Questo articolo fornisce indicazioni su come creare esclusioni di file e directory con ENSLTP.
Configurare le esclusioni per ePolicy Orchestrator (ePO)-computer gestiti seguendo la procedura riportata di seguito:
- Accedere alla console di ePO.
- Fare clic su menu, policy, Catalogo delle policy.
- Selezionare Endpoint Security prevenzione delle minacce dall'elenco a discesa prodotto.
- Selezionare scansione all'accesso dall'elenco a discesa categoria.
- Fare clic sul nome policy.
- Fare clic su Mostra Avanzate.
- Passare alla sezione Impostazioni processo , elenco esclusioni .
Quando si configurano le esclusioni in base al nome e al percorso del file, in ENSLTP sono disponibili tre tipi di simboli di esclusione dei caratteri jolly:
- Asterisco singolo: * — utilizzato per rappresentare nomi di file parziali o estensioni con uno o più caratteri dalla posizione esatta in cui viene inserito nel percorso o nel file specificato.
- Asterisco doppio: * * — generalmente utilizzato per i nomi di file parziali o le estensioni con uno o più caratteri dalla posizione esatta in cui è posizionato nel percorso o nel file specificato.
- Punto interrogativo:? : Utilizzato per la sostituzione di un singolo carattere all'interno di nomi di file e nomi di directory. Questo carattere jolly offre un maggiore controllo sulle esclusioni.
Quando si impostano esclusioni in base al tipo di file, è possibile utilizzare solo il simbolo di esclusione del carattere jolly del punto interrogativo in ENSLTP:
- Punto interrogativo:? : Utilizzato per la sostituzione di un singolo carattere all'interno delle stringhe dei tipi di file. Questo carattere jolly offre un maggiore controllo sulle esclusioni.
Le sezioni seguenti spiegano come utilizzare correttamente questi caratteri jolly.
Asterisco singolo per le esclusioni di nome file o percorso
Per indicare i nomi delle singole directory, utilizzare un singolo carattere jolly asterisco (
*). Ad esempio, l'esclusione
/data/*/sub/ esclude le seguenti cartelle:
/data/1/sub/
/data/name2/sub/
/data/backup/sub/
Per indicare le corrispondenze di nomi di file parziali o l'estensione jolly, utilizzare un singolo carattere jolly asterisco (
*). Ad esempio:
/data/abc*.raw
/data/abc.*
Nota: Non utilizzare barre rovesciate finali per le corrispondenze dei nomi di file. in tal modo si escludono gli elementi sbagliati. Per chiarire questo importante punto, esaminare i seguenti due esempi:
La prima esclusione viene trattata come nome di un file, mentre la seconda viene trattata come directory.
Quando il policy viene applicato nel sistema, il comando locale Mostra quanto segue per gli esempi riportati sopra:
ENSLTP 10.6.6 e versioni successive:
# /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 e versioni precedenti:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/*/sub/ Disabled readandwrite
2 /data/def/ Disabled readandwrite
3 /data/abc Not Applicable readandwrite
Il risultato è che "escludere la sottocartella" Mostra come "non applicabile" per l'elemento
/data/abc (index 3) di esclusione perché è specificato senza barre rovesciate finali. Pertanto, l'elemento viene considerato un percorso di file.
Doppio asterisco per le esclusioni di directory
Gli asterischi doppi (* *) consentono un'esclusione di directory più ampia denominata esclusione di profondità multipla. Queste esclusioni sono quelle in cui lo stesso nome della cartella di destinazione potrebbe verificarsi più volte in sottodirectory provenienti da una directory comune.
Ad esempio, una directory denominata "cache" può esistere in una o più sottodirectory a qualsiasi profondità sotto la
/data Directory:
/data/user/tom/cache/
/data/user/jim/cache/
/data/admin/cache/
/data/user/family/a1/b2/cache/
Nell'esempio riportato di seguito viene utilizzato un doppio asterisco per escludere il contenuto di qualsiasi directory denominata cache nella
/data Directory:
Quando il policy viene applicato nel sistema, il comando locale Mostra come indicato di seguito nell'esempio precedente relativo all'elemento
/data/**/cache/ di esclusione (indice 1):
ENSLTP 10.6.6 e versioni successive:
# /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 e versioni precedenti:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
Punto interrogativo per le esclusioni di tipo file
Utilizzare un carattere jolly del punto interrogativo per indicare la sostituzione di un singolo carattere all'interno delle stringhe di tipo file. Ad esempio, è possibile utilizzare il carattere jolly del punto interrogativo per uno dei tre caratteri seguenti:
Quando il policy viene applicato nel sistema, il comando locale Mostra come indicato di seguito nell'esempio sopra riportato per l'elemento
A?C di esclusione (Indice 6):
ENSLTP 10.6.6 e versioni successive:
# /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 e versioni precedenti:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
5 /data/time-? Not Applicable readandwrite
6 A?C