액세스 위협을 중지하는 방법

액세스 보호 기능의 구성을 활성화하거나 변경하여 안티스파이웨어 보호, 안티바이러스 보호, 일반적인 보호, 가상 시스템 보호를 구성하고 자체적인 보호 규칙을 정의할 수 있습니다. 다음은 VirusScan Enterprise가 액세스 보호를 제공하기 위해 사용하는 기본 프로세스입니다.


위협이 발생할 때 취하는 단계

  1. 사용자 또는 프로세스가 액션을 취합니다.
  2. 이 액션은 정의된 규칙에 따라 액세스 보호에 의해 검사됩니다.
  3. 규칙이 위반되면 사용자 또는 프로세스가 요청한 액션이, 구성된 규칙의 정보를 사용하여 관리됩니다. 예를 들어, 이 액션으로 인해 아무것도 발생하지 않거나, 차단되거나 또는 차단되고 보고서가 전송됩니다.
  4. 액세스 보호 로그 파일이 업데이트되고 ePolicy Orchestrator 글로벌 관리자를 위한 이벤트가 생성됩니다.

액세스 위협의 예제

  1. 사용자가 인터넷에서 MyProgram.exe 프로그램을 다운로드합니다.
    참고: 이 예제에서 MyProgram.exe는 악성 프로그램이 아닙니다.
  2. 사용자가 프로그램을 시작하고 제대로 시작되는 것처럼 보입니다.
  3. MyProgram.exeAnnoyMe.exe라는 하위 프로세스를 시작하고 시작할 때 항상 로드될 수 있도록 운영 체제를 수정하려고 시도합니다.
  4. 액세스 보호는 요청을 처리한 다음 차단하고 보고하도록 구성된 기존 규칙과 일치하는지 확인합니다.
  5. AnnoyMe.exe가 운영 체제를 수정하려고 시도하면 액세스가 거부되고, 액세스 보호는 이 시도에 대한 세부 정보를 기록하며 ePolicy Orchestrator 글로벌 관리자에게 이를 경고합니다.

로그 보고서 및 경고 생성

다음은 액세스 보호 로그 항목 예제입니다. 

  2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Prevent programs registering to autorun
다음 표는 이전 액세스 보호 로그 항목의 데이터를 설명합니다.

로그 항목 설명
2/10/2010 날짜
11:00AM 시간
액세스 보호 규칙에 의해 차단되었습니다. 취한 액션
TestDomain\TestUser 자격 증명
C:\Users\TestUser\Desktop\AnnoyMe.exe 규칙을 위반한 프로세스 이름
\REGISTRY\MACHINE\SOFTWARE\Microsoft… 프로세스가 액세스를 시도한 위치
자동 실행 프로그램으로 등록 방지 트리거된 액세스 보호 규칙

비슷한 정보를 ePolicy Orchestrator 쿼리를 통해 사용할 수 있습니다. 자세한 내용은 쿼리 및 대시보드 액세스를 참조하십시오.

액세스 위협을 중지하는 방법