Pasos realizados cuando se produce una amenaza

1. Un usuario o proceso intenta realizar una acción.
2. La función de protección de acceso analiza dicha acción conforme a las reglas definidas.
3. Cuando se rompe una regla, la acción solicitada por el usuario o proceso se administra mediante la información configurada en las reglas. Por ejemplo, la acción puede bloquearse, bloquearse enviando un informe, o puede no provocar ninguna reacción.
4. El archivo de registro de protección de acceso se actualiza y se genera un evento destinado al administrador global de ePolicy Orchestrator.

Ejemplo de amenaza de acceso

1. Un usuario descarga el programa MiPrograma.exe desde Internet.
   Nota: En este ejemplo, MiPrograma.exe no es malware.
2. El usuario inicia el programa, que aparentemente se abre según lo esperado.
3. A continuación, MiPrograma.exe inicia un proceso secundario llamado Molestame.exe, el cual intenta modificar el sistema operativo de modo que siempre se cargue al iniciar.
4. La protección de acceso procesa la solicitud y la compara con una regla existente configurada para bloquear e informar.
5. Cuando Molestame.exe intenta modificar el sistema operativo, se le deniega el acceso. Al mismo tiempo, la protección de acceso registra los detalles del intento y genera una alerta para el administrador global de ePolicy Orchestrator.

Informe de registro y alertas generadas

El siguiente es un ejemplo de entada de registro creada por la función de protección de acceso.

  2/10/2010 11:00 a. m. Bloqueado por regla de protección de acceso TestDomain\TestUser C:\Users\TestUser\Desktop\Molestame.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Impedir que los programas se registren para ejecutarse automáticamente  

Las consultas de ePolicy Orchestrator proporcionan una información similar. Para obtener más información, consulte Acceso a consultas y paneles.