Cenário 2 - Use a
política de Processos de baixo risco para implementar uma exclusão. Usamos o
Agent.exe processo como exemplo que realiza muitas ações de gravação arquivo E/S
C:\Temp em uma pasta comumente usada em computadores clientes.
Com apenas a
política de Processos padrão em uso:
- O Agent.exe processo grava um arquivo em C:\Temp.
- O ENS varre o arquivo.
- O Agent.exe grava mais dados no mesmo arquivo em C:\Temp.
- O ENS varre o arquivo novamente.
O ENS varre cada arquivo gravação porque o arquivo é ou foi modificado. Essa varredura ocorre para cada alteração no arquivo original e para quaisquer arquivos recém-criados.
A atividade gerada por esse processo pode fazer com que o mecanismo de varredura use grandes quantidades de recursos do sistema. Isso se deve ao número de varreduras necessárias para cada arquivo.
Com
Agent.exe adicionado à política
de Processos de baixo risco:
Você pode adicionar o
Agent.exe processo aos
Processos de baixo risco para melhorar o problema de desempenho. Há vários métodos possíveis:
- Excluir C:\Temp de operações de GRAVAÇÃO.
- Excluir C:\Temp\**.TMP de operações de GRAVAÇÃO.
- Excluir .TMP arquivos.
A solução que cria o menor risco é excluir das
C:\Temp\**.TMP operações de GRAVAÇÃO. Excluir somente
.TMP arquivos encontrados na
C:\Temp pasta da varredura quando eles estão sendo gravados no disco com o
Agent.exe.
Quais riscos são introduzir esse cenário?
É possível que uma ameaça desconhecida com Agent.exe um processo nomeado escreva ou os .TMPC:\Temp arquivos na pasta e evite a varredura.
Risco 1 - Supondo que haja um vírus/cavalo de Tróia com um arquivo executável arquivo chamado Agent.exe:
- Primeiro, o vírus/cavalo de Tróia teria de ser gravado no disco. Se estiver gravado no disco:
- O ENS detecta a escrita no disco se os DATs incluirem detecção da ameaça.
- O ENS nega a arquivo caso o método usado para criar esse arquivo que viole uma regra de Proteção de acesso.
- O arquivo teria de ser executado (ou lidos) para que possa se propagar e entregar sua carga. Se executado:
- O ENS detecta a execução se os DATs incluirem detecção da ameaça.
- O ENS nega a arquivo se o método usado para iniciar o arquivo viole uma regra de Proteção de acesso.
OBSERVAÇÃO:: Mesmo com políticas de Processos de baixo risco em uso, existem várias camadas de proteção contra arquivos potencialmente infectados.
- O vírus/cavalo de Troia Agent.exe agora é executado. Ele tenta gravar .JPG e .DOC arquivos na C:\Temp pasta.
- O ENS detecta a execução se os DATs incluirem detecção da ameaça. A exclusão envolve somente .TMP os arquivos gravados na pasta.
- O ENS nega a arquivo WRITE se existir uma regra de Proteção de acesso para esse comportamento.
OBSERVAÇÃO:: O vírus/cavalo de Tróia foi executado e pode estar em execução na memória. No entanto, suas atividades ainda podem ser interrompidas quando os DATs são atualizados ou por meio da implementação de uma nova regra de proteção de acesso. Quando os DATs são atualizados e esse vírus/cavalo de Tróia é encontrado, ele é removido da memória como parte do processo de limpeza.
Risco 2 - Ocorre uma ação READ para executar o arquivo:
- O ENS detecta essa execução se os DATs incluirem detecção da ameaça. As ações READ não são excluídas.
- O ENS nega a LEITURA se existir uma regra de Proteção de acesso para esse comportamento.
IMPORTANTE:: Há algum risco associado ao uso das políticas de Processos de alto
risco/Processos de baixo risco. Geralmente, o risco é mínimo e você deve avaliar isso de acordo com cada caso. Para obter um melhor desempenho do produto, você deve determinar o grau de risco aceitável.