Depois de adicionar um processo (por exemplo,
notepad.exe) ao grupo processos de baixo risco (LRP), você deseja saber se o processo está sendo aplicado corretamente.
Para confirmar se os recursos de leitura e gravação estão desativados nas configurações de varredura deste grupo, execute as seguintes etapas:
- Criar uma cópia de uma das políticas de varredura ao acessar existentes e nomeá-la LRP_TEST.
- Adicionar notepad.exe para o grupo LRP na política LRP TEST.
- Verifique se a varredura na leitura e a varredura em gravação está desativada para o grupo LRP na política.
- Aplique essa política a um ponto de extremidade de teste.
- Abra uma seção de console em um sistema virtual de teste e inicie notepad.exe.
- Copie o EICAR Cadeia de caracteres (obtido de https://www.eicar.org/) no Notepad seção de texto.
- Selecionados Lo, Salvar comoe salve a arquivo do bloco de notas com as seguintes configurações:
- Nome do arquivo: eicar.exe
- Tipo: todos os arquivos
- Alocações c:\temp\ (ou sempre que for adequado na unidade local)
OBSERVAÇÃO: Já notepad.exe Agora está no grupo LRP e os processos do LRP não estão sendo varridos, você pode salvar a arquivo EICAR no local especificado.
- Abra Windows Explorer e navegue até o local onde você salvou o arquivo.
- Tente manipular a arquivo usando Windows Explorer. Por exemplo, tente copiar ou renomear o arquivo. Agora você tem um disparador de detecção e uma mensagem de acesso negado. A detecção é disparada desta vez porque Windows Explorer geralmente está no grupo de processos de alto risco. Windows Explorer agora é o processo de chamada que está acessando o arquivo.
- Exiba o registro da varredura ao acessar caso deseje confirmar os detalhes da detecção.
