Определение риска, назначаемого процессу

Осознав необходимость нескольких политик сканирования, идентифицируйте процессы и определите риск, назначаемый каждому из них.

Задача

  1. Определите используемые процессы. С помощью диспетчера задач Windows или системного монитора Windows определите, какие процессы используют больше всего времени ЦП и памяти.
  2. Определите программы, отвечающие за каждый процесс. Помните, что политике сканирования подчиняются только дочерние процессы заданного родительского процесса. Например, если исполняемый файл программы Microsoft Word, WINWORD.EXE, отнести в категорию процессов, подвергающихся высокому риску, то любые открываемые документы Microsoft Word будут проверяться в соответствии с политикой сканирования для процессов, подвергающихся высокому риску. Однако при запуске родительского процесса Microsoft Word файл WINWORD.EXE проверяется в соответствии с политикой процесса, запустившего этот файл.
  3. На основе следующих рекомендаций определите, какой риск следует назначить тому или иному процессу.
    • Малоопасный — процессы с меньшим риском внедрения или распространения потенциальной угрозы. Это могут быть процессы, обращающиеся ко многим файлам, но таким образом, что риск распространения потенциальной угрозы невысок. Например:

      Программы для резервного копирования

      Компиляция процессов

    • Подвергающийся высокому риску — процессы с более высоким риском внедрения или распространения потенциальной угрозы. Например:

      Процессы, запускающие другие процессы, например проводник Windows или командная строка.

      Процессы, выполняющие сценарии или макросы, такие как WINWORD или CSCRIPT.

      Процессы, используемые для загрузки из Интернета, например обозреватели, программы обмена мгновенными сообщениями и клиенты электронной почты.

      Note: Изначально политика для сканирования процессов, подвергающихся высокому риску, аналогична политике для процессов по умолчанию, чтобы процессы, подвергающиеся высокому риску, тщательно проверялись для обеспечения максимальной защиты. Не рекомендуется снижать уровень сканирования по умолчанию.
    • По умолчанию — все процессы, не вошедшие в категории малоопасных или подвергающихся высокому риску.