Después de agregar un proceso (por ejemplo
notepad.exe ) al grupo de procesos de bajo riesgo (LRP), desea saber si el proceso se está aplicando correctamente.
Para confirmar si las funciones de lectura y escritura están desactivadas en la configuración de análisis de este grupo, siga estos pasos:
- Cree una copia de una de las directivas de análisis en tiempo real existentes y asígnele el nombre LRP_TEST .
- Agregue notepad.exe al grupo LRP en la directiva LRP TEST .
- Compruebe que análisis al leer y analizar al escribir está desactivado para el grupo LRP de la Directiva.
- Aplique esta directiva a un Endpoint de prueba.
- Abra una sesión de consola en un sistema virtual de prueba y, a continuación, inicie notepad.exe .
- Copie la cadena (que EICAR se obtiene de https://www.eicar.org/) en la sesión de texto N otepad .
- Seleccione archivo, Guardar comoy guarde el archivo del Bloc de notas con la siguiente configuración:
- Nombre de archivo: eicar.exe
- Tipo: todos los archivos
- Ubicación: c:\temp\ (o donde sea adecuado en la unidad local)
Nota: Dado notepad.exe que ahora se encuentra en el grupo de LRP, y que los procesos de LRP no se están analizando, puede guardar el archivo eicar en la ubicación especificada.
- Abra Windows Explorer y vaya a la ubicación en la que haya guardado el archivo.
- Intente manipular el archivo mediante Windows Explorer. Por ejemplo, intente copiar o cambiar el nombre del archivo. Ahora tiene un activador de detecciones y un mensaje de acceso denegado. La detección se activa en este momento porque Windows Explorer suele estar en el grupo de procesos de alto riesgo. Windows Explorer es ahora el proceso de llamada que accede al archivo.
- Consulte el registro del análisis en tiempo real si desea confirmar los detalles de la detección.