Azioni che vengono intraprese in caso di minaccia

1. Un utente o un processo tenta di intraprendere un’azione.
2. Questa azione viene esaminata dalla Protezione all’accesso in base a regole definite.
3. Quanto una regola viene infranta, l’azione richiesta dall’utente o dal processo viene gestita tramite le informazioni presenti nelle regole configurate. Ad esempio, un’azione può non determinare alcun evento, può essere bloccata oppure può essere bloccata e viene inviato un rapporto.
4. Il file di registro di Protezione all’accesso viene aggiornato e viene generato un evento per l’amministratore globale di ePolicy Orchestrator.

Esempio di una minaccia all’accesso

1. Un utente scarica un programma, ad esempio MyProgram.exe, da Internet.
   Nota: In questo esempio, MyProgram.exe non è malware.
2. L’utente avvia il programma che sembra partire nel modo previsto.
3. MyProgram.exe quindi avvia un processo figlio, denominato AnnoyMe.exe, e tenta di modificare il sistema operativo per assicurarsi che venga sempre caricato all’avvio.
4. Protezione all’accesso elabora la richiesta e la confronta con una regola esistente che è configurata per bloccare le minacce e inviare un rapporto.
5. Ad AnnoyMe.exe viene negato l’accesso quando tenta di modificare il sistema operativo, Protezione all’accesso registra i dettagli del tentativo e genera un avviso per l’amministratore globale di ePolicy Orchestrator.

Rapporti e avvisi generati

Il seguente è un esempio di una voce di registro generata da Protezione all’accesso.

  2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Prevent programs registering to autorun  

Informazioni simili vengono rese disponibili se si utilizzano le query di ePolicy Orchestrator. Per ulteriori informazioni, consultare Accesso a query e dashboard.