如何阻止存取威脅

透過啟用或變更存取保護功能的組態,您可以設定防間諜軟體防護、防毒防護、一般保護、虛擬機器保護,並定義自己的保護規則。以下是 VirusScan Enterprise 用來提供存取保護的基本過程。

發生威脅時執行的步驟


  1. 試圖執行動作的使用者或處理程序。
  2. 存取保護根據定義的規則檢查該動作。
  3. 當違反某一規則時,使用已設定規則中的資訊管理使用者或處理程序請求的動作。例如,如果動作沒有產生任何回應,則封鎖該動作,或者在封鎖該動作的同時傳送一份報告。
  4. 系統會更新存取保護記錄檔,並為 ePolicy Orchestrator 全域管理員產生事件。

存取威脅的範例


  1. 某個使用者從網際網路下載程式 MyProgram.exe
    註: 在此範例中,MyProgram.exe 不是惡意軟體。
  2. 該使用者啟動了程式,啟動似乎順利進行。
  3. MyProgram.exe 隨後啟動了名為 AnnoyMe.exe 的子處理程序,並嘗試修改作業系統,以確保能在啟動時始終將其載入。
  4. 存取保護處理該請求,並將其與設定為封鎖和報告的現有規則進行比對。
  5. AnnoyMe.exe 嘗試修改作業系統時被拒絕存取,存取保護會記錄該嘗試的詳細資料,並為 ePolicy Orchestrator 全域管理員產生警示。

產生的記錄報告和警示

下面是存取保護記錄項目的一個範例。

2010 年 2 月 10 日 上午 11:00 由存取保護規則封鎖 TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ 防止程式註冊為自動執行

下表說明了上一個存取保護記錄項目中的資料:
記錄項目 說明
2010 年 2 月 10 日 日期
上午 11:00 時間
由存取保護規則封鎖 執行的動作
TestDomain\TestUser 認證
C:\Users\TestUser\Desktop\AnnoyMe.exe 規則後面的處理程序名稱
\REGISTRY\MACHINE\SOFTWARE\Microsoft... 試圖存取的處理程序位置
防止程式註冊為自動執行 觸發的存取保護規則

使用 ePolicy Orchestrator 查詢可取得類似的資訊。如需詳細資料,請參照<存取查詢及儀表板>。

相關資訊
存取查詢及儀表板