Мониторинг целостности файлов в центре безопасности azurefile integrity monitoring in azure security center

Description

He is a little lower than Mortadelo. In the early years of the comic’s publication he had the most prominent and aquiline nose, carrying a large pipe in his mouth and a Sherlock Holmes-like outfit, jacket and hat plush; in fact, in 1404 the number of Pulgarcito he even wearing raincoat and hat boxes characteristic of most Holmes illustrations.

This primitive aspect was purging itself over time, soon acquiring a similar current appearance: Filemon gradually reduced his nose and his clothing consisted of a black bow tie, white shirt, generally red pants and sometimes a matching jacket. He has only two hairs on his head, pointing in different directions.

During the Franco era it was stated that both Mortadelo and Filemon were homosexual, asserting that «two male characters, single, shared apartment, sleeping in the same room, one of which he disguised himself often women, was for his synonymous detractors of homosexuality.

Clean up after creating a temporary event subscriber

If you attempt to run the script a second time, you will more than likely receive errors. The error is because the event SourceIdentifier“MonitorFiles” already exists. The way to correct this is to unregister the event. You can do this by name, by specifying the SourceIdentifierproperty of the Unregister-Event cmdlet. But the easier way to do this is to use the Get-EventSubscriber cmdlet, and pipe the event subscriber to the Unregister-Event cmdlet as shown here.

Get-EventSubscriber | Unregister-Event

The unpredictable results portion of the scenario is that one WMI event already exists—the one that generated during testing. It is certainly possible to work with multiple events, but it is also easier to just clean up. The easiest way to do this is to find all of the WMI events by using the Get-Event cmdlet, and then pipe all the found WMI events to the Remove-Event cmdlet. This command is shown here.

Get-Event | Remove-Event

If you are writing a temporary WMI event consumer script, it makes sense to place the two previous commands into a function called something like Remove-WMIEventAndSubscriber. Such a function is shown here.

Function Remove-WMIEventAndSubscriber

{

 Get-EventSubscriber | Unregister-Event

 Get-Event | Remove-Event

} #end function Remove-WmiEventAndSubscriber

A function such as Remove-WMIEventAndSubscriber makes testing your script inside the Windows PowerShell ISE much easier, and it saves a lot of typing because you reset the environment each time you decide to run an additional test.

The complete TemporaryWMIEventToMonitorFolderForNewFiles.ps1 script is uploaded to the Scripting Guys Script Repository. You can download the entire script from there.

That is all there is to using a temporary WMI event to monitor a folder for the creation of a new file. Join me tomorrow for more Windows PowerShell cool stuff.

Ed Wilson, Microsoft Scripting Guy 

Что за файл такое Monitor.exe?

На одной из залитых машин на работе я обнаружил подозрительный процесс Monitor.exe, запущен он был с правами пользователя и поэтому вызвал еще больше подозрений. Копания в сети дали более детальную информацию о том, кто это такой.

Сразу хочу успокоить что он оказался не вирусом. Файл размещен в папке C:\WINDOWS\PixArt\PAC207\. Размещение его меня также смутило.

В сети нашел еще несколько мест размещения этого засранца.

  • C:\WINDOWS\PixArt\PAC7302\
  • C:\WINDOWS\PixArt\PAC7311\
  • C:\WINNT\PixArt\PAC7302\

Так же в этой папке такие файлы:AmCap.exe, CtlStiSc.bat, Monitor.ini, p00001m3.bmp, p00001p3.bmp, p00002m3.bmp, p00002p3.bmp, p00003m3.bmp, p00003p3.bmp, p00004m3.bmp, p00004p3.bmp, p00005m3.bmp, p00005p3.bmp, p00006m3.bmp, p00006p3.bmp, PASnap.exe.

В описании файла было следующее:

  • Product name Registry Monitor
  • Company name PixArt Imaging Incorporation
  • Internal name Registry Monitor
  • Legal copyright Copyright (c) 1998-2006 PixArt Imaging Incorporation. All rights reserved.
  • File version 0001.0004.2006.1103

Насколько смог понять этот файл как и сам каталог \WINDOWS\PixArt\Pac7302 устанавливается вместе с установкой WEB-камеры ilook от Genius. Оказалось это кусок программного обеспечения Genius, может устанавливатся вмесе с дровами на векамеры. У меня он встал с камерой Genius eMessenger 310. Народ в сети считает, что он без палева фоткает что происходит на компе. Антивирусы ничего плохого в этом файле не видят.

Бывали случаи, когда он мешает установке программы 3DMax. Файл можно погасить в диспетчере задач и в msconfig. Я его удалил вместе с папкой, на работе камеры это никак не сказалось.

Комментарии

Комментарий от

У меня так же есть такая папка, но удаление из неё вообще всех файлов и даже её самой ни к чему не привело. Макс всё равно не устанавливается и просит отключить monitor. В диспетчере его тоже нет и в msconfig тоже. Как быть?

Комментарий от Михаил

Почисти реестр

Комментарий от Михаил

Удалить из автозагрузки и удалить проще всего с помощью «Антивирусная утилита AVZ»: скачать её можно здесь: https://www.z-oleg.com/secur/avz/download.php здесь-же и подробное описание.
Запускаем утилиту,в разделе «Сервис» выбираем подраздел «Менеджер автозапуска» в открывшемся окне «менеджера автозапуска» выбираем раздел «Run», снимаем галочку или вызываем проводник(правой клавишей мышки) и отправляем файл(в данном случаи)» С:\Windows\PixArt\PAC7302\Monitor.exe» между прочим это путь там где он находится(от куда его можно удалить на прямую), «Копировать в карантин».

Комментарий от Виктор

я делал так, удалял драйвер веб камеры, ставил мах а потом заново ставил дрова на вебку и все нормально работает.

Комментарий от

Чтобы процесс Monitor.exe был виден в диспетчере — поставить галку «Отображать процессы всех пользователей». Остановить процесс и ставить Max.

Комментарий от Валентин

Друзья у меня тоже ничего не отображалось в процессах.Win10 в диспетчере задач во вкладке процессы ничего не показывал.Нашел этот процесс во вкладке подробнее.у всех по разному бывает у меня это была программа «эдвансет систем кер» (Advancet systemCare)завершил этот процесс и установка пошла.

Edit monitored entities

  1. Return to the file integrity monitoring dashboard and select Settings.

    Workspace Configuration opens displaying three tabs: Windows Registry, Windows Files, and Linux Files. Each tab lists the entities that you can edit in that category. For each entity listed, Security Center identifies if FIM is enabled (true) or not enabled (false). Editing the entity lets you enable or disable FIM.

  2. Select an identity protection. In this example, we selected an item under Windows Registry. Edit for Change Tracking opens.

Under Edit for Change Tracking you can:

  • Enable (True) or disable (False) file integrity monitoring
  • Provide or change the entity name
  • Provide or change the value or path
  • Delete the entity, discard the change, or save the change

VERSIONS HISTORY

  • AMD Ryzen 9 3900XT, Ryzen 7 3800XT and Ryzen 5 3600XT, Ryzen 7 PRO 4750G, Ryzen 5 PRO 4650G, Ryzen 3 PRO 4350G processors
  • AMD B550 chipset
  • Intel Comet Lake, Tiger Lake processors
  • Intel Z490/W480/B460 chipsets
  • Hygon processors.
  • Intel Cascade Lake and Ice Lake processors
  • NVIDIA RTX 2070 and 2080 Super
  • AMD Threadripper 3000 preliminary support
  • Zhaoxin processors
  • AMD Radeon VII
  • NVIDIA GTX 1660 and 1660 Ti
  • NVIDIA GeForce RTX serie 20 (multiple fans)
  • Intel Basin Falls Skylake-X refresh
  • Intel Gemini Lake processors family.
  • Intel Xeon E processors.
  • Fix issue with multiple graphics devices
  • Improved support of Z390 mainboards.
  • New performance limits indicators (NVIDIA GPUs).
  • Fix GPU utilization bug reported at 0%.
  • AMD Threadripper 2000 processors
  • Intel 9th generation Core family (Coffee Lake 9900K, 9700K, 9600K, 9600, 9500 and 9400)
  • Intel Coffee Lake-U processors
  • Preliminary support of ASUS WMI monitoring
  • AMD Ryzen 2000 processors.
  • Intel Xeon Bronze / Silver / Gold / Platinium processors.
  • Improved Intel IGP monitoring.
  • Improved HDD monitoring.
  • AMD Raven Ridge processors
  • Improved NVIDIA GPUs monitoring
  • Windows 10 Build 16299
  • Intel Coffee Lake processors and Z370 platform.
  • Intel Skylake-X HCC processors.
  • Intel Xeon Skylake-SP and Xeon W Skylake processors
  • Intel Core X processors (KBL-X and SKL-X) and X299 platform.
  • AMD ThreadRipper and X399 platform.
  • AMD Ryzen processors support.
  • AMD Polaris GPU support improved.
  • Corsair Hydro series CPU coolers (H80i v2, H100i v2, H115i) support.
  • Corsair RMi and AXi series PSUs support.
  • NVMe SSDs support.
  • Intel Kaby Lake processors.
  • AMD Bristol Ridge processors.
  • NVIDIA Pascal GPUs (GTX10x0).
  • Intel Broadwell-E/EP processors.
  • Intel Skylake Pentium and Celeron.
  • AMD Carrizo APUs.
  • Adds disks volumes space utilisation.
  • Intel Broadwell and Intel Skylake CPUs.
  • Added indivudual CPU load.
  • Added NVIDIA TDP percentage
  • Report CPU and GPU clocks.
  • Intel Core M CPUs and preliminary support of Intel Skylake.
  • Added CPU and GPU utilization.
  • Added DRAM power (Haswell processors).
  • Intel X99 Platform (DDR4 and Haswell-E).
  • Support for Windows 10.
  • New application icon.
  • Intel Haswell-E, Core i7-4770R and Core i5-4570R Crystal Well, Celeron Haswell (G1830, G1820).
  • AMD Athlon 5350 & 5150, Sempron 3850 & 2650 (Kabini), A10-7850K, A10-7800, A10-7700K, A8-7600, A6-7400K, A4-7300 (Kaveri), A6-6420K, A4-6320, A4-4020 (Richland).
  • Nuvoton NCT6106 and SMSC SCH5636 SIOs (Fujitsu mainboards).
  • New CPUs : Intel Silvermont (Bay Trail), Intel Ivy Bridge-E/EP/EX, Intel Core i5 and Core i3-4xxx, AMD Opteron X1150 and X2150, 3200 and 3300 series, FX-9590 and FX-9370.
  • Fan speed report on ATI GPUs.
  • ITE IT8603 and IT8623 SIOs (Asus FM2+ mainboards).
  • Microsoft Windows 8.1.
  • Version checker.
  • AMD Opteron X1150 and X2150, FX-9590 and FX-9370 processors.
  • Intel 4xxxHQ «Crystalwell», Pentium «Haswell» G3430, G3420, G3220 processors.
  • Intel 8-series chipset.
  • Intel Pentium & Celeron «Ivy Bridge» CPUs support.
  • Intel Ivy-Bridge-E/EP/EX and Haswell CPUs support.
  • AMD Richland CPUs support.
  • Added support of ITE IT8732 LPCIO chip.
  • Report uncore power on Intel Sandy Bridge and Ivy Bridge processors.
  • Fixed package temperature on AMD FX (Zambezi and Vishera).
  • Report real-time power on AMD FX (Zambezi and Vishera).
  • Support complete telemetry on AMD APU (Trinity).
  • Fixed package power on multi-CPU Intel platforms.
  • Added support of Nuvoton NCT7904D chip.
  • New CPUs : Intel Xeon E5 (SandyBridge-WS), Xeon E3 (Ivy Bridge), Atom (CedarTrail), AMD Trinity APU.
  • Windows 8 Build 9200 support.
  • Improved monitoring refresh rate.
  • New tree structure with devices and sensors.
  • Support Crucial Ballistix memory modules with thermal sensor.
  • Support for APC UPS batteries.
  • Sony VAIO notebooks monitoring.
  • New sensor chips : Winbond W83783S, Nuvoton NCT6776.
  • Improved support for Asus ROG monitoring.

How it Works: Windows 95 and 98

On Windows 95 and 98, the Portmon GUI relies on a dynamically loaded
VxD to capture serial and parallel activity. The Windows VCOMM (Virtual
Communications) device driver serves as the interface to parallel and
serial devices, so applications that access ports indirectly use its
services. The Portmon VxD uses standard VxD service hooking to
intercept all accesses to VCOMM’s functions. Like its NT device driver,
Portmon’s VxD interprets requests to display them in a friendly
format. On Windows 95 and 98 Portmon monitors all ports so there is no
port selection like on NT.

Download Portmon (226 KB) 

Run now from Sysinternals Live.

Translingual[edit]

Proper nounedit

Philemon f

  1. A taxonomic within the  – the friarbirds or leatherheads, of Australasia.

Hypernymsedit

(genus): Eukaryota — superkingdom; Animalia — kingdom; Bilateria — subkingdom; Deuterostomia — infrakingdom; Chordata — phylum; Vertebrata — subphylum; Gnathostomata — infraphylum; Reptilia — class; Aves — subclass; Neognathae — infraclass; Neoaves — superorder; Passeriformes — order; Passeri — suborder; Corvida — parvorder; Meliphagoidea — superfamily; Meliphagidae — family

  • Friarbird on Wikipedia.Wikipedia
  • on Wikispecies.Wikispecies
  • on Wikimedia Commons.Wikimedia Commons
  • Gill, F. and Wright, M. (2006) Birds of the World: Recommended English Names, Princeton University Press, →ISBN

Замечания о переполнении буфера

Прежде чем мы продолжим, мы хотим отметить код результата, который вы будете часто видеть в списке, и, исходя из всех ваших знаний, вы можете немного испугаться. Поэтому, если вы начнёте видеть в списке BUFFER OVERFLOW (ПЕРЕПОЛНЕНИЕ БУФЕРА), не думайте, что кто-то пытается взломать ваш компьютер.

Переполнение буфера

Хотя да, многие хакеры и создатели вредоносных программ используют уязвимость переполнения буфера для удалённого или локального взлома компонента и получения дополнительного доступа, это сообщение об ошибке фактически встроено в Windows API и означает полную противоположность.

Примечание: представьте себе буфер, похожий на коробку шоколадных батончиков возле кассы в продуктовом магазине. Люди продолжают покупать их, и когда в коробке заканчивается, магазин снова наполняет её.

В идеале они не будут ждать, пока коробка опустеет, потому что это расстроит клиентов, и они также в идеале не будут бегать назад каждый раз, когда клиент покупает одну шоколадку, потому что это было бы пустой тратой время. Это буфер и предназначен для предотвращения задержек.

Сообщение BUFFER OVERFLOW в Windows API и, в частности, в Process Monitor, на самом деле означает, что клиентское приложение запросило данные, но не имело достаточно большой корзины для хранения всех данных. Таким образом, сервер отвечает, чтобы сообщить клиенту, что ему нужна большая корзина.

В примере для снимка экрана выше приложение запросило в реестре конкретное значение, но приказало Windows API поместить результат в место в памяти, которое было слишком маленьким для размещения всех этих данных. Таким образом, Windows вернула сообщение, чтобы приложение знало, что им нужно место побольше, чтобы разместить все данные. Вот и все.

Introduction

System Monitor (Sysmon) is a Windows system service and device
driver that, once installed on a system, remains resident across system
reboots to monitor and log system activity to the Windows event log. It
provides detailed information about process creations, network
connections, and changes to file creation time. By collecting the events
it generates using Windows Event
Collection
or
SIEM
agents and subsequently analyzing them, you can identify malicious or
anomalous activity and understand how intruders and malware operate on
your network.

Note that Sysmon does not provide analysis of the events it generates,
nor does it attempt to protect or hide itself from attackers.

Запуск инструментов из SysInternals Live

Если вы не хотите, чтобы у вас возникли проблемы с загрузкой и разархивированием, а затем с запуском приложения, и вы не хотите обновлять USB-накопитель с последними версиями, или у вас просто нет доступа к вашему диску во время работы на чужом компьютере, всегда можно прибегнуть к SysInternals Live.

Суть в следующем: несколько лет назад ребятам из SysInternals стало любопытно, смогут ли они найти новый способ распространения своего программного обеспечения… поэтому они создали общий файловый ресурс Windows на своём сервере и предоставили всем в Интернете доступ к нему.

Таким образом, вы можете просто ввести \\live.sysinternals.com\tools в поле «Выполнить» Windows после того, как вызовете его с помощью сочетания клавиш Win+R, откроется их общая папка, где вы можете осмотреться.

Адрес \\live.sysinternals.com\tools можно ввести в проводнике или даже просто в веб-браузере.

Примечание: формат \\СЕРВЕР\ОБЩАЯ-ПАПКА называется путём UNC (Universal Naming Convention), и он работает практически в любом месте Windows. Вы можете использовать его в адресной строке проводника, в диалоговых окнах открытия и сохранения файлов или в любом другом месте, где вы обычно используете путь к файлу.

Любой инструмент вы можете запустить просто дважды щёлкнув его мышью.

Однако утилит много и поиск нужной может занять время. К счастью, есть гораздо более быстрый способ запустить любую утилиту SysInternals с любого подключённого к Интернету ПК с Windows.

Просто следуйте этому формату, чтобы напрямую запустить одну из утилит через окно «Выполнить»:

\\live.sysinternals.com\tools\ИМЯ-Инструмента

Например, для запуска Process Explorer имя исполняемого файла — procxp.exe, поэтому вы можете использовать \\live.sysinternals.com\tools\procexp64.exe для запуска Process Explorer, или изменить procexp64.exe на procmon64.exe для запуска Монитора процессов.

При запуске с SysInternals Live каждый раз будет показываться диалоговое окно с предупреждением системы безопасности, прежде чем вы действительно запустите любую из них. Это, конечно, хорошо, что Windows не позволяет запускать что-либо из общей папки. Это было бы катастрофой!

Мы настоятельно рекомендуем просто загрузить и установить копию инструментов на каждый компьютер, с которым вы работаете, а не запускать каждый раз с сайта Live. Но в крайнем случае приятно знать, что вы можете это сделать.

How do I install this?

First, if you’re currently using fmon, it might be a good idea to uninstall it first ;). Since both patch the same startup script, only the last one you installed will actually «take».
In the same vein, if you’re using KSM and it is starting up at boot, it will also inhibit our startup. This should ensure you’ll never have multiple different launchers running concurrently.

If any of these extra icons in your Library bother you, you can safely delete them however you wish, but you’ll also have to delete the matching config files if you want to avoid the warning message a config without its icon will trigger ;).

Столбцы Process Monitor

Столбцы, которые присутствуют по умолчанию в интерфейсе Process Monitor, содержат массу полезной информации, но вам определённо понадобится некоторый контекст, чтобы понять, какие данные на самом деле содержит каждый, потому что некоторые из них могут выглядеть так, как будто произошло что-то плохое, когда они действительно невинные события, которые происходят все время когда работает операционная система. Вот для чего используется каждый из столбцов по умолчанию:

  • Time — Время — этот столбец не требует пояснений, он показывает точное время, когда произошло событие.
  • Process Name — Имя процесса — процесс, создавшый событие. По умолчанию здесь не отображается полный путь к файлу, но если вы наведёте курсор на поле, вы сможете точно увидеть, какой это был процесс.
  • PID — ИД процесса — идентификатор процесса, создавшего событие. Это очень полезно, если вы пытаетесь понять, какой процесс svchost.exe сгенерировал событие. Это также отличный способ изолировать один процесс для мониторинга, если он не запускается повторно.
  • Operation — Операция — это имя операции, которая регистрируется, и есть значок, который соответствует одному из типов событий (реестр, файл, сеть, процесс). Названия RegQueryKey или WriteFile могут немного сбить с толку, но мы постараемся помочь вам разобраться.
  • Path — Путь — это не путь процесса, это путь к тому, над чем работало это событие. Например, если произошло событие WriteFile, в этом поле будет отображаться имя файла или папки с которыми был обмен данных. Если бы это было событие реестра, он бы показал полный доступ к ключу.
  • Result — Результат — показывает результат операции, который имеет код SUCCESS (успех) или ACCESS DENIED (доступ запрещён). Хотя у вас может возникнуть соблазн интуитивно предположить, что BUFFER TOO SMALL (СЛИШКОМ МАЛЕНЬКИЙ БУФЕР) означает, что произошло что-то действительно плохое, в большинстве случаев это не так.
  • Detail — Подробности — дополнительная информация, которая часто не используется в обычном мире устранения неполадок.

Вы также можете добавить несколько дополнительных столбцов к отображению по умолчанию, выбрав Options → Select Columns. Это не является первостепенной необходимостью при знакомстве с программой, но, поскольку мы объясняем столбцы, об этом стоит упомянуть.

Одна из причин для добавления дополнительных столбцов к отображению заключается в том, что вы можете очень быстро отфильтровать эти события, не перегружаясь данными. Вот несколько дополнительных столбцов, которые мы используем, но в зависимости от ситуации вы можете найти применение и другим столбцам в списке.

  • Command Line — Строка команды — хотя вы можете дважды щёлкнуть любое событие, чтобы увидеть аргументы командной строки для процесса, который сгенерировал каждое событие, может быть полезно быстро просмотреть все параметры.
  • Company Name — Название компании — основная причина, по которой этот столбец полезен, заключается в том, что вы можете просто быстро исключить все события Microsoft и сузить свой мониторинг до всего остального, что не является частью Windows. (Вы должны убедиться, что у вас нет каких-либо странных процессов rundll32.exe, запущенных с помощью Process Explorer, поскольку они могут скрывать вредоносные программы).
  • Parent PID — Родительский PID — это может быть очень полезно при устранении неполадок в процессе, который содержит множество дочерних процессов, таких как веб-браузер или приложение, которое продолжает запускать отрывочные вещи как другой процесс. Затем вы можете отфильтровать по родительскому PID, чтобы убедиться, что вы захватываете их всех.

Стоит отметить, что вы можете фильтровать данные столбца, даже если столбец не отображается, но гораздо проще щёлкнуть правой кнопкой мыши и отфильтровать, чем делать это вручную. И да, мы снова упомянули фильтры, хотя ещё не объяснили их.

EDID format

EDID data is formatted as one or more 128-byte blocks:

  • EDID version 1.0 through 1.2 consists of a single block of data, per the VESA specification.
  • With EDID version 1.3 or enhanced EDID (E-EDID), manufacturers can specify one or more extension blocks in addition to the primary block.

Each block is numbered, starting with 0 for the initial block. To update EDID info, the manufacturer’s INF specifies the number of the block to be updated and provides 128 bytes of EDID data to replace the original block. The monitor driver obtains the updated data for the corrected blocks from the registry and uses the EEPROM data for the remaining blocks.

Серия уроков по пакету утилит SysInternals

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

У большинства компьютерных фанатов есть свой инструмент для работы с процессами, которые запускаются автоматически, будь то MS Config, CCleaner или даже диспетчер задач в Windows 10, но ни один из них не является таким мощным, как Autoruns, именно эту программу мы рассмотрим в данном уроке.

Связанная статья: Как отключить автозапуск программ и служб в Windows

Раньше, чтобы программное обеспечение запускалось автоматически, добавляли запись в папку «Startup» в меню «Пуск» или добавляя значение в раздел «Run» в реестре, но по мере того, как люди и программное обеспечение стали более сообразительными в поиске нежелательных записей и их удалении, производители сомнительного программного обеспечения начали искать всё более и более хитрыми способы автоматически запустить программу при включении системы.

Эти сомнительные компании по производству вредоносного ПО начали выяснять, как автоматически загружать своё программное обеспечение с помощью вспомогательных объектов браузера, служб, драйверов, запланированных задач и даже с помощью некоторых чрезвычайно продвинутых методов, таких как перехват образов и AppInit_dll.

Проверка каждого из этих условий вручную будет не только трудоёмкой, но и практически невозможной для обычного человека.

Вот где на помощь приходит Autoruns, которая спасает положение. Конечно, вы можете использовать Process Explorer, чтобы просматривать список процессов и углубляться в потоки и дескрипторы, а Process Monitor может точно определить, какие ключи реестра открываются каким процессом, и показать вам невероятные объёмы информации. Но ни один из них не предотвращает повторную загрузку вредоносных программ или нежелательных программ при следующем включении компьютера.

Конечно, разумной стратегией было бы использовать все три вместе. Process Explorer видит, что в данный момент работает, и использует ваш процессор и память, Process Monitor видит, что приложение делает под капотом, а затем входит Autoruns, чтобы очистить вещи, чтобы они больше не возвращались.

Autoruns позволяет вам увидеть почти все, что автоматически загружается на вашем компьютере, и отключить любой элемент так же просто, как переключить флажок. Программа невероятно проста в использовании и почти не требует пояснений, за исключением некоторых действительно сложных вещей, которые вам нужно знать, чтобы понять, что на самом деле означают некоторые вкладки. Именно этому и научит нас данный урок — уметь понимать вкладки Autoruns и значение записей в них.

Approaches to correcting EDIDs

All monitors, analog or digital, must support EDID, which contains info such as the monitor identifier, manufacturer data, hardware identifier, timing info, and so on. This data is stored in the monitor’s EEPROM in a format that is specified by the Video Electronics Standards Association (VESA).

Monitors provide the EDID to Microsoft Windows components, display drivers, and some user-mode applications. For example, during initialization the monitor driver queries the Windows Display Driver Model (WDDM) driver for its brightness query interface and device driver interface (DDI) support, which is in the EDID. Incorrect or invalid EDID info on the monitor’s EEPROM can therefore lead to problems such as setting incorrect display modes.

There are two approaches to correcting EDIDs:

  • The standard solution is to have the customer send the monitor back to the manufacturer, who reflashes the EEPROM with the correct EDID and returns the monitor to the customer.
  • A better solution, described here, is for the manufacturer to implement an INF file that contains the correct EDID info, and have the customer download it to the computer that’s connected to the monitor. Windows extracts the updated EDID info from the INF and provides it to components instead of the info from the EEPROM EDID, effectively overriding the EEPROM EDID.

In addition to replacing the EDID info as described here, a vendor can provide an override for the monitor name and the preferred display resolution. Such an override is frequently made available to customers through Windows Update or digital media in the shipping box. Such an override receives higher precedence than the EDID override mentioned here. Guidelines for achieving this can be found in Monitor INF File Sections.

Включение мониторинга целостности файловEnable file integrity monitoring

FIM доступен только на страницах центра безопасности портал Azure.FIM is only available from Security Center’s pages in the Azure portal. В настоящее время нет REST API для работы с FIM.There is currently no REST API for working with FIM.

  1. В области Расширенная защита панели мониторинга защитника Azure выберите мониторинг целостности файлов.From Azure Defender dashboard’s Advanced protection area, select File integrity monitoring.

    Откроется страница Конфигурация мониторинга целостности файлов .The File integrity monitoring configuration page opens.

    Для каждой рабочей области предоставляется следующая информация:The following information is provided for each workspace:

    • общее число изменений за последнюю неделю (символ дефиса «-» означает, что FIM не включен для этой рабочей области);Total number of changes that occurred in the last week (you may see a dash «-“ if FIM is not enabled on the workspace)
    • общее число компьютеров и виртуальных машин, передающих сведения в эту рабочую область;Total number of computers and VMs reporting to the workspace
    • географическое расположение рабочей области;Geographic location of the workspace
    • подписка Azure, к которой относится рабочая область.Azure subscription that the workspace is under
  2. Эта страница используется для:Use this page to:

    • Доступ и Просмотр состояния и параметров каждой рабочей областиAccess and view the status and settings of each workspace

    • обновите рабочую область, чтобы использовать защитник Azure. Upgrade the workspace to use Azure Defender. Этот значок указывает, что Рабочая область или подписка не защищены защитником Azure.This icon Indicates that the workspace or subscription isn’t protected by Azure Defender. Чтобы использовать функции FIM, ваша подписка должна быть защищена защитником Azure.To use the FIM features, your subscription must be protected by Azure Defender. Подробнее.Learn more.

    • Включите FIM на всех компьютерах в рабочей области и настройте параметры FIM.Enable FIM on all machines under the workspace and configure the FIM options. Этот значок указывает, что FIM не включен для рабочей области.This icon indicates that FIM is not enabled for the workspace.

    Совет

    Если кнопка «включить» или «Обновить» отсутствует, а пробел пуст, это означает, что FIM уже включен в рабочей области.If there’s no enable or upgrade button, and the space is blank, it means that FIM is already enabled on the workspace.

  3. Выберите включить.Select ENABLE. Отображаются сведения о рабочей области, включая число компьютеров Windows и Linux в рабочей области.The details of the workspace including the number of Windows and Linux machines under the workspace is shown.

    Также здесь приводятся рекомендуемые параметры для Windows и Linux.The recommended settings for Windows and Linux are also listed. Разверните узлы Файлы Windows, Реестр и Файлы Linux, чтобы просмотреть полный список рекомендаций.Expand Windows files, Registry, and Linux files to see the full list of recommended items.

  4. Снимите флажки для всех рекомендуемых сущностей, которые не нужно отслеживать с помощью FIM.Clear the checkboxes for any recommended entities you do not want to be monitored by FIM.

  5. Выберите Применение мониторинга целостности файлов, чтобы включить FIM.Select Apply file integrity monitoring to enable FIM.

Примечание

Эти параметры вы можете изменить в любое время.You can change the settings at any time. Дополнительные сведения см. в разделе далее в этой статье.See below to learn more.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий