如何阻止访问威胁

通过启用或更改访问保护功能的配置,您可以配置防间谍软件保护、防病毒保护、通用保护和虚拟机保护,并定义您自己的保护规则。以下是 VirusScan Enterprise 用来提供访问保护的基本过程。


出现威胁时所应采取的步骤

  1. 某一用户或进程尝试采取措施。
  2. 访问保护根据定义规则检查该措施。
  3. 当违反了某一规则时,则使用配置规则中的信息对用户或进程请求的措施进行管理。例如,如果措施没有产生任何响应,则阻挡该措施,或者在阻挡该措施的同时发出一份报告。
  4. 系统会更新访问保护日志文件,并对 ePolicy Orchestrator 全局管理员生成事件。

访问威胁的示例

  1. 某用户从 Internet 中下载一个程序 MyProgram.exe
    附注: 在此示例中,MyProgram.exe 并不是恶意软件。
  2. 该用户启动了程序,启动似乎顺利进行。
  3. MyProgram.exe 然后启动了一个称为 AnnoyMe.exe 的子进程,并试图修改操作系统,以确保能在启动时始终加载。
  4. 访问保护处理该请求,并将其与已配置用来阻挡和报告的现有规则进行匹配。
  5. AnnoyMe.exe 试图修改操作系统时被拒绝访问,访问保护会记录该企图的详细信息,并对 ePolicy Orchestrator 全局管理员生成警报。

生成的日志报告和警报

下面是访问保护日志条目的一个示例。

  2010 年 2 月 10 日上午 11:00 由访问保护规则阻挡 TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ 禁止将程序注册为自动运行  
下表介绍了上一访问保护日志条目中的数据:

日志条目 说明
2/10/2010 日期
上午 11:00 时间
由访问保护规则阻挡 执行的操作
TestDomain\TestUser 凭据
C:\Users\TestUser\Desktop\AnnoyMe.exe 泄露规则的进程名称
\REGISTRY\MACHINE\SOFTWARE\Microsoft… 进程试图访问的位置
禁止将程序注册为自动运行 触发的访问保护规则

使用 ePolicy Orchestrator

如何阻止访问威胁