Dopo aver aggiunto un processo (ad esempio,
notepad.exe) al gruppo di processi a basso rischio (LRP, Low Risk Process), è necessario sapere se il processo viene applicato correttamente.
Per verificare se le funzionalità di lettura e scrittura sono disattivate nelle impostazioni di scansione del gruppo, attenersi alla seguente procedura:
- Creare una copia di una delle policy scansione all'accesso esistenti e denotarla LRP_TEST.
- Aggiungere notepad.exe al gruppo LRP nel gruppo policy LRP TEST.
- Verificare che la scansione in lettura e in scrittura sia disattivata per il gruppo LRP nella policy.
- Applica questa policy a un endpoint di test.
- Aprire una sessione della console su un sistema virtuale di prova e avviare notepad.exe.
- Copiare EICAR la stringa (ottenibile https://www.eicar.org/) nella sessione di testo Notepad .
- Selezionare File, Salva con nome e salvare il file di Blocco note con le seguenti impostazioni:
- Nome file: eicar.exe
- Tipo: Tutti i file
- Posizione: c:\temp\ (o ovunque sia adatta sull'unità locale)
NOTA: Poiché notepad.exe ora si trova nel gruppo LRP e i processi LRP non vengono analizzati, è possibile salvare il file EICAR nel percorso specificato.
- Aprire Esplora risorse e passare al percorso in cui è stato salvato il file.
- Provare a manipolare il file utilizzando Esplora risorse . Ad esempio, provare a copiare o rinominare il file. Ora è disponibile un'attivazione di rilevamento e un messaggio di accesso negato. Il rilevamento viene attivato questa volta perché la Esplora risorse si trova in genere nel gruppo di processi ad alto rischio. Esplora risorse è ora il processo di chiamata che accede al file.
- Visualizzare il scansione all'accesso per confermare i dettagli del rilevamento.