Konfigurieren der Warnparameter für Überflutungserkennung

Sie können die folgenden vier Parameter der Überflutungserkennung konfigurieren:

  • Automatisch ausstehende Computer genehmigen: Gibt an, ob Client Security automatisch Computer auf der Liste „Ausstehende Computer“ genehmigt. Wenn dieser Parameter auf „wahr“ konfiguriert ist, überprüft Client Security die Liste der ausstehenden Computer einmal pro Stunde und genehmigt die Computer auf der Liste. Wenn jedoch die Warnung „Überflutung erkannt“ ausgegeben wurde, wird der Parameterwert von Client Security auf „falsch“ geändert, damit das automatisch Genehmigen eines überflutenden Computers verhindert wird. Die Standardeinstellung ist „wahr“, dies genehmigt automatisch ausstehende Computer.
    Wenn Sie den Warnparameter „Überflutung erkannt“ aufgelöst haben, müssen Sie den Parameter manuell zurück auf „wahr“ konfigurieren, damit Client Security wieder automatisch ausstehende Computer genehmigt.
  • Verbindung der Clients trennen: Gibt an, ob ein Client, der die maximale Anzahl von Ereignissen überschreitet, in die Liste „Ausstehende Computer“ verschoben und somit vom MOM-Server getrennt werden soll. Die Verbindung überflutender Computer wird laut Standardeinstellung unterbrochen.
  • Maximal zugelassene Parameter pro Ereignis: Steuert die maximale Anzahl an Parametern, die eine Ereignismeldung enthalten kann, bevor die Überflutungsschutzwarnung ausgegeben wird. Dies schützt den MOM-Server vor Ereignismeldungen, die in böser Absicht zu groß erstellt wurden. Der Standardwert für diesen Parameter sind 40 Parameter pro Ereignis.
  • Maximale Ereignisse pro Computer in OPDB: Steuert die Anzahl der Ereignismeldungen von einem einzelnen Client (in den letzten vier Tagen), die die Überflutungsschutzwarnung auslöst. Der Standardwert für diesen Parameter sind 5000 Ereignisse pro Computer.

Es wird empfohlen, dass Sie den Standardparameter für „Verbindung der Clients trennen“, „Maximal zugelassene Parameter pro Ereignis“ und „Maximale Ereignisse pro Computer“ verwenden. Eine Änderung der Standardparameter sollte jedoch unter folgenden Umständen in Erwägung gezogen werden:

  • Computer generieren eine höhere Anzahl von Ereignissen als vom Parameter für die maximalen Ereignisse pro Computer zugelassen. Dies ist zwar unwahrscheinlich, in einigen Organisationen aber dennoch möglich.
  • Ein automatisches Trennen der Computer durch die Konsole ist nicht wünschenswert. Denial-of-Service-Angriffe werden nicht dadurch gestoppt, dass Sie die Möglichkeit zum Trennen von Clients, die die maximal zulässige Anzahl von Ereignissen überschreiten, unterbinden. Client Security generiert stattdessen lediglich Warnungen zu dem potenziellen Angriff, der eine Gefährdung des Servers zur Folge haben kann.

Über die MOM-Verwaltungskonsole können Sie die Parameter für die Überflutungserkennung konfigurieren.

  1. Öffnen Sie auf dem Auflistungsserver die MOM-Verwaltungskonsole, und erweitern Sie die Microsoft Operations Manager-Struktur auf Management Packs\Regelgruppen\Microsoft Forefront Client Security\Serververhalten\Ereignisregeln.

  2. Doppelklicken Sie auf Überflutungserkennung ausführen.

  3. Klicken Sie im Dialogfeld Ereignisregeln – Eigenschaften auf die Registerkarte Antworten.

  4. Wählen Sie das Überflutungsschutzskript aus, und klicken Sie auf Bearbeiten.

  5. Wählen Sie im Dialogfeld Skript starten unter Skriptparameter den zu ändernden Parameter aus, und klicken Sie auf Parameter bearbeiten.

  6. Geben Sie im Dialogfeld Skriptparameter bearbeiten den neuen Parameter in das Feld Wert ein. Gültige Werte hängen vom zu bearbeitenden Parameter ab. Ausführlichere Informationen finden Sie in der folgenden Liste:

    • Automatisch ausstehende Computer genehmigen: Geben Sie „wahr“ ein, um das automatische Genehmigen von ausstehenden Computern zu aktivieren. Geben Sie „falsch“ ein, um das automatische Genehmigen von ausstehenden Computern zu deaktivieren. Der Standardwert ist „wahr“.
    • Verbindung der Clients trennen: Geben Sie „1“ ein, um das Trennen der Clientverbindung zu aktivieren. Geben Sie „0“ ein, um das Trennen der Clientverbindung zu deaktivieren. Der Standardwert ist „1“.
    • Maximal zugelassene Parameter pro Ereignis: Geben Sie eine ganze Zahl ein. Der Standardwert ist „40“.
    • Maximale Ereignisse pro Computer in OPDB: Geben Sie eine ganze Zahl ein. Der Standardwert ist „5000“.
  7. Klicken Sie dreimal auf OK. Klicken Sie anschließend mit der rechten Maustaste auf den Knoten Management Packs, und klicken Sie auf Commit für Konfigurationsänderung ausführen. MOM implementiert die durchgeführten Änderungen.

Anzeigen: