Se un tag viene visualizzato su troppi documenti, può essere reimpostato in ePO tramite la policy DLP. Vai a Definizioni/Tag e Categorie e fare clic con il pulsante destro del mouse sul singolo tag. Questa azione Reimposta l'identificatore univoco utilizzato. Una volta imposte le modifiche apportate al policy sul computer client, il tag non viene applicato a alcun documento finché non si è verificato uno dei meccanismi sopra citati.
A meno che non venga modificato qualcos'altro nella policy, è probabile che qualunque comportamento abbia portato alla codifica iniziale possa ripetersi. Pertanto, assicurarsi che gli utenti con funzionalità di tagging manuale non siano in grado di contrassegnare i documenti che non devono essere protetti. Inoltre, qualsiasi copia da una posizione specificata in un
Location Based Tagging Rule da un utente con
leggere l'autorizzazione a tale posizione determina il tag del documento di destinazione. Per garantire che ogni vettore di tagging possibile sia ottimizzato, fare doppio controllo sulla
Definizioni delle applicazioni E la
Rileva scansione Impostazioni.
Di seguito è riportato un esempio di come un tag di reset nuovo o recentemente può diffondersi in un ambiente:
Viene utilizzata una regola di tagging basata sulla posizione. Un'applicazione su un host con Endpoint DLP automaticamente, senza avvisare l'utente, legge un file dal percorso, ad esempio un file desktop. ini o qualsiasi file di configurazione. Viene quindi salvato un nuovo file con una parte di contenuto sensibile in una nuova cartella di condivisione. Ora, un secondo utente che non dispone dei diritti per la prima posizione può utilizzare un'applicazione che legge un file dalla seconda condivisione. Il tag viene propagato quando viene salvato un file con lo stesso contenuto.
Per saperne di più in dettaglio in che modo un nuovo o recente Reset tag si sta moltiplicando in un ambiente, utilizzare il
Registra tutti i messaggi opzione. Utilizzare questa opzione per tutti gli utenti che dispongono di diritti di tagging manuale da leggere da una condivisione specificata in un
Location Based tagging rule, utilizzare qualsiasi applicazione in un
Application Based Tagging Rule. In alternativa, utilizzare l'opzione su tutti gli utenti i cui computer sono configurati per una scansione di rilevamento. Questa impostazione è disponibile in
Eventi e registrazione nella Agent configurazione della policy DLP in ePO.
Nel registro di esempio riportato di seguito viene illustrato come determinare quando i file sono contrassegnati:
Nota Il nome del file di registro è
HDLP_Agent_(DD.MM.YYYY)(X-XX-XX).log e si trova sotto:
c:\Program Data\McAfee\DLP\temp\logs\session##
Nell'esempio seguente, il file denominato notepadtext.txt viene letto dall'ID processo 2644:
18:5:44:388 [2584] [ODEBUG] [file Tracker] [RunningProcessInfo:: addFileInfo] aggiunta del file (NotepadTest. txt) per processo (2644)
18:5:44:388 [2584] [ODEBUG] [file Tracker] [FileContentAccessedEvent:: startProcessEvent] FAcc. FF # 000183 avvia file del gestore eventi: \\grepo5\grshare\notepadtest.txt
In the following example, a process with PID 2644 saves a file that is then tagged by the DLP Endpoint:
18:5:44:388 [2584] [ODEBUG] [gestore file] [FileFilterHandler:: OnOpen] file aperto per PID (2644) scrivere c:\users\administrator\desktop\notepadtest.txt
...
18:5:44:388 [2584] [ODEBUG] [file Tracker] [ExtendedAttributesService::setFileTags] Impostazione file c:\users\administrator\desktop\notepadtest.txt Tag di origine attributi estesi (1)
The following example shows a direct cut-and-paste action via Process ID 4928:
16:52:23:904 [4728] [ODEBUG] [file Tracker] [RunningProcessInfo:: addFileInfo] aggiunta del file (NotepadTest. txt) per processo (4928)
16:52:23:904 [4728] [ODEBUG] [file Tracker] [FileContentAccessedEvent:: startProcessEvent] FAcc. FF # 000582 avvia file del gestore eventi: c:\users\administrator\desktop\notepadtest.txt
...
16:52:23:920 [4728] [ODEBUG] [gestore file] [FileFilterHandler:: OnOpen] file aperto per PID (4928) scrivere c:\users\administrator\desktop\notepadtest-copia (2). txt
...
16:52:23:920 [4728] [ODEBUG] [gestore file] [WrittenFiles:: insertWrittenFile] WRITE-BUFFER-file- c:\users\administrator\desktop\notepadtest-copia (2). txt PID (4928) prima volta pushed
...
16:52:23:920 [4728] [ODEBUG] [file Tracker] [FileContentTransmittedEvent:: startProcessEvent] FTra. FF # 000584 avvia file del gestore eventi: c:\users\administrator\desktop\notepadtest-copia (2). txt
...
16:52:23:920 [4728] [ODEBUG] [file Tracker] [ExtendedAttributesService::setFileTags] Impostazione file c:\users\administrator\desktop\notepadtest-copia (2). txt Tag di origine attributi estesi (1)
Nell'esempio seguente viene illustrato come incollare contenuti sensibili in un documento tramite notepad.exe (PID 2764):
19:43:5:819 [2584] [ODEBUG] [gestore file] [FileFilterHandler:: OnOpen] file aperto per PID (2764) scrivere c:\users\administrator\desktop\new Text Document. txt
19:43:5:819 [2584] [ODEBUG] [gestore file] [WrittenFiles:: insertWrittenFile] WRITE-BUFFER-file- c:\users\administrator\desktop\new di testo Document. txt PID (2764) prima volta pushed
...
19:43:5:819 [2584] [ODEBUG] [file Tracker] [FileContentTransmittedEvent:: startProcessEvent] FTra. FF # 001193 avvia file del gestore eventi: c:\users\administrator\desktop\new Text Document. txt
...
19:43:5:819 [2584] [ODEBUG] [file Tracker] [FileContentTransmittedEvent:: startProcessEvent] FTra. FF # 001193 richiesta di estrazione testo nome file (c:\users\administrator\desktop\new Text Document. txt)
...
19:43:6:115 [2584] [ODEBUG] [file Tracker] [ExtendedAttributesService::setFileTags] Impostazione file c:\users\administrator\desktop\new Text Document. txt Tag di origine attributi estesi (1)