Une fois que vous avez ajouté un processus (par exemple,
notepad.exe) au groupe des processus à faible risque (LRP), vous voulez savoir si le processus est appliqué correctement.
Pour vérifier que les fonctionnalités de lecture et d’écriture sont désactivées dans les paramètres d’analyse de ce groupe, procédez comme suit :
- Créez une copie de l’une des stratégies d’analyse à l’accès existante et nommez-la LRP_TEST.
- Ajouter notepad.exe au groupe LRP dans la stratégie LRP TEST.
- Vérifiez que l’option analyser lors de la lecture et analyser lors de l’écriture est désactivée pour le groupe LRP de la stratégie.
- Appliquez cette stratégie à un terminal de test.
- Ouvrez une session de console sur un système virtuel de test et démarrez notepad.exe.
- Copiez le EICAR chaîne (obtenue à partir de https://www.eicar.org/) dans le Notepad session texte.
- Sélectionnez Fichier, Enregistrer souset enregistrez le fichier du bloc-notes avec les paramètres suivants :
- Nom du fichier : eicar.exe
- Type : tous les fichiers
- Position c:\temp\ (ou tout emplacement approprié sur le lecteur local)
Veuillez Étant notepad.exe est désormais dans le groupe LRP et que les processus LRP ne sont pas en cours d’analyse, vous pouvez enregistrer le fichier EICAR à l’emplacement spécifié.
- Ouvrez l'Explorateur Windows et accédez à l’emplacement où vous avez enregistré le fichier.
- Essayez de manipuler le fichier à l’aide de l'Explorateur Windows. Par exemple, essayez de copier ou de renommer le fichier. Vous disposez à présent d’un déclencheur de détection et d’un message accès refusé. La détection est déclenchée cette fois car l'Explorateur Windows se trouve généralement dans le groupe de processus à haut risque. l'Explorateur Windows est désormais le processus appelant qui accède au fichier.
- Consultez le journal d’analyse à l’accès si vous souhaitez confirmer les détails de la détection.
