プロセス (たとえば、
notepad.exe ) を低リスクプロセス (LRP) グループに追加した後、プロセスが正しく適用されているかどうかを確認する必要があります。
このグループのスキャン設定で読み取り/書き込み機能が無効になっているかどうかを確認するには、次の手順を実行します:
- 既存のオンアクセススキャンポリシーのいずれかのコピーを作成して LRP_TEST と名前を付けます。
- ポリシー LRP TEST の LRP グループにnotepad.exe を追加 します。
- ポリシーの LRP グループで、読み取り時のスキャンと書き込み時のスキャンが無効になっていることを確認します。
- このポリシーをテスト エンドポイントに適用します。
- テスト仮想システムでコンソールセッションを開き、notepad.exe を起動します。
- EICAR文字列 ( https://www.eicar.org/から取得) を N otepad テキストセッションにコピーします。
- ファイル、名前を付けて保存の順に選択し、次の設定で Notepad ファイルを保存します。
- ファイル名: eicar.exe
- 種類: すべてのファイル
- 場所: c:\temp\ (またはローカルドライブ上のいずれかの場所)
注: notepad.exe が LRP グループに存在し、LRP プロセスがスキャンされていないため、指定された場所に EICAR ファイルを保存できます。
- Windows エクスプローラーを開き、ファイルを保存した場所に移動します。
- Windows エクスプローラーを使用してファイルを操作してみてください。 たとえば、ファイルをコピーするか、名前を変更してみてください。 これで、検出トリガーとアクセス拒否メッセージが表示されます。 Windows エクスプローラーは通常、リスクの高いプロセス グループに属しているため、今回は検出がトリガーされます。 これで、Windows エクスプローラーがファイルにアクセスする呼び出しプロセスになります。
- 検出の詳細を確認する場合は、オンアクセス スキャン ログを表示します。