Scenario 2 - Utilizzare la
pagina Processi a basso policy per implementare un'esclusione. Il processo viene utilizzato
Agent.exe come processo di esempio che esegue molte azioni di SCRITTURA di I/O file in
C:\Temp una cartella comunemente utilizzata sui computer client.
Con solo i
processi predefiniti policy in uso:
- Il Agent.exe processo scrive un file in C:\Temp.
- ENS esegue la scansione del file.
- Il Agent.exe scrive più dati nello stesso file in C:\Temp.
- ENS esegue nuovamente la scansione del file.
ENS esegue la scansione di ogni scrittura di file perché il file è nuovo o è stato modificato. Questa scansione viene eseguita per ogni modifica al file originale e per tutti i file appena creati.
L'attività generata da questo processo può determinare l'programma di scansione di utilizzare grandi quantità di risorse di sistema. Il motivo è il numero di scansioni necessarie per ciascun file.
Con
Agent.exe aggiunta ai
processi a basso rischio policy :
È possibile aggiungere il
Agent.exe processo ai
processi a basso rischio per ridurre il problema di prestazioni. Esistono diversi metodi possibili:
- Escludere C:\Temp dalle operazioni di SCRITTURA.
- Escludere C:\Temp\**.TMP dalle operazioni di SCRITTURA.
- Escludi .TMP file.
La soluzione che crea il rischio minimo è quella di escludere
C:\Temp\**.TMP dalle operazioni di SCRITTURA. Escludi
.TMP dalla scansione solo
C:\Temp i file trovati nella cartella durante la loro scrittura sul disco con
Agent.exe.
Quali rischi presenta questa situazione?
È possibile che una minaccia sconosciuta con un processo Agent.exe denominato scrivo o modifii .TMP i file C:\Temp nella cartella ed eviti di essere analizzata.
Rischio 1 - Supponendo che sia presente un virus/trojan con un file eseguibile denominato Agent.exe:
- Innanzitutto, virus/trojan deve essere scritto sul disco. Se scritto sul disco:
- ENS rileva la scrittura sul disco se i file DAT includono il rilevamento della minaccia.
- ENS nega la creazione del file se il metodo utilizzato per creare questo file viola una regola di protezione dell'accesso.
- Il file dovrebbe essere eseguito (o letto) in modo che possa propagarsi e consegnare il suo payload. Se eseguito:
- ENS rileva l'esecuzione se nei file DAT è incluso il rilevamento della minaccia.
- ENS nega l'esecuzione del file se il metodo utilizzato per avviare il file viola una regola di protezione dell'accesso.
NOTA: Anche con le policy dei processi a basso rischio in uso, esistono più livelli di protezione dai file potenzialmente infetti.
- Il virus/trojan Agent.exe ora viene eseguito. Tenta di scrivere e .JPG i .DOC file nella C:\Temp cartella.
- ENS rileva l'esecuzione se nei file DAT è incluso il rilevamento della minaccia. L'esclusione riguarda solo .TMP i file scritti nella cartella.
- ENS nega la scrittura del file se esiste una regola di protezione dell'accesso per questo comportamento.
NOTA: Il virus/trojan è stato eseguito e potrebbe essere in esecuzione in memoria. Tuttavia, le sue attività possono essere interrotte quando i file DAT vengono aggiornati o implementando una nuova regola di protezione dell'accesso. Quando i file DAT vengono aggiornati e virus/trojan vengono rilevati, vengono rimossi dalla memoria durante il processo di pulizia.
Rischio 2 - Si verifica un'azione READ per eseguire il file infetto:
- ENS rileva l'esecuzione se nei file DAT è incluso il rilevamento della minaccia. Le azioni DI LETTURA non sono escluse.
- ENS nega la lettura se esiste una regola di protezione dell'accesso per questo comportamento.
IMPORTANTE: L'utilizzo delle policy Processi ad alto
rischio/Processi a basso rischio è associato ad alcuni rischi. In genere, il rischio è minimo ed è necessario valutarlo caso per caso. Per ottenere prestazioni di prodotto migliori, è necessario determinare il livello di rischio accettabile.