Stoppen von Zugriffsbedrohungen
Durch Aktivieren oder Ändern der Konfiguration für die Zugriffsschutzfunktion können Sie den Spyware-Schutz, den Antivirenschutz, den allgemeinen Schutz sowie den Schutz für virtuelle Computer konfigurieren und Ihre eigenen Schutzregeln definieren. Nachfolgend finden Sie den grundlegenden Prozess, der von VirusScan Enterprise zum Bereitstellen des Zugriffsschutzes verwendet wird.
Beim Auftreten einer Bedrohung ausgeführte Schritte
- Ein Benutzer oder Prozess versucht, eine Aktion auszuführen.
- Diese Aktion wird gemäß den definierten Regeln vom Zugriffsschutz überprüft.
- Wenn eine Regel nicht eingehalten wird, wird die vom Benutzer oder Prozess angeforderte Aktion gemäß den in den Regeln konfigurierten Informationen behandelt. Die Aktion führt beispielsweise zu keiner Reaktion, sie wird blockiert, oder sie wird blockiert, und es wird ein Bericht gesendet.
- Die Zugriffsschutz-Protokolldatei wird aktualisiert, und es wird ein Ereignis für den globalen ePolicy Orchestrator-Administrator generiert.
Beispiel für eine Zugriffsbedrohung
- Ein Benutzer lädt ein Programm, MyProgram.exe, aus dem Internet herunter.
Hinweis: In diesem Beispiel stellt MyProgram.exe keine Malware dar.
- Der Benutzer startet das Programm, und es scheint, dass es wie erwartet gestartet wird.
- Von MyProgram.exe wird dann ein untergeordneter Prozess namens AnnoyMe.exe gestartet, und diese Datei versucht, das Betriebssystem zu ändern, um sicherzustellen, dass die Datei bei jedem Systemstart immer geladen wird.
- Der Zugriffsschutz verarbeitet die Anforderung und ordnet sie einer vorhandenen Regeln zu, die so konfiguriert ist, dass die Anforderung blockiert und gemeldet wird.
- Für AnnoyMe.exe wird der Zugriff verweigert, wenn die Datei versucht, das Betriebssystem zu ändern. Der Zugriffsschutz protokolliert die Details des Zugriffsversuchs und generiert eine Warnung für den globalen ePolicy Orchestrator-Administrator.
Protokollbericht und generierte Warnungen
Dies ist ein Beispiel für einen Zugriffsschutz-Protokolleintrag.
2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Prevent programs registering to autorun
In dieser Tabelle sind die Daten aus dem vorherigen Zugriffsschutz-Protokolleintrag beschrieben:
Ähnliche Informationen können mithilfe von ePolicy Orchestrator-Abfragen abgerufen werden. Ausführliche Informationen finden Sie unter Zugriff auf Abfragen und Dashboards.
Verwandte Informationen