Issue:
Wir erhalten zahlreiche Ransomware-Zugriffskontrollwarnungen, die durch die Elements Endpoint Protection-Funktion DataGuard verursacht werden, die C:\Windows\System32\svchost.exe blockiert
Was ist die Ursache dafür?
Resolution:
Die Ransomware-Zugriffskontrolle ist eine DataGuard- Funktion, die dem Benutzer die Möglichkeit gibt, wichtige Daten vor Ransomware zu schützen. Weitere Informationen finden Sie in diesem Artikel und in dieser Hilfe .
In diesem speziellen Fall ist DataGuard für bestimmte Ordner zum Schutz vor Ransomware aktiviert. Aus diesem Grund könnte svchost.exe (eine legitime Windows-Anwendung) versuchen, auf die in diesen Ordnern verfügbare Datei zuzugreifen, was jedoch sofort von DataGuard blockiert wird. Standardmäßig ist svchost.exe keine vertrauenswürdige Anwendung von DataGuard.
Weitere Details zu dieser Erkennung finden Sie im Elements Endpoint Protection Portal:
- Melden Sie sich beim Elements Endpoint Protection Portal an
- Klicken Sie im Menü auf der linken Seite auf Security Events PILOT
- Klicken Sie auf die Erkennung und Sie sehen ähnliche Details:
Ziel C:\Benutzer\Benutzername\Desktop\Eigene Dateien\ examplematerial.xlsx
Profilversion xxxxxxxxx
Client-Zeitstempel 30. Okt. 2020 04:51:35 Uhr
Transaktions-ID 0000-xxxxxxxxx
DataGuard funktioniert anders als unsere anderen Engines, da es versucht, so paranoid wie möglich zu sein (sogar Microsoft Windows-Dateien zu erkennen). Dies liegt daran, dass einige Malware-Programme in legitime Microsoft-Dateien eindringen, was erklärt, warum DataGuard im Vergleich zu anderen Engines paranoider ist. DataGuard erlaubt nur vertrauenswürdigen Anwendungen, geschützte Dateien zu ändern. Standardmäßig ist svchost.exe keine vertrauenswürdige Anwendung.
Damit bleibt Ihnen nur noch die Wahl, es entweder so zu belassen (was wir empfehlen) oder svchost.exe als vertrauenswürdige Anwendung hinzuzufügen. Wenn Sie Letzteres tun möchten, können Sie den Schritten im Hilfeleitfaden folgen.
Sie können auch den Windows-Prozessmonitor verwenden, um herauszufinden, welcher Svchost-Prozess genau versucht hat, die Datei zu ändern.
Es kann sich auch um eine Funktion von Windows oder einem Drittanbieter handeln, die diesen Prozess nutzt. Falls Sie sie nicht benötigen, können Sie sie deaktivieren, aber das hat nichts mit unserem Produkt zu tun – wir blockieren lediglich den Schreibzugriff auf diese Dateien, wie wir sollten
Article no: 000027366
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.