Cet article fournit des instructions sur la création d’exclusions de fichiers et de répertoires avec ENSLTP.
Configurez les exclusions pour les ordinateurs managés par ePolicy Orchestrator (ePO) en suivant la procédure ci-dessous :
- Connectez-vous à la console ePO.
- Cliquez sur menu, stratégie, catalogue de stratégies.
- Sélectionnez Endpoint Security prévention contre les menaces dans la liste déroulante produit.
- Sélectionnez analyse à l’accès dans la liste déroulante catégorie.
- Cliquez sur le nom de la stratégie.
- Cliquez sur Afficher les paramètres avancés.
- Accédez à la section paramètres de processus , liste des exclusions .
Lorsque vous configurez des exclusions par nom de fichier et par chemin d’accès, trois types de symboles exclusion génériques sont utilisés dans ENSLTP :
- Astérisque unique: * : sert à représenter des noms de fichier partiels ou des extensions avec un ou plusieurs caractères à partir de l’emplacement exact où il est placé dans le chemin ou le fichier spécifié.
- Double astérisque: * * : généralement utilisé pour les noms de fichier partiels ou les extensions avec un ou plusieurs caractères à partir de l’emplacement exact où il est placé dans le chemin ou le fichier spécifié.
- Point d’interrogation:? — Utilisé pour le remplacement à un seul caractère dans les noms de fichiers et les noms de répertoires. Ce caractère générique vous permet de mieux contrôler les exclusions.
Lorsque vous définissez des exclusions par type de fichier, vous pouvez utiliser uniquement le symbole d’exclusion caractère générique de point d’interrogation dans ENSLTP :
- Point d’interrogation:? : Permet le remplacement d’un seul caractère dans les chaînes de type de fichier. Ce caractère générique vous permet de mieux contrôler les exclusions.
Les sections ci-dessous décrivent l’utilisation correcte de ces caractères génériques.
Astérisque unique pour les exclusions de nom de fichier ou de chemin d’accès
Pour indiquer des noms d’annuaire uniques, utilisez un caractère générique d’astérisque (
*) unique. Par exemple, le exclusion
/data/*/sub/ exclut les dossiers suivants :
/data/1/sub/
/data/name2/sub/
/data/backup/sub/
Pour indiquer des correspondances de nom de fichier partielles ou des caractères génériques extension concordance, utilisez un caractère générique d’astérisque (
*) unique. Par exemple :
/data/abc*.raw
/data/abc.*
Remarque : N’utilisez pas de barres obliques inverses de fin pour les correspondances de nom de fichier. Cela exclut les éléments incorrects. Pour clarifier ce point important, examinez les deux exemples suivants :
Le premier exclusion est traité comme un nom de fichier, et le second est traité comme un répertoire.
Lorsque la stratégie est mise en œuvre sur le système, la commande locale s’affiche comme suit pour les exemples ci-dessus :
ENSLTP 10.6.6 et versions ultérieures :
# /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 et versions antérieures :
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/*/sub/ Disabled readandwrite
2 /data/def/ Disabled readandwrite
3 /data/abc Not Applicable readandwrite
En conséquence, "exclure le sous-dossier" s’affiche comme "non applicable" pour l’élément
/data/abc (index 3) exclusion, car il est spécifié sans barre oblique inverse à la fin. Par conséquent, l’élément est considéré comme un chemin d’accès au fichier.
Double astérisque pour les exclusions de répertoire
Deux astérisques (* *) permettent d’obtenir un répertoire plus large exclusion appelé exclusion à plusieurs niveaux. Ces exclusions sont les suivantes : le même nom de dossier cible peut se produire à plusieurs reprises dans les sous-répertoires provenant d’un répertoire commun.
Par exemple, un répertoire nommé "cache" peut exister sous un ou plusieurs sous-répertoires à n’importe quelle profondeur dans le
/data répertoire :
/data/user/tom/cache/
/data/user/jim/cache/
/data/admin/cache/
/data/user/family/a1/b2/cache/
L’exemple suivant utilise un double astérisque pour exclure le contenu d’un répertoire nommé cache dans le
/data répertoire :
Lorsque la stratégie est mise en œuvre sur le système, la commande locale s’affiche comme suit dans l’exemple ci-dessus pour l’élément
/data/**/cache/ exclusion (index 1) :
ENSLTP 10.6.6 et versions ultérieures :
# /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 et versions antérieures :
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
Point d’interrogation pour les exclusions de type de fichier
Utilisez un point d’interrogation comme caractère générique pour indiquer le remplacement à un seul caractère dans les chaînes de type fichier. Par exemple, vous pouvez utiliser le caractère générique d’interrogation pour l’un des trois caractères ci-dessous :
Lorsque la stratégie est mise en œuvre sur le système, la commande locale s’affiche comme suit dans l’exemple ci-dessus pour l’élément
A?C exclusion (index 6) :
ENSLTP 10.6.6 et versions ultérieures :
# /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 et versions antérieures :
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
5 /data/time-? Not Applicable readandwrite
6 A?C