Scenario 2 - Gebruik het beleid voor
processen met een laag risico om een uitsluiting te implementeren.
Agent.exe wordt gebruikt als voorbeeldproces waarmee een groot aantal bestands-I/O-SCHRIJF-acties worden uitgevoerd op een gedeelde map
C:\Temp op clientcomputers.
Wanneer alleen het beleid voor
standaardprocessen wordt gebruikt:
- Agent.exe schrijft een bestand naar C:\Temp.
- VirusScan scant het bestand.
- Agent.exe schrijft meer gegevens naar hetzelfde bestand in C:\Temp.
- VirusScan scant nogmaals het bestand.
- VirusScan scant elke schrijfbewerking van het bestand omdat het bestand nieuw of gewijzigd is. Dit vindt plaats voor elke wijziging aan het oorspronkelijke bestand en voor alle nieuw gemaakte bestanden.
- De door dit proces gegenereerde activiteit kan ertoe leiden dat de scanner een groot deel van de systeembronnen moet aanspreken vanwege het aantal scans dat voor elk bestand nodig is.
Met Agent.exe toegevoegd aan het beleid voor processen met een laag risico:
kan Agent.exe worden toegevoegd aan het proces met een laag risico om de prestatieproblemen te verminderen. Daarvoor bestaan enkele methoden:
- Sluit C:\Temp uit van SCHRIJF-bewerkingen.
- Sluit C:\Temp\**.TMP uit van SCHRIJF-bewerkingen.
- Sluit .TMP-bestanden uit.
De oplossing die het minste risico biedt, is b. Sluit .TMP-bestanden in de map C:\Temp alleen van het scannen uit wanneer ze door Agent.exe naar schijf worden geschreven.
Welke risico's brengt dit scenario met zich mee?
Het is mogelijk dat een onbekende dreiging met een proces dat de naam Agent.exe heeft, .TMP-bestanden in de map C:\Temp kan schrijven of wijzigen zonder gescand te worden.
Risico 1: stel dat er ook een virus/Trojaans paard is met een uitvoerbaar bestand dat de naam Agent.exe heeft.
- Eerst moet het virus of Trojaans paard naar de schijf worden geschreven.
- VirusScan detecteert dit als in de DAT's detectie van de dreiging is opgenomen.
- VirusScan zorgt ervoor dat het bestand niet wordt gemaakt als de methode waarmee dit bestand werd gemaakt in strijd is met regel 2 voor toegangsbeveiliging.
- Het bestand zou moeten worden uitgevoerd (of gelezen) om zijn schadelijke inhoud door te geven en af te leveren.
- VirusScan detecteert dit als in de DAT's detectie van de dreiging is opgenomen.
- VirusScan zorgt ervoor dat het bestand niet wordt uitgevoerd als de methode waarmee het bestand wordt gestart in strijd is met een regel voor toegangsbeveiliging.
OPMERKING: zelfs wanneer het beleid voor processen met een laag risico wordt gebruikt, is er sprake van meerdere beveiligingslagen tegen mogelijk geïnfecteerde bestanden.
- Het virus/Trojaans paard Agent.exe wordt nu uitgevoerd. En probeertJPG- enDOC-bestanden te schrijven naar de map C:\Temp.
- VirusScan zal dit detecteren als in de DAT's detectie van de dreiging is opgenomen omdat de uitsluiting alleen betrekking heeft op .TMP-bestanden die naar de map worden geschreven.
- VirusScan zal ervoor zorgen dat de SCHRIJF-bewerking voor het bestand niet wordt uitgevoerd als er een regel voor toegangsbeveiliging voor dergelijke bewerkingen zou bestaan.
OPMERKING: zelfs als het virus/Trojaans paard is uitgevoerd en zich in het geheugen heeft genesteld, kan de werking ervan nog altijd worden onderbroken wanneer DAT's worden bijgewerkt of wanneer een nieuwe regel voor toegangsbeveiliging wordt geïmplementeerd. Wanneer de DAT's worden bijgewerkt en het virus/Trojaans paard wordt aangetroffen, wordt het tijdens het opschonen uit het geheugen verwijderd.
Risico 2: er vindt een LEES-actie plaats om het geïnfecteerde bestand uit te voeren.
- VirusScan detecteert dit als in de DAT's detectie van de dreiging is opgenomen. LEES-acties worden niet uitgesloten.
- VirusScan zal ervoor zorgen dat de LEES-actie niet wordt uitgevoerd als er een regel voor toegangsbeveiliging voor dergelijke acties zou bestaan.
BELANGRIJK: er is enig risico verbonden aan het gebruik van de beleidsregels voor
processen met een hoog/laag risico. Dat risico is doorgaans minimaal en u kunt dat het beste geval voor geval inschatten. Wees zorgvuldig bij het bepalen van een aanvaardbaar risico met het oog op de gewenste productprestaties.