Sposób powstrzymywania zagrożeń nieuprawnionego dostępu

Włączając funkcję ochrony dostępu lub zmieniając jej konfigurację, można skonfigurować ochronę przed oprogramowaniem szpiegowskim, ochronę antywirusową, wspólną i maszyny wirtualnej oraz zdefiniować własne reguły ochrony. Poniżej opisano podstawowy proces, którego program VirusScan Enterprise używa do zapewnienia ochrony przed dostępem.


Czynności podejmowane w przypadku wystąpienia zagrożenia

  1. Użytkownik lub proces próbuje wykonać akcję.
  2. Funkcja ochrony przed dostępem analizuje tę akcję w oparciu o zdefiniowane reguły.
  3. W przypadku naruszenia reguły akcja, jakiej zażądał użytkownik lub proces, jest obsługiwana w oparciu o informacje zawarte w skonfigurowanych regułach. Na przykład akcja nie powoduje niczego, jest blokowana lub jest blokowana i wysyłany jest raport.
  4. Plik dziennika ochrony przed dostępem jest aktualizowany, a dla globalnego administratora programu ePolicy Orchestrator generowane jest zdarzenie.

Przykład zagrożenia nieuprawnionego dostępu

  1. Użytkownik pobiera program MojProgram.exe z Internetu.
    Uwaga: W tym przykładzie MojProgram.exe nie jest oprogramowaniem złośliwym.
  2. Użytkownik uruchamia program, który działa zgodnie z oczekiwaniami.
  3. Następnie MojProgram.exe uruchamia proces potomny o nazwie DokuczajMi.exe, który próbuje zmodyfikować system operacyjny tak, aby zawsze był ładowany podczas jego uruchamiania.
  4. Funkcja ochrony przed dostępem przetwarza żądanie i dopasowuje je do reguły skonfigurowanej do blokowania i raportowania.
  5. Próba zmodyfikowania systemu operacyjnego przez program DokuczajMi.exe napotyka odmowę, funkcja ochrony przed dostępem rejestruje szczegóły próby i generuje alert dla administratora globalnego programu ePolicy Orchestrator.

Raport dziennika i wygenerowane alerty

Jest to przykład wpisu w dzienniku funkcji ochrony przed dostępem.

  2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Prevent programs registering to autorun  

W następującej tabeli opisano dane zawarte w powyższym wpisie w dzienniku funkcji ochrony przed dostępem:

Wpis w dzienniku Opis
2/10/2010 Data
11:00 Godzina
Zablokowany przez regułę ochrony przed dostępem Podjęte akcje
TestDomain\TestUser Dane uwierzytelniające
C:\Users\TestUser\Desktop\AnnoyMe.exe Nazwa procesu, który naruszył regułę
\REGISTRY\MACHINE\SOFTWARE\Microsoft… Lokalizacja, do której proces próbował uzyskać dostęp
Blokuj programy rejestrujące się do automatycznego uruchamiania Aktywowana reguła ochrony przed dostępem

Podobne informacje są dostępne za pomocą kwerend ePolicy Orchestrator. Szczegóły zawarto w sekcji Dostęp do kwerend i desek rozdzielczych.

Sposób powstrzymywania zagrożeń nieuprawnionego dostępu