Depois de adicionar um processo (por exemplo,
notepad.exe) ao grupo de processos de baixo risco (LRP), você deseja saber se o processo está sendo aplicado corretamente.
Para confirmar se os recursos de leitura e gravação estão desativados nas configurações de varredura deste grupo, execute as seguintes etapas:
- Crie uma cópia de uma das políticas de varredura ao acessar existentes e a nomee LRP_TEST.
- Adicione notepad.exe ao grupo LRP na política LRP TEST.
- Verifique se a varredura na leitura e a varredura na gravação estão desativadas para o grupo LRP na política.
- Aplique essa política a um ponto de extremidade de teste.
- Abra uma seção de console em um sistema virtual de teste e inicie o notepad.exe.
- Copie a EICAR cadeia de caracteres (https://www.eicar.org/ para a seção de texto Notepad .
- Selecione Arquivo, Salvar como e salve o bloco de notas arquivo com as seguintes configurações:
- Nome do arquivo: eicar.exe
- Tipo: Todos os arquivos
- Local: c:\temp\ (ou for adequado na unidade local)
OBSERVAÇÃO:: Como notepad.exe o está agora no grupo LRP e os processos LRP não estão sendo examinados, você pode salvar a conta EICAR arquivo no local especificado.
- Abra Windows Explorer e navegue até o local em que você salvou o arquivo.
- Tente manipular o arquivo usando Windows Explorer. Por exemplo, tente copiar ou renomear o arquivo. Agora você tem um disparador de detecção e uma mensagem de acesso negado. A detecção é disparada desta vez porque Windows Explorer normalmente está no grupo de processos de alto risco. Windows Explorer agora é o processo de chamada que acessa o arquivo.
- Exibir o varredura ao acessar de dados se quiser confirmar os detalhes da detecção.