Blocage des menaces relatives à l’accès

En activant la fonction de protection de l’accès ou en modifiant la configuration de cette dernière, vous pouvez configurer la protection anti-espion (antispyware), la protection antivirus, la protection commune, la protection de la machine virtuelle et définir vos propres règles de protection. Ce qui suit représente le processus de base qu’utilise VirusScan Enterprise pour assurer la protection de l’accès.


Etapes suivies en cas de menace

  1. Un utilisateur ou un processus tente d’effectuer une action.
  2. Cette dernière est examinée par la fonction de protection de l’accès selon les règles définies.
  3. Lorsqu’une règle n’est pas respectée, l’action demandée par l’utilisateur ou le processus est traitée selon les informations des règles configurées. Par exemple, l’action ne déclenche aucun événement, elle est bloquée, ou bien elle est bloquée et l’envoi d’un rapport a lieu.
  4. Le fichier journal de protection d’accès est mis à jour et un événement est généré pour l’administrateur global ePolicy Orchestrator.

Exemple de menace d’accès

  1. Un utilisateur télécharge un programme, MonProgramme.exe, à partir d’Internet.
    Remarque : dans cet exemple, MonProgramme.exe n’est pas un logiciel malveillant (malware).
  2. L’utilisateur exécute le programme qui semble se lancer comme prévu.
  3. MonProgramme.exe exécute ensuite un processus enfant appelé ContrariezMoi.exe qui tente de modifier le système d’exploitation afin de s’assurer que le programme se charge toujours au démarrage.
  4. La fonction de protection de l’accès traite la requête et la compare à une règle existante configurée pour bloquer les menaces et les signaler.
  5. L’accès est refusé à ContrariezMoi.exe lorsqu’il tente de modifier le système d’exploitation et la fonction de protection de l’accès journalise les détails de la tentative et génère une alerte destinée à l’administrateur global ePolicy Orchestrator.

Rapport de journal et alertes générés

Voici un exemple d’entrée de journal de la protection d’accès.

  10/02/2010 11:00:00 Bloqué par la règle Protection à l'accès TestDomain\TestUser C:\Users\TestUser\Desktop\ContrarieMoi.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Empêcher l'enregistrement de programmes à des fins d'exécution automatique  
Ce tableau décrit les données de l’entrée de journal de la protection d’accès ci-dessus :

Entrée de journal Description
10/02/2010 Date
11:00:00 Heure
Bloqué par la règle Protection à l’accès Action entreprise
TestDomain\TestUser Information
s d’identification
C:\Users\TestUser\Desktop\ContrariezMoi.exe Nom du processus ayant enfreint la règle
\REGISTRY\MACHINE\SOFTWARE\Microsoft… Emplacement auquel le processus a tenté d’accéder
Empêcher l’enregistrement de programmes à des fins d’exécution automatique Règle Protection à l’accès déclenchée

Des informations similaires sont disponibles via les requêtes ePolicy Orchestrator. Pour en savoir plus, reportez-vous à la section Accès aux requêtes et aux tableaux de bord.

Blocage des menaces relatives à l’accès