Issue:
Nous recevons de nombreuses alertes de contrôle d'accès Ransomware causées par la fonctionnalité DataGuard d'Elements Endpoint Protection, qui bloque C:\Windows\System32\svchost.exe
Quelle est la cause profonde de ce problème ?
Resolution:
Le contrôle d'accès aux ransomwares est une fonctionnalité de DataGuard qui permet à l'utilisateur de protéger ses données importantes contre les ransomware. Vous trouverez plus d'informations dans cet article et dans ce guide d'aide .
Dans ce cas particulier, DataGuard est activé pour des dossiers spécifiques afin de se protéger contre les ransomware. À partir de là, svchost.exe (une application Windows légitime) peut essayer d'accéder au fichier disponible dans ces dossiers, qui est immédiatement bloqué par DataGuard. Par défaut, svchost.exe n'est pas une application approuvée par DataGuard.
Vous pouvez trouver plus de détails sur cette détection sur le portail Elements Endpoint Protection :
- Connectez-vous au portail Elements Endpoint Protection
- Dans le menu de gauche, cliquez sur Événements de sécurité PILOTE
- Cliquez sur la détection et vous verrez des détails similaires :
Application C:\Windows\System32\svchost.exe
Cible C:\Users\Username\Desktop\Mes documents\ examplematerial.xlsx
Version du profil xxxxxxxxxx
Horodatage du client 30 oct. 2020 04:51:35
ID de transaction 0000-xxxxxxxxx
Cela signifie que svchost.exe a essayé de modifier examplematerial.xlsx qui est enregistré sur le bureau des utilisateurs protégé par DataGuard.
DataGuard fonctionne différemment de nos autres moteurs, car il essaie d'être aussi paranoïaque que possible (même en détectant les fichiers Microsoft Windows). En effet, certains malwares s'injectent dans des fichiers Microsoft légitimes, ce qui explique pourquoi DataGuard est plus paranoïaque que les autres moteurs. DataGuard autorise uniquement les applications de confiance à modifier les fichiers protégés. Par défaut, svchost.exe n'est pas une application de confiance.
Il ne vous reste donc qu'un seul choix : soit le laisser tel quel (ce que nous recommandons), soit ajouter svchost.exe comme application de confiance. Si vous souhaitez faire ce dernier choix, vous pouvez suivre les étapes du Guide d'aide .
Vous pouvez également utiliser le moniteur de processus Windows pour déterminer quel processus svchost a exactement essayé de modifier le fichier.
Il peut également s'agir d'une fonctionnalité Windows ou tierce utilisant ce processus, et si vous n'en avez pas besoin, vous pouvez le désactiver, mais cela n'a rien à voir avec notre produit - nous bloquons simplement l'accès en écriture à ces fichiers comme nous le devrions
Article no: 000027366
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.