Reagieren auf Überflutungen

Die Überflutungserkennung stellt sicher, dass ein Angreifer keinen Denial-of-Service-Angriff durch Überfluten des MOM-Servers in Ihrer Client Security-Infrastruktur durchführen kann. Ein solcher Angriff würde die Beeinträchtigung des MOM-Agent oder das Fälschen eines Clientcomputers (Spoofing) erfordern.

Die Überflutungserkennung überwacht die Anzahl von Ereignissen, die Clientcomputer in den letzten vier Tagen an den MOM-Server gesendet haben. Wenn ein Clientcomputer mehr Ereignismeldungen als erlaubt oder Meldungen mit mehr Parametern als erlaubt sendet, generiert die Überflutungserkennung die Warnung „Überflutung erkannt“. Um den Server zu schützen, unterbricht das Überflutungserkennungsfeature möglicherweise auch die Verbindung des Clientcomputers, indem dieser in die Liste „Ausstehende Computer“ verschoben wird. Durch diese Vorgehensweise wird die Überwachung der Ereignisse des überfluteten Computers durch den MOM-Server gestoppt.

Eine weitere mögliche Ursache für die Warnung „Überflutung erkannt“ ist ein automatischer Dienst, der wiederholt versucht, auf eine infizierte Ressource zuzugreifen, die vom Echtzeitschutz blockiert wird.

Bb418948.note(de-de,TechNet.10).gifHinweis
Es wird empfohlen, die Standardeinstellungen zu verwenden, um zu steuern, wann Client Security die Warnung „Überflutung erkannt“ erstellt. Dennoch können Sie einige der Einstellungen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Warnparameter für Überflutungserkennung.

  1. Stellen Sie sicher, dass die Verbindung zwischen dem überflutenden Computer und dem Client Security-Auflistungsserver getrennt wird. Klicken Sie dazu in der MOM-Verwaltungskonsole auf Microsoft Operations Manager\Verwaltung\Computer\Mit Agents verwaltete Computer, und suchen Sie nach dem Computer.

    • Wenn der gesuchte Computer aufgelistet ist, klicken Sie mit der rechten Maustaste auf den Computer, und wählen Sie In den Verwaltungsmodus Nicht verwaltet zwingen. Suchen Sie den Computer dann unter Microsoft Operations Manager\Verwaltung\Computer\Nicht verwaltete Computer, klicken Sie mit der rechten Maustaste auf den Computer, und wählen Sie Löschen.
    • Wenn der Computer nicht aufgelistet ist, wurde die Verbindung zum Computer vom Auflistungsserver automatisch getrennt.
  2. Stellen Sie die Ursache für den Vorfall fest, und untersuchen Sie, warum der Computer viele Ereignisse oder zu große Ereignismeldungen generiert hat:

    1. Zeigen Sie über den Link auf der Registerkarte „Eigenschaften“ der Warnung den Computerdetailbericht an, und informieren Sie sich über die von diesem Computer gemeldeten Ereignisse sowie den allgemeinen Sicherheitsstatus dieses Computers.
    2. Überprüfen Sie die vom Computer gemeldeten Ereignisse in der MOM-Operatorkonsole. Prüfen Sie, ob Ereignisse mit mehr als 40 Parametern vorhanden sind.
  3. Beheben Sie die gefundenen Probleme:

    • Wenn ein Softwareproblem die Überflutung auslöst, stellen Sie die ursprüngliche Ursache fest und beheben Sie diese.
    • Wenn es sich um einen Angriff handelte, ergreifen Sie Maßnahmen zum Schutz Ihrer Organisation vor dem Angriff, und reparieren Sie den Computer.
  4. Nachdem Sie die Probleme behoben haben, verbinden Sie den Computer wieder mit dem Client Security-Auflistungsserver:

    1. Starten Sie den MOM-Dienst auf dem überflutenden Computer neu. Geben Sie hierzu in einer Eingabeaufforderung den folgenden Befehl ein:
      net stop mom & net start mom
    2. Genehmigen Sie den Zugriff des Computers in der MOM-Verwaltungskonsole. Klicken Sie dazu auf Microsoft Operations Manager\Verwaltung\Computer\Ausstehende Aktionen, klicken Sie mit der rechten Maustaste auf den Computer, und klicken Sie auf Zugriff genehmigen.
  5. Es wird empfohlen, dass Sie die automatische Zugriffsgenehmigung neu installierter Agents reaktivieren. Gehen Sie hierzu folgendermaßen vor:

    1. Öffnen Sie auf dem Auflistungsserver von Client Security die MOM-Verwaltungskonsole, und greifen Sie auf Management Packs\Regelgruppen\Microsoft Forefront Client Security\Serververhalten\Ereignisregeln zu.
    2. Doppelklicken Sie auf Überflutungserkennung ausführen.
    3. Klicken Sie im Dialogfeld Ereignisregeln – Eigenschaften auf die Registerkarte Antworten.
    4. Doppelklicken Sie auf das Skript.
    5. Doppelklicken Sie im Dialogfeld „Skript starten“ auf den Skriptparameter Automatisch ausstehende Computer genehmigen.
    6. Geben Sie im Dialogfeld „Skriptparameter bearbeiten“ im Feld Wert wahr ein.
    7. Klicken Sie dreimal auf OK. Klicken Sie anschließend mit der rechten Maustaste auf den Knoten Management Packs, und klicken Sie auf Commit für Konfigurationsänderung ausführen. MOM implementiert die durchgeführten Änderungen.
Anzeigen: