Способы предотвращения угроз доступа

Включив или изменив конфигурацию функции «Защита доступа», можно настроить защиту от шпионских программ, антивирусную защиту, общую защиту, защиту виртуальных машин, а также определить собственные правила защиты. Далее описан основной процесс, используемый VirusScan Enterprise для обеспечения защиты доступа.


Действия, предпринимаемые в случае возникновения угрозы

  1. Пользователем или процессом запускается действие.
  2. С помощью функции «Защита доступа» выполняется проверка этого действия в соответствии с определенными правилами.
  3. В случае нарушения правила управление действием, запрашиваемым пользователем или процессом, выполняется с использованием информации настроенных правил. Например, в результате действия ничего не происходит, оно просто блокируется или блокируется с последующей отправкой отчета.
  4. Обновляется файл журнала «Защита доступа», и создается событие для глобального администратора ePolicy Orchestrator.

Пример угрозы доступа

  1. Пользователь загружает из Интернета программу MyProgram.exe.
    ПРИМЕЧАНИЕ: В данном примере MyProgram.exe не является вредоносной программой.
  2. Пользователь запускает программу, процедура запуска выполняется в обычном режиме.
  3. Затем программой MyProgram.exe запускается дочерний процесс под именем AnnoyMe.exe, который выполняет попытку внести в операционную систему изменения, чтобы ее загрузка всегда выполнялась при запуске.
  4. Функция «Защита доступа» обрабатывает запрос и сопоставляет его с существующим правилом, настроенным для блокировки и отправки отчета.
  5. При попытке внести изменения в операционную систему программе AnnoyMe.exe запрещается доступ, функцией «Защита доступа» регистрируются сведения о попытке и создается предупреждение для глобального администратора ePolicy Orchestrator.

Отчет по журналу и предупреждения

Далее приведен пример записи в журнале «Защита доступа».

  2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Prevent programs registering to autorun  

В следующей таблице описаны данные приведенной записи журнала «Защита доступа».

Запись журнала Описание
2/10/2010 Дата
11:00AM Время
Blocked by Access Protection rule (Заблокировано правилом функции «Защита доступа») Выполненное действие
TestDomain\TestUser Учетные данные
C:\Users\TestUser\Desktop\AnnoyMe.exe Имя процесса, противоречащее правилу
\REGISTRY\MACHINE\SOFTWARE\Microsoft… Папка, к которой пытался обратиться процесс
Prevent programs registering to autorun (Предотвращение автозапуска регистрации программ) Инициированное правило функции «Защита доступа»

Аналогичные сведения можно получить с помощью запросов ePolicy Orchestrator. Подробные сведения см. в разделе Доступ к запросам и панелям мониторинга.

Способы предотвращения угроз доступа