Après avoir ajouté un processus (par exemple)
notepad.exeau groupe de processus à faible risque (LRP), vous souhaitez savoir si le processus est appliqué correctement.
Pour vérifier si les fonctionnalités de lecture et d’écriture sont désactivées dans les paramètres d’analyse de ce groupe, procédez comme suit:
- Créez une copie de l’une des stratégies de analyse à l'accès existantes et nommez-la LRP_TEST.
- Ajoutez notepad.exe au groupe LRP dans la stratégie LRP TEST.
- Vérifiez que l’analyse en lecture et l’analyse en écriture sont désactivées pour le groupe LRP dans la stratégie.
- Appliquez cette stratégie à un poste client de test.
- Ouvrez une session de console sur un système virtuel de test, puis démarrez notepad.exe.
- Copiez la EICAR chaîne (accessible depuis https://www.eicar.org/) dans la session de texte Notepad .
- Sélectionnez Fichier, Enregistrer sous, puis enregistrez le fichier Bloc-notes avec les paramètres suivants:
- Nom du fichier : eicar.exe
- Type: Tous les fichiers
- Emplacement: c:\temp\ (ou où qu’il soit adapté sur le lecteur local)
NOTE: Etant donné que notepad.exe fait maintenant dans le groupe LRP et que les processus LRP ne sont pas en cours d’analyse, vous pouvez enregistrer le fichier EICAR à l’emplacement spécifié.
- Ouvrez l'Explorateur Windows et accédez à l’emplacement où vous avez enregistré le fichier.
- Essayez de manipuler le fichier à l’aide de l'Explorateur Windows. Par exemple, essayez de copier ou de renommer le fichier. Vous disposez désormais d’un déclencheur de détection et d’un message Accès refusé. La détection est déclenchée cette fois-ci, car l'Explorateur Windows appartient généralement au groupe de processus à haut risque. l'Explorateur Windows est désormais le processus d’appel qui accède au fichier.
- Affichez le journal analyse à l'accès si vous souhaitez confirmer les détails de détection.