Czynności podejmowane w przypadku wystąpienia zagrożenia

1. Użytkownik lub proces próbuje wykonać akcję.
2. Funkcja ochrony przed dostępem analizuje tę akcję w oparciu o zdefiniowane reguły.
3. W przypadku naruszenia reguły akcja, jakiej zażądał użytkownik lub proces, jest obsługiwana w oparciu o informacje zawarte w skonfigurowanych regułach. Na przykład akcja nie powoduje niczego, jest blokowana lub jest blokowana i wysyłany jest raport.
4. Plik dziennika ochrony przed dostępem jest aktualizowany, a dla globalnego administratora programu ePolicy Orchestrator generowane jest zdarzenie.

Przykład zagrożenia nieuprawnionego dostępu

1. Użytkownik pobiera program MojProgram.exe z Internetu.
   Uwaga: W tym przykładzie MojProgram.exe nie jest oprogramowaniem złośliwym.
2. Użytkownik uruchamia program, który działa zgodnie z oczekiwaniami.
3. Następnie MojProgram.exe uruchamia proces potomny o nazwie DokuczajMi.exe, który próbuje zmodyfikować system operacyjny tak, aby zawsze był ładowany podczas jego uruchamiania.
4. Funkcja ochrony przed dostępem przetwarza żądanie i dopasowuje je do reguły skonfigurowanej do blokowania i raportowania.
5. Próba zmodyfikowania systemu operacyjnego przez program DokuczajMi.exe napotyka odmowę, funkcja ochrony przed dostępem rejestruje szczegóły próby i generuje alert dla administratora globalnego programu ePolicy Orchestrator.

Raport dziennika i wygenerowane alerty

Jest to przykład wpisu w dzienniku funkcji ochrony przed dostępem.

  2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Prevent programs registering to autorun  

Podobne informacje są dostępne za pomocą kwerend ePolicy Orchestrator. Szczegóły zawarto w sekcji Dostęp do kwerend i desek rozdzielczych.