Issue:
Wir erhalten viele Ransomware-Zugriffskontrollwarnungen, die durch die Elements Endpoint Protection-Funktion DataGuard verursacht werden, die C:\Windows\System32\svchost.exe blockiert.
Was ist die Grundursache dafür?
Resolution:
Die Ransomware-Zugriffskontrolle ist eine DataGuard- Funktion, die dem Benutzer die Möglichkeit bietet, wichtige Daten vor Ransomware zu schützen. Weitere Informationen finden Sie in diesem Artikel und in dieser Hilfeanleitung .
In diesem speziellen Fall ist DataGuard für bestimmte Ordner aktiviert, um vor Ransomware zu schützen. Aus diesem Grund könnte svchost.exe (eine legitime Windows-Anwendung) versuchen, auf die in diesen Ordnern verfügbare Datei zuzugreifen, was von DataGuard sofort blockiert wird. Standardmäßig ist svchost.exe für DataGuard keine vertrauenswürdige Anwendung.
Weitere Einzelheiten zu dieser Erkennung finden Sie im Elements Endpoint Protection Portal:
- Melden Sie sich beim Elements Endpoint Protection Portal an
- Klicken Sie im Menü links auf Security Events PILOT
- Klicken Sie auf die Erkennung und Sie sehen ähnliche Details:
Anwendung C:\Windows\System32\svchost.exe
Ziel C:\Benutzer\Benutzername\Desktop\Eigene Dateien\ examplematerial.xlsx
Profilversion xxxxxxxxx
Client-Zeitstempel 30. Okt. 2020 04:51:35 Uhr
Transaktions-ID 0000-xxxxxxxxx
Dies bedeutet, dass svchost.exe versucht hat, examplematerial.xlsx zu ändern, das auf dem durch DataGuard geschützten Desktop des Benutzers gespeichert ist.
DataGuard funktioniert anders als unsere anderen Engines, da es versucht, so paranoid wie möglich zu sein (es erkennt sogar Microsoft Windows-Dateien). Dies liegt daran, dass sich einige Malware in legitime Microsoft-Dateien einschleust, was erklärt, warum DataGuard im Vergleich zu anderen Engines paranoider ist. DataGuard erlaubt nur vertrauenswürdigen Anwendungen, geschützte Dateien zu ändern. Standardmäßig ist svchost.exe keine vertrauenswürdige Anwendung.
Sie haben also nur eine Wahl: Entweder lassen Sie es so, wie es ist (was wir empfehlen) oder fügen Sie svchost.exe als vertrauenswürdige Anwendung hinzu. Wenn Sie Letzteres tun möchten, können Sie die Schritte im Hilfehandbuch befolgen.
Sie können auch den Windows-Prozessmonitor verwenden, um herauszufinden, welcher Svchost-Prozess genau versucht hat, die Datei zu ändern.
Es kann auch eine Funktion von Windows oder Drittanbietern sein, die diesen Prozess verwendet. Falls Sie diese Funktion nicht benötigen, können Sie sie deaktivieren. Dies hat jedoch nichts mit unserem Produkt zu tun. Wir blockieren lediglich den Schreibzugriff auf diese Dateien, wie es sein sollte.
Article no: 000027366
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.