe ignoriert, und es wird wiederholt eine Eingabeaufforderung für Ja oder Nein angezeigt.

Lösung

Als Problemumgehung können Sie fcslocalpolicytool.exe mit der Option /f ausführen. Bei der Option /f wird die Bestätigungsmeldung unterdrückt, und es wird automatisch Ja eingegeben.

Malware wird nicht bereinigt, wenn kein Benutzer angemeldet ist

Wenn Malware auf einem Clientcomputer erkannt wurde, wird die Standardaktion für die erkannte Malware nicht automatisch durch den Echtzeitschutz (RTP) ausgeführt.

Hintergrund

Die Standardaktion für RTP wird nur ausgeführt, wenn ein Benutzer an diesem Computer angemeldet ist. Darüber hinaus werden für RTP erforderliche Registrierungsschlüssel nicht erstellt, wenn keine Client Security-Richtlinie auf dem Clientcomputer bereitgestellt wurde. In allen Fällen wird beim Erkennen von Malware im Ereignisprotokoll ein Ereignis mit der ID 3004 aufgezeichnet. Dies weist darauf hin, dass die Malware von RTP blockiert wurde.

Lösung

Es muss ein Benutzer angemeldet sein, damit die Standardaktion (Entfernen, Bereinigen oder Quarantäne) für erkannte Malware von RTP ausgeführt werden kann. Erkannte Malwaredateien werden jedoch automatisch blockiert, und der Zugriff auf diese Dateien (z. B. Lesen, Kopieren oder Ausführen) wird von Client Security verhindert. Daher ist der Computer auch geschützt, wenn die Standardaktion nicht ausgeführt wird und die Malware weiterhin auf dem Computer vorhanden ist.

Damit die Standardaktion für erkannte Malware von RTP ausgeführt werden kann, müssen die folgenden Registrierungsschlüssel vorhanden sein. Die Werte der Registrierungsschlüssel müssen auf „On (1)“ festgelegt sein.

HKLM\Software\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Real-Time Protection\AutomaticallyCleanRealTimeAfterDelay

HKLM\Software\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Scan\AutomaticallyCleanAfterScan

noteHinweis:
Wenn die Client Security-Richtlinie bereitgestellt wurde, wird die Standardaktion bei geplanten vollständigen Scans automatisch ausgeführt, wobei Benutzer nicht angemeldet sein müssen.

Warnungen werden bei der Clientinstallation im Clientsetup-Protokoll protokolliert

Bei der Clientinstallation wird unter bestimmten Versionen des Betriebssystems Windows Vista beim Clientsetup folgende Warnung protokolliert: „Warnung: Diese Version von Vista wird nicht unterstützt.“

Wenn die Installation unter einer unterstützten Version von Vista erfolgt, muss diese Meldung nicht beachtet werden. Eine Liste der unterstützten Versionen finden Sie im Client Security-Bereitstellungshandbuch unter Überprüfen Ihrer Systemanforderungen.

Anzeigen: