112712
Jan 14, 2022
2039
4
0
TM WFBS - Problem mit dem Ausschluss einer Datei
Ich habe hier ein Problem mit Trend Micro WFBS in der Version 10.0 SP1 Build 2368.
Auf einem Server läuft ein Dienst, der Daten verschlüsselt um sie dann zu versenden. Sobald das verschlüsseln beginnt, greift das Behavior Monitoring ein, beendet den Prozess (also den Dienst) und löscht die entsprechende .exe Datei. Das ist soweit in Ordnung. Nun gehört der Dienst aber nachweislich zu den Guten und so habe ich ihn in die Zulassungslisten eingetragen. Genau unter "Devices -> Server (der Server steht da auch drin) -> Configure Policy -> Behavior Monitoring -> Approved Program List" Da steht der Name der .exe Datei und der Pfad. Also "C:\Verzeichnis\dienst.exe" So, wie er in den Eigenschaften des Dienstes erwähnt ist und auch in der "Erfolgsmeldung" von WFBS erwähnt ist.
Genau so steht er auch unter "Devices -> Server -> Configure Policy -> Trusted Program und unter "Devices -> Server -> Configure Policy -> Antivirus/Anti-spyware -> Do not scan the following files:
Trotz all dieser Einträge wird der Dienst jedes mal wieder gekillt. Zwischen der Änderung der Konfiguration und der Ermordung des Dienstes liegen mehrere Stunden oder auch Tage. Auch ein Serverneustart und ein manuell ausgelöstes Clientupdate brachten keinen Erfolg. Ich habe bei Trend Micro einen Call aufgemacht. Die haben mir die genannten Einträge als Lösung angeboten. Als das nichts brachte haben Sie mir geraten mal testweise das Behavior Monitoring und den RealTime Scan abzuschalten. Das Dumme ist, das nur alle paar Tage manchmal sogar Wochen daten zum Verschlüsseln anfallen und niemand vorhersehen kann, wann das soweit ist. Und ich möchte ungern einen derart kastrierten Scanner über mehrere Tage oder Wochen im Einsatz haben.
Ich bräuchte also eine Idee, was man noch versuchen könnte. Oder gibt es noch eine Stelle, wo man auszuschliessende Dateien eintragen muss?
Immer wieder überraschend wie man sich an einer solchen "Kleinigkeit" die Zähne ausbeissen kann. Es ist wohl wirklich so, das der Teufel aussieht wie ein Eichhörnchen.
Danke fürs Lesen
Auf einem Server läuft ein Dienst, der Daten verschlüsselt um sie dann zu versenden. Sobald das verschlüsseln beginnt, greift das Behavior Monitoring ein, beendet den Prozess (also den Dienst) und löscht die entsprechende .exe Datei. Das ist soweit in Ordnung. Nun gehört der Dienst aber nachweislich zu den Guten und so habe ich ihn in die Zulassungslisten eingetragen. Genau unter "Devices -> Server (der Server steht da auch drin) -> Configure Policy -> Behavior Monitoring -> Approved Program List" Da steht der Name der .exe Datei und der Pfad. Also "C:\Verzeichnis\dienst.exe" So, wie er in den Eigenschaften des Dienstes erwähnt ist und auch in der "Erfolgsmeldung" von WFBS erwähnt ist.
Genau so steht er auch unter "Devices -> Server -> Configure Policy -> Trusted Program und unter "Devices -> Server -> Configure Policy -> Antivirus/Anti-spyware -> Do not scan the following files:
Trotz all dieser Einträge wird der Dienst jedes mal wieder gekillt. Zwischen der Änderung der Konfiguration und der Ermordung des Dienstes liegen mehrere Stunden oder auch Tage. Auch ein Serverneustart und ein manuell ausgelöstes Clientupdate brachten keinen Erfolg. Ich habe bei Trend Micro einen Call aufgemacht. Die haben mir die genannten Einträge als Lösung angeboten. Als das nichts brachte haben Sie mir geraten mal testweise das Behavior Monitoring und den RealTime Scan abzuschalten. Das Dumme ist, das nur alle paar Tage manchmal sogar Wochen daten zum Verschlüsseln anfallen und niemand vorhersehen kann, wann das soweit ist. Und ich möchte ungern einen derart kastrierten Scanner über mehrere Tage oder Wochen im Einsatz haben.
Ich bräuchte also eine Idee, was man noch versuchen könnte. Oder gibt es noch eine Stelle, wo man auszuschliessende Dateien eintragen muss?
Immer wieder überraschend wie man sich an einer solchen "Kleinigkeit" die Zähne ausbeissen kann. Es ist wohl wirklich so, das der Teufel aussieht wie ein Eichhörnchen.
Danke fürs Lesen
Please also mark the comments that contributed to the solution of the article
Content-Key: 1724337966
Url: https://administrator.de/contentid/1724337966
Printed on: April 27, 2024 at 20:04 o'clock
4 Comments
Latest comment