Une fois que vous avez désactivé AMSI, vous devez fermer toutes les instances de ce processus et le relancer pour le décharger
MfeAmsiProvider.dll ou ATPAmsiGuard.dll . Il n’est pas nécessaire de redémarrer, sauf si le processus en question ne peut pas être fermé sans redémarrage du système.
Remarque : Par exemple, lorsqu’un redémarrage du processus n’est pas possible (par exemple, le service Internet Information Services (IIS)), vous devez redémarrer le système pour le décharger
MfeAmsiProvider.dll ou ATPAmsiGuard.dll .
Pour vérifier la présence ou l’absence du ENS ATP ou ENS Prévention contre les menaces AMSI
.dll s et les détails de l’ID de l’utilisateur, exécutez la commande suivante à partir d’une invite de commande d’administrateur :
- Pour ENS ATP AMSI : tasklist /m atpamsiguard.dll
- Pour ENS Prévention contre les menaces AMSI : tasklist /m mfeamsiprovider.dll
Pour répertorier les processus avec un Microsoft AMSI
.dll chargé, exécutez la commande suivante :
tasklist /m amsi.dll
ENS AMSI est configuré dans les emplacements de stratégie suivants :
- ePolicy Orchestrator :
- ENS ATP : Catalogue de stratégies, Endpoint Security Protection adaptive contre les menaces, options, <policy name> , activer l’analyse des script avancée (inclut l’intégration AMSI)
- ENS Prévention contre les menaces : Catalogue de stratégies, Endpoint Security Prévention contre les menaces, analyse à l’accès, <policy name> , Enable AMSI (fournit une analyse de script avancée)
- MVISION Endpoint : Catalogue de stratégies, MVISION Endpoint, général, <policy name> , activer l’analyse script