Escenario 2: Utilice la directiva
procesos de
bajo riesgo para implementar una exclusión. Usamos el
Agent.exe proceso como un proceso de ejemplo que realiza muchas acciones de escritura de E/S de archivos en una carpeta
C:\Temp utilizada habitualmente en los equipos cliente.
Solo con la Directiva de
procesospredeterminada en uso:
- El Agent.exe proceso escribe un archivo en C:\Temp .
- ENS analiza el archivo.
- El Agent.exe escribe más datos en C:\Temp el mismo archivo.
- ENS analiza el archivo de nuevo.
ENS analiza cada escritura de archivo porque el archivo es nuevo o se ha modificado. Este análisis se realiza para cada cambio en el archivo original y para los archivos recién creados.
La actividad generada por este proceso puede hacer que el analizador utilice grandes cantidades de recursos del sistema. El motivo se debe al número de análisis necesarios para cada archivo.
Agent.exeSe han agregado a la Directiva de
procesos de bajo riesgo :
Puede Agregar el
Agent.exe proceso a los
procesos de bajo riesgo para aliviar el problema de rendimiento. Existen varios métodos posibles:
- Excluir C:\Temp de las operaciones de escritura.
- Excluir C:\Temp\**.TMP de las operaciones de escritura.
- Excluir .TMP archivos.
La solución que crea el menor riesgo es excluir
C:\Temp\**.TMP de las operaciones de escritura. Solo excluya
.TMP los archivos encontrados en la
C:\Temp carpeta del análisis cuando se estén escribiendo en el disco con
Agent.exe .
¿Qué riesgos presenta esta situación?
Es posible que una amenaza desconocida con un proceso cuyo nombre Agent.exe sea escribir o modificar .TMP archivos en la C:\Temp carpeta y evitar que se analice.
Riesgo 1- Suponiendo que hay un virus/troyano con un archivo ejecutable llamado Agent.exe :
- En primer lugar, el virus/troyano tendría que escribirse en el disco. Si se escribe en el disco:
- ENS detecta la escritura en el disco si los DAT incluyen la detección de la amenaza.
- ENS deniega la creación del archivo si el método utilizado para crear este archivo infringe una regla de protección de acceso.
- El archivo debe ejecutarse (o leerse) para que pueda propagarse y entregar su carga útil. Si se ejecuta:
- ENS detecta la ejecución si los DAT incluyen la detección de la amenaza.
- ENS deniega la ejecución del archivo si el método utilizado para iniciar el archivo infringe una regla de protección de acceso.
Nota: Incluso con las directivas de procesos de bajo riesgo en uso, existen varias capas de protección frente a archivos potencialmente infectados.
- El virus/troyano Agent.exe se ejecuta ahora. Intenta escribir .JPG en la C:\Temp carpeta y .DOC los archivos.
- ENS detecta la ejecución si los DAT incluyen la detección de la amenaza. La exclusión solo afecta .TMP a los archivos que se escriben en la carpeta.
- ENS deniega el archivo WRITE si existe una regla de protección de acceso para este comportamiento.
Nota: El virus/troyano se ha ejecutado y es posible que se esté ejecutando en la memoria. No obstante, sus actividades se pueden interrumpir cuando se actualicen los archivos DAT o mediante la implementación de una nueva regla de protección de acceso. Cuando se actualizan los archivos DAT y se encuentra este virus/troyano, se elimina de la memoria como parte del proceso de limpieza.
Riesgo 2- Se produce una acción de lectura para ejecutar el archivo infectado:
- ENS detecta esta ejecución si los DAT incluyen la detección de la amenaza. Las acciones de lectura no se excluyen.
- ENS deniega la lectura si existe una regla de protección de acceso para este comportamiento.
Importante: Existe algún riesgo asociado al uso de las directivas de
los procesos de riesgo alto y bajo riesgo . Por lo general, el riesgo es mínimo y debe evaluarlo caso por caso. Para obtener un mejor rendimiento del producto, debe determinar el grado de riesgo aceptable.