En VSE, un archivo excluido o un archivo de una carpeta excluida no se analiza.
Para determinar si se excluye un archivo, el
MCSHIELD.EXE el proceso recibe información sobre el archivo del controlador de filtro de AV de McAfee.
Presencia de un
queda el nombre de archivo del archivo de registro no indica necesariamente que se haya producido un análisis o que el producto gestionado ha intentado analizar el archivo. (En este ejemplo, el archivo excluido es
nHTTP. exe.)
Not scanned (scan timed out) NT AUTHORITY\SYSTEM G:\Lotus\Domino\nHTTP.EXE F:\Lotus\Domino\Data\keyfile2010.sth
NOTA:
- Lo McShield.exe procesa todas las exclusiones. McShield realiza todos los análisis, salvo también realiza todas las exclusiones.
- McShield tiene un mecanismo de tiempo de espera.
En el ejemplo anterior, se agotó el tiempo de espera de McShield
nHTTP.EXE al intentar determinar si excluir el archivo o no. El archivo de registro
no indicar que el archivo excluido se está analizando en realidad.
Procmon Análisis de datos
En una captura mediante la
Procmon , verá que el proceso McShield funciona con un archivo que está excluido. Sin embargo, no verá que McShield realice una acción de lectura en el archivo.
Desde la supervisión
Procmon, verá McShield
Abiertos,
Consulte,
Definición, y
Cercana realizar. No obstante, estas acciones no indican un análisis porque no
IRP_MJ_READ acción se produce. Verá algunas
FASTIO_READ acciones, pero tampoco es una indicación de un análisis. Por lo tanto, para determinar si se ha realizado un análisis, ejecute
Procmon del
Salida avanzada modo, ya que no se muestra todo
LEÍDA las acciones indican un análisis.
Una vez que McShield ha determinado que el archivo se debe excluir, se informa al controlador del filtro AV de McAfee y el controlador del filtro registra el nombre del archivo (incluida la ruta). Garantiza que McShield no procese el mismo archivo de nuevo a menos que se modifique el archivo.
- Excluir por antigüedad del archivo
Puede utilizar este potente mecanismo para aumentar el rendimiento, especialmente en el caso de análisis bajo demanda, con poco riesgo.
Ejemplo:
Para establecer una línea de base de fecha, realice un análisis completo. Configurar una tarea para analizar todos los archivos, pero excluir los archivos modificados 1 días o más, y planifique el análisis para que se ejecute cada uno 1 número de días.
Si x = 2, solo se analizan los archivos modificados en los últimos 2 días.
- Exclusiones solo para los procesos seleccionados
- Es posible que tenga que excluir una carpeta que obtenga más tráfico de entrada/salida (e/s) de archivos. No obstante, el riesgo de exponer esta carpeta para todos los procesos se considera demasiado alto.
- Disminuya el riesgo mediante el uso de perfiles de análisis múltiple de VSE, denominados Procesos predeterminados, Procesos de alto riesgo, y Procesos de bajo riesgo.
- Agregue el proceso a un perfil específico (Riesgo alto bien Riesgo bajo) y configure la exclusión de ese perfil. Solo los procesos incluidos en ese perfil excluyen el archivo o la carpeta especificados.