액세스 보호 기능의 구성을 활성화하거나 변경하여 안티스파이웨어 보호, 안티바이러스 보호, 일반적인 보호, 가상 시스템 보호를 구성하고 자체적인 보호 규칙을 정의할 수 있습니다. 다음은 VirusScan Enterprise가 액세스 보호를 제공하기 위해 사용하는 기본 프로세스입니다.
위협이 발생할 때 취하는 단계
- 사용자 또는 프로세스가 액션을 취합니다.
- 이 액션은 정의된 규칙에 따라 액세스 보호에 의해 검사됩니다.
- 규칙이 위반되면 사용자 또는 프로세스가 요청한 액션이, 구성된 규칙의 정보를 사용하여 관리됩니다. 예를 들어, 이 액션으로 인해 아무것도 발생하지 않거나, 차단되거나 또는 차단되고 보고서가 전송됩니다.
- 액세스 보호 로그 파일이 업데이트되고 ePolicy Orchestrator 글로벌 관리자를 위한 이벤트가 생성됩니다.
액세스 위협의 예제
- 사용자가 인터넷에서 MyProgram.exe 프로그램을 다운로드합니다.
주: 이 예제에서 MyProgram.exe는 악성 프로그램이 아닙니다.
- 사용자가 프로그램을 시작하고 제대로 시작되는 것처럼 보입니다.
- MyProgram.exe는 AnnoyMe.exe라는 하위 프로세스를 시작하고 시작할 때 항상 로드될 수 있도록 운영 체제를 수정하려고 시도합니다.
- 액세스 보호는 요청을 처리한 다음 차단하고 보고하도록 구성된 기존 규칙과 일치하는지 확인합니다.
- AnnoyMe.exe가 운영 체제를 수정하려고 시도하면 액세스가 거부되고, 액세스 보호는 이 시도에 대한 세부 정보를 기록하며 ePolicy Orchestrator 글로벌 관리자에게 이를 경고합니다.
로그 보고서 및 경고 생성
다음은 액세스 보호 로그 항목 예제입니다.
2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Prevent programs registering to autorun
다음 표는 이전 액세스 보호 로그 항목의 데이터를 설명합니다.
로그 항목
|
설명
|
2/10/2010
|
날짜
|
11:00AM
|
시간
|
액세스 보호 규칙에 의해 차단되었습니다.
|
취한 액션
|
TestDomain\TestUser
|
자격 증명
|
C:\Users\TestUser\Desktop\AnnoyMe.exe
|
규칙을 위반한 프로세스 이름
|
\REGISTRY\MACHINE\SOFTWARE\Microsoft...
|
프로세스가 액세스를 시도한 위치
|
자동 실행 프로그램으로 등록 방지
|
트리거된 액세스 보호 규칙
|
|
비슷한 정보를 ePolicy Orchestrator 쿼리를 통해 사용할 수 있습니다. 자세한 내용은 쿼리 및 대시보드 액세스를 참조하십시오.