Dopo l'aggiunta di un processo (ad esempio,
notepad.exe) al gruppo dei processi a basso rischio (LRP), si desidera sapere se il processo è stato applicato correttamente.
Per verificare se le funzionalità di lettura e scrittura sono disattivate nelle impostazioni di scansione di questo gruppo, attenersi alla seguente procedura:
- Creare una copia di una delle policy di scansione all'accesso esistenti e denominarla LRP_TEST.
- Aggiungere notepad.exe al gruppo LRP nella policy LRP TEST.
- Verificare che la scansione in lettura e la scansione in scrittura sia disattivata per il gruppo LRP nella policy.
- Applicare questo policy a un endpoint di prova.
- Aprire una sessione della console su un sistema virtuale di prova e avviare notepad.exe.
- Copiare il EICAR stringa (ottenibile da https://www.eicar.org/) nella Notepad sessione di testo.
- Selezionare File, Salva con nomee salvare il file del blocco note con le seguenti impostazioni:
- Nome file: eicar.exe
- Tipo: tutti i file
- Percorso c:\temp\ (o laddove è adatto all'unità locale)
Nota Perché notepad.exe è ora nel gruppo LRP e i processi LRP non vengono sottoposti a scansione, è possibile salvare il file EICAR nel percorso specificato.
- Aprire Esplora risorse e passare alla posizione in cui è stato salvato il file.
- Provare a manipolare il file utilizzando Esplora risorse . Ad esempio, provare a copiare o rinominare il file. Si dispone ora di un trigger di rilevamento e di un messaggio di accesso negato. Questa volta il rilevamento viene attivato perché Esplora risorse è in genere nel gruppo di processi ad alto rischio. Esplora risorse è ora il processo chiamante che accede al file.
- Se si desidera confermare i dettagli del rilevamento, visualizzare il registro della scansione all'accesso.
