回應超載偵測

超載偵測能確保攻擊者無法透過在 Client Security 基礎結構中使 MOM 伺服器超載的方式,發動拒絕服務攻擊。這類攻擊需要侵害 MOM 代理程式或詐騙用戶端電腦。

超載偵測能監視過去四天來,用戶端電腦傳送至 MOM 伺服器的事件數目。如果用戶端電腦傳送多過允許的事件訊息,或傳送內含多過允許參數的訊息,超載偵測功能會產生「偵測到超載的電腦」警示。為了保護伺服器,超載偵測功能可能也會將用戶端電腦移至「擱置電腦」清單,將該用戶端中斷連線。這會造成 MOM 伺服器停止監視出自超載電腦的事件。

「偵測到超載的電腦」警示另一個可能的原因是,自動服務一再嘗試存取遭到即時防護封鎖的受感染資源。

Bb418948.note(zh-tw,TechNet.10).gif附註
我們建議您使用控制 Client Security 何時發出「偵測到超載的電腦」警示的預設設定;然而,您仍可設定下列的部分設定。如需詳細資訊,請參閱設定「偵測到超載的電腦」警示參數.

  1. 確定超載的電腦已中斷與 Client Security 集合伺服器的連線。其作法是在 MOM 系統管理員主控台中,存取 [Microsoft Operations Manager\系統管理\電腦\代理程式管理的電腦],並找到該電腦。

    • 如果電腦列於其中,請以滑鼠右鍵按一下,再選取 [強制進入未受管理的管理模式]。接著在 [Microsoft Operations Manager\系統管理\電腦\未管理的電腦] 中找到該電腦,以滑鼠右鍵按一下,再選取 [刪除]。
    • 如果電腦未列於其中,表示集合伺服器已自動將電腦中斷連線。
  2. 請判斷事件發生的原因,調查電腦為何產生大量事件,或過大的事件訊息:

    1. 若要檢視「電腦詳細資料」報表,瞭解這部電腦所報告的事件及該電腦的整體安全性狀態,請使用警示的 [內容] 索引標籤中的連結。
    2. 在 MOM 操作員主控台中檢視該部電腦報告的事件。查看是否有超過 40 個參數的事件。
  3. 解決您找出的問題:

    • 如果有造成超載的軟體問題,請判斷根本原因,並加以修正。
    • 如果發生過攻擊,請採取動作保護貴組織避免遭受攻擊,並修復電腦。
  4. 解決問題之後,請將電腦重新連線到 Client Security 集合伺服器:

    1. 重新啟動超載電腦上的 MOM 服務。作法是在命令提示字元中,鍵入以下命令:
      net stop mom & net start mom
    2. 在 MOM 系統管理員主控台中核准該電腦。若要達成此目的,請存取 [Microsoft Operations Manager\系統管理\電腦\擱置動作],在電腦上按一下滑鼠右鍵,然後按一下 [核准]。
  5. 我們建議您為新安裝的代理程式重新啟用自動核准功能。作法是:

    1. 在 Client Security 集合伺服器上,開啟 MOM 系統管理員主控台,並存取 [Microsoft Operations Manager\管理組件\規則群組\Microsoft Forefront Client Security\伺服器行為\事件規則]。
    2. 按兩下 [執行洪水偵測]。
    3. 在 [事件規則內容] 對話方塊,按一下 [回應] 索引標籤。
    4. 按兩下指令碼。
    5. 在 [啟動指令碼] 對話方塊中,連按兩下自動核准擱置電腦指令碼參數。
    6. 在 [編輯指令碼參數] 對話方塊的 [值] 方塊,鍵入 true
    7. 按三次 [確定],然後在 [管理組件] 節點上按一下滑鼠右鍵,並按一下 [認可組態變更]。MOM 會實施您進行的變更。
顯示: