chaser21a
Goto Top

TrendMicro OfficeScan: Ausbruch bei Freigabesitzung

Hallo Community,

ich habe eine Frage zu TrendMicro OfficeScan 11 SP1 6077.

Seit gestern bekomme ich Warnmeldungen für die ich bisher noch keine Erklärung gefunden habe.

OfficeScan Meldung: "Ausbruch bei Freigabesitzung entdeckt."

Die Meldungen geben als Ziel mehrere unserer Druckserver an.
Wenn ich mir die Server in der OfficeScan Webkonsole anschaue kann ich keine außergewöhnlichen Logeinträge feststellen.

Leider finde ich keine Informationen darüber durch was genau diese Fehlermeldung verursacht wird.
Die Schwellenwerte in Officescan habe ich mir angeschaut, aber ich weiß nicht ob sich diese Meldung eventuell auf die Anzahl der eingehenden Druckaufträge bezieht oder was genau TrendMicro als "Freigabesitzungen" definiert.

Komisch ist auch, dass auf den Druckservern in den Eventlogs keine Einträge zu finden sind.

Die einzige Änderung die in unserer IT-Umgebung stattgefunden hat war ein Druckeraustausch, doch dieser ist bereits 3 Woche her und diese Meldungen kommen erst seit gestern.
Auch vorher ist diese Art von Warnmeldung noch nie aufgetaucht.

Ich hoffe jemand kann mir weiterhelfen.
Vielen Dank im vorraus.

Content-ID: 315729

Url: https://administrator.de/forum/trendmicro-officescan-ausbruch-bei-freigabesitzung-315729.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

Pjordorf
Pjordorf 20.09.2016 um 18:03:08 Uhr
Goto Top
Hallo,

Zitat von @Chaser21a:
Die Meldungen geben als Ziel mehrere unserer Druckserver an.
Ist nicht eher die Quelle interesanter als das Ziel? Was steht denn noch in der(n) Meldung(en) drin?

Leider finde ich keine Informationen darüber durch was genau diese Fehlermeldung verursacht wird.
Etwas ihr entweder nicht konfiguriert bzw angepasst habt oder eben etwas vor ihr Werte verändert habt.
http://docs.trendmicro.com/de-de/enterprise/officescan-110-server/chap_ ...

Komisch ist auch, dass auf den Druckservern in den Eventlogs keine Einträge zu finden sind.
Welche Ports haben denn eure Druckserver geöffnet bzw. was alles ist dort erlaubt (Ordner/Datei/Drucker Freigaben usw.). Wird denn dort geloggt wer wpher auf was Zugreift?

doch dieser ist bereits 3 Woche her und diese Meldungen kommen erst seit gestern.
Es soll Viren/Trojaner/Unerwünschte Programmen/Verschlüsseler geben welche wochenlang stillhalten.

Auch vorher ist diese Art von Warnmeldung noch nie aufgetaucht.
Es ist immer irgendwann das erstemal face-smile
Alle Systeme offline unabhängig von einander scannen. Dann erst Netzwerk wieder erlauben...

Gruß,
Peter
Chaser21a
Chaser21a 21.09.2016 aktualisiert um 09:04:22 Uhr
Goto Top
Bei den Quellen handelt es sich um Arbeitsplatzrechner welche über mehrere Standorte verteilt sind.
Bezüglich der Ports und der erlaubten Zugriffe werde ich mich bei meinem Kollegen erkundigen.


Könnte es auch sein, dass wenn zu viele Druckaufträge in zu kurzer Zeit am Druckserver ankommen, dies von TrendMicro als Problem eingestuft wird. Jeder Druckauftrag ist ja ein Zugriff auf einen freigegebenen Drucker.
Es wäre auch möglich, dass die Meldungen mit der Verhaltensüberwachung zusammenhängen. Seit dem letzten Programmupdate von TrendMicro scheint diese wesentlich restriktiver zu arbeiten. Dadurch kam es schon vereinzelt zu fehlerhaften Meldungen. Allerdings noch nie in dieser Häufigkeit.