Включив или изменив конфигурацию функции «Защита доступа», можно настроить защиту от шпионских программ, антивирусную защиту, общую защиту, защиту виртуальных машин, а также определить собственные правила защиты. Далее описан основной процесс, используемый VirusScan Enterprise для обеспечения защиты доступа.
Действия, предпринимаемые в случае возникновения угрозы
- Пользователем или процессом запускается действие.
- С помощью функции «Защита доступа» выполняется проверка этого действия в соответствии с определенными правилами.
- В случае нарушения правила управление действием, запрашиваемым пользователем или процессом, выполняется с использованием информации настроенных правил. Например, в результате действия ничего не происходит, оно просто блокируется или блокируется с последующей отправкой отчета.
- Обновляется файл журнала «Защита доступа», и создается событие для глобального администратора ePolicy Orchestrator.
Пример угрозы доступа
- Пользователь загружает из Интернета программу MyProgram.exe.
Прим.: В данном примере MyProgram.exe не является вредоносной программой.
- Пользователь запускает программу, процедура запуска выполняется в обычном режиме.
- Затем программой MyProgram.exe запускается дочерний процесс под именем AnnoyMe.exe, который выполняет попытку внести в операционную систему изменения, чтобы ее загрузка всегда выполнялась при запуске.
- Функция «Защита доступа» обрабатывает запрос и сопоставляет его с существующим правилом, настроенным для блокировки и отправки отчета.
- При попытке внести изменения в операционную систему программе AnnoyMe.exe запрещается доступ, функцией «Защита доступа» регистрируются сведения о попытке и создается предупреждение для глобального администратора ePolicy Orchestrator.
Отчет по журналу и предупреждения
Далее приведен пример записи в журнале «Защита доступа».
2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Prevent programs registering to autorun
В следующей таблице описаны данные приведенной записи журнала «Защита доступа».
Запись журнала
|
Описание
|
2/10/2010
|
Дата
|
11:00AM
|
Время
|
Blocked by Access Protection rule (Заблокировано правилом функции «Защита доступа»)
|
Выполненное действие
|
TestDomain\TestUser
|
Учетные данные
|
C:\Users\TestUser\Desktop\AnnoyMe.exe
|
Имя процесса, противоречащее правилу
|
\REGISTRY\MACHINE\SOFTWARE\Microsoft...
|
Папка, к которой пытался обратиться процесс
|
Prevent programs registering to autorun (Предотвращение автозапуска регистрации программ)
|
Инициированное правило функции «Защита доступа»
|
|
Аналогичные сведения можно получить с помощью запросов ePolicy Orchestrator. Подробные сведения см. в разделе Доступ к запросам и панелям мониторинга.