Действия, предпринимаемые в случае возникновения угрозы

1. Пользователем или процессом запускается действие.
2. С помощью функции «Защита доступа» выполняется проверка этого действия в соответствии с определенными правилами.
3. В случае нарушения правила управление действием, запрашиваемым пользователем или процессом, выполняется с использованием информации настроенных правил. Например, в результате действия ничего не происходит, оно просто блокируется или блокируется с последующей отправкой отчета.
4. Обновляется файл журнала «Защита доступа», и создается событие для глобального администратора ePolicy Orchestrator.

Пример угрозы доступа

1. Пользователь загружает из Интернета программу MyProgram.exe.
   ПРИМЕЧАНИЕ: В данном примере MyProgram.exe не является вредоносной программой.
2. Пользователь запускает программу, процедура запуска выполняется в обычном режиме.
3. Затем программой MyProgram.exe запускается дочерний процесс под именем AnnoyMe.exe, который выполняет попытку внести в операционную систему изменения, чтобы ее загрузка всегда выполнялась при запуске.
4. Функция «Защита доступа» обрабатывает запрос и сопоставляет его с существующим правилом, настроенным для блокировки и отправки отчета.
5. При попытке внести изменения в операционную систему программе AnnoyMe.exe запрещается доступ, функцией «Защита доступа» регистрируются сведения о попытке и создается предупреждение для глобального администратора ePolicy Orchestrator.

Отчет по журналу и предупреждения

Далее приведен пример записи в журнале «Защита доступа».

  2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Prevent programs registering to autorun  

Аналогичные сведения можно получить с помощью запросов ePolicy Orchestrator. Подробные сведения см. в разделе Доступ к запросам и панелям мониторинга.