Después de desactivar AMSI, debe cerrar todas las instancias de ese proceso y volver a iniciarla para descargarla
MfeAmsiProvider.dll or ATPAmsiGuard.dll . No es necesario reiniciar a menos que el proceso en cuestión no se cierre sin reiniciar el sistema.
Nota: Por ejemplo, cuando no es posible reiniciar el proceso (por ejemplo, Internet Information Services (IIS)), debe reiniciar el sistema para descargarlo
MfeAmsiProvider.dll or ATPAmsiGuard.dll .
Para confirmar la presencia o ausencia de la ATP ENS o ENS Prevención de amenazas AMSI
.dll s y los detalles de PID asociados, ejecute el siguiente comando desde el símbolo del sistema del administrador:
- Para ENS ATP AMSI: tasklist /m atpamsiguard.dll
- Para ENS Prevención de amenazas AMSI: tasklist /m mfeamsiprovider.dll
Para mostrar los procesos con una Microsoft AMSI
.dll cargada, ejecute el siguiente comando:
tasklist /m amsi.dll
ENS AMSI se configura en las siguientes ubicaciones de directivas:
- ePolicy Orchestrator:
- ENS ATP: Catálogo de directivas, Endpoint Security Protección adaptable frente a amenazas, opciones, <policy name> , Activar análisis de script mejorado (incluye la integración con Amsi)
- ENS Prevención de amenazas: Catálogo de directivas, Endpoint Security Prevención de amenazas, análisis <policy name> en tiempo real, activar Amsi (proporciona análisis de script mejorado)
- MVISION Endpoint: Catálogo de directivas, MVISION Endpoint, general, <policy name> , Activar análisis de script