Questo articolo fornisce indicazioni su come creare esclusioni di file e directory con ENSLTP.
Configurare le esclusioni per i computer gestiti di ePolicy Orchestrator (ePO) nel seguente percorso:
- Accedere alla console di ePO.
- Fare clic su Menu, Politica, Catalogo delle policy.
- Selezionare Prevenzione delle minacce Endpoint Security dall'elenco a discesa prodotto.
- Selezionare Scansione all'accesso nell'elenco a discesa categoria.
- Fare clic sul nome policy.
- Fare clic su Mostra avanzate.
- Passare alla Impostazioni processo sezione Esclusioni elenco.
Quando si configurano le esclusioni in base al nome e al percorso del file, in ENSLTP sono disponibili tre tipi di simboli di esclusione dei caratteri jolly:
- Asterisco singolo: * : Consente di rappresentare nomi di file parziali o estensioni con uno o più caratteri dalla posizione esatta in cui viene inserito nel percorso o nel file specificato.
- Asterisco doppio: ** : Generalmente utilizzato per i nomi di file parziali o le estensioni con uno o più caratteri dalla posizione esatta in cui viene inserito nel percorso o nel file specificato.
- Punto interrogativo: ? : Utilizzato per la sostituzione di un singolo carattere all'interno di nomi di file e nomi di directory. Questo carattere jolly offre un maggiore controllo sulle esclusioni.
Quando si impostano esclusioni in base al tipo di file, è possibile utilizzare solo il simbolo di esclusione del carattere jolly del punto interrogativo in ENSLTP:
- Punto interrogativo: ? : Utilizzato per la sostituzione di un singolo carattere all'interno delle stringhe dei tipi di file. Questo carattere jolly offre un maggiore controllo sulle esclusioni.
Le sezioni seguenti spiegano come utilizzare correttamente questi caratteri jolly.
Asterisco singolo per le esclusioni di nome file o percorso
Per indicare i nomi delle singole directory, utilizzare un singolo asterisco (
*Jolly. Ad esempio, l'esclusione
/data/*/sub/ escluderebbe le seguenti cartelle:
/data/1/sub/
/data/name2/sub/
/data/backup/sub/
Per indicare le corrispondenze di nomi di file parziali o l'estensione jolly, utilizzare un singolo asterisco (
*Jolly. Per esempio:
/data/abc*.raw
/data/abc.*
Nota Non utilizzare barre rovesciate finali per i nomi di file corrispondenti. In tal modo si escludono gli elementi sbagliati. Per chiarire questo importante punto, esaminare i seguenti due esempi:
La prima esclusione viene trattata come nome di un file, mentre la seconda viene trattata come directory.
Quando il policy viene applicato nel sistema, il comando locale Mostra quanto segue per gli esempi riportati sopra:
ENSLTP 10.6.6 e versioni successive:
# /opt/McAfee/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 e versioni precedenti:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/*/sub/ Disabled readandwrite
2 /data/def/ Disabled readandwrite
3 /data/abc Not Applicable readandwrite
Il risultato è che "Escludi sottocartella" Mostra come "non applicabile" per l'elemento di esclusione.
/data/abc (index 3) perché è stato specificato senza barre rovesciate finali. Pertanto, l'elemento viene considerato un percorso di file.
Doppio asterisco per le esclusioni di directory
Doppi asterischi (**) consentono un'esclusione di directory più ampia denominata esclusione di profondità multipla. Queste esclusioni sono quelle in cui lo stesso nome della cartella di destinazione potrebbe verificarsi più volte in sottodirectory provenienti da una directory comune.
Ad esempio, una directory denominata "cache" può essere presente in una o più sottodirectory a qualsiasi profondità sotto il
/data Directory
/data/user/tom/cache/
/data/user/jim/cache/
/data/admin/cache/
/data/user/family/a1/b2/cache/
Nell'esempio riportato di seguito viene utilizzato un doppio asterisco per escludere il contenuto di qualsiasi directory denominata cache sotto il
/data Directory
Quando il policy viene imposto nel sistema, il comando locale Mostra come indicato di seguito nell'esempio sopra riportato per l'elemento di esclusione.
/data/**/cache/ (indice 1):
ENSLTP 10.6.6 e versioni successive:
# /opt/McAfee/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 e versioni precedenti:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
Punto interrogativo per le esclusioni dei tipi di file
Utilizzare un carattere jolly del punto interrogativo per indicare la sostituzione di un singolo personaggio nelle stringhe dei tipi di file. Ad esempio, è possibile utilizzare il carattere jolly del punto interrogativo per uno dei tre caratteri seguenti:
Quando il policy viene imposto nel sistema, il comando locale Mostra come indicato di seguito nell'esempio sopra riportato per l'elemento di esclusione.
A?C (Indice 6):
ENSLTP 10.6.6 e versioni successive:
# /opt/McAfee/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
ENSLTP 10.6.5 e versioni precedenti:
# /opt/isec/ens/threatprevention/bin/isecav --getoasconfig --exclusionlist --profile standard
Index Item Exclude Subfolder When to exclude
1 /data/**/cache/ Disabled readandwrite
2 /data/*/sub/ Disabled readandwrite
3 /data/def/ Disabled readandwrite
4 /data/abc Not Applicable readandwrite
5 /data/time-? Not Applicable readandwrite
6 A?C