Depois de desativar o AMSI, você precisa fechar todas as instâncias desse processo e reiniciá-lo para descarregar
MfeAmsiProvider.dll or ATPAmsiGuard.dll . Não é necessário reinicializar, a menos que o processo em questão não possa ser fechado sem a reinicialização do sistema.
Nota: Como exemplo, onde uma reinicialização de processo não é possível (por exemplo, Internet Information Services (IIS)), você precisa reinicializar o sistema para descarregar
MfeAmsiProvider.dll or ATPAmsiGuard.dll .
Para confirmar a presença ou a ausência do ENS ATP ou ENS Prevenção contra ameaças AMSI
.dll s e os detalhes de PID associados, execute o comando a seguir a partir de um prompt de comando administrador:
- Para ENS ATP AMSI: tasklist /m atpamsiguard.dll
- Para ENS Prevenção contra ameaças AMSI: tasklist /m mfeamsiprovider.dll
Para listar os processos com um Microsoft AMSI
.dll carregado, execute o seguinte comando:
tasklist /m amsi.dll
O ENS AMSI é configurado nos seguintes locais de política:
- ePolicy Orchestrator:
- ENS ATP: Catálogo de políticas, Proteção adaptável contra ameaças do Endpoint Security, opções, <policy name> Ativar varredura avançada script (inclui integração com o AMSI)
- ENS Prevenção contra ameaças: Catálogo de políticas, Endpoint Security Prevenção contra ameaças, varredura ao acessar, <policy name> Ativar AMSI (fornece varredura de script aprimorada)
- MVISION Endpoint: Catálogo de políticas, MVISION Endpoint, geral, <policy name> Ativar varredura de script