112712
Jan 14, 2022
2039
4
0
TM WFBS - Problem mit dem Ausschluss einer Datei
Ich habe hier ein Problem mit Trend Micro WFBS in der Version 10.0 SP1 Build 2368.
Auf einem Server läuft ein Dienst, der Daten verschlüsselt um sie dann zu versenden. Sobald das verschlüsseln beginnt, greift das Behavior Monitoring ein, beendet den Prozess (also den Dienst) und löscht die entsprechende .exe Datei. Das ist soweit in Ordnung. Nun gehört der Dienst aber nachweislich zu den Guten und so habe ich ihn in die Zulassungslisten eingetragen. Genau unter "Devices -> Server (der Server steht da auch drin) -> Configure Policy -> Behavior Monitoring -> Approved Program List" Da steht der Name der .exe Datei und der Pfad. Also "C:\Verzeichnis\dienst.exe" So, wie er in den Eigenschaften des Dienstes erwähnt ist und auch in der "Erfolgsmeldung" von WFBS erwähnt ist.
Genau so steht er auch unter "Devices -> Server -> Configure Policy -> Trusted Program und unter "Devices -> Server -> Configure Policy -> Antivirus/Anti-spyware -> Do not scan the following files:
Trotz all dieser Einträge wird der Dienst jedes mal wieder gekillt. Zwischen der Änderung der Konfiguration und der Ermordung des Dienstes liegen mehrere Stunden oder auch Tage. Auch ein Serverneustart und ein manuell ausgelöstes Clientupdate brachten keinen Erfolg. Ich habe bei Trend Micro einen Call aufgemacht. Die haben mir die genannten Einträge als Lösung angeboten. Als das nichts brachte haben Sie mir geraten mal testweise das Behavior Monitoring und den RealTime Scan abzuschalten. Das Dumme ist, das nur alle paar Tage manchmal sogar Wochen daten zum Verschlüsseln anfallen und niemand vorhersehen kann, wann das soweit ist. Und ich möchte ungern einen derart kastrierten Scanner über mehrere Tage oder Wochen im Einsatz haben.
Ich bräuchte also eine Idee, was man noch versuchen könnte. Oder gibt es noch eine Stelle, wo man auszuschliessende Dateien eintragen muss?
Immer wieder überraschend wie man sich an einer solchen "Kleinigkeit" die Zähne ausbeissen kann. Es ist wohl wirklich so, das der Teufel aussieht wie ein Eichhörnchen.
Danke fürs Lesen
Auf einem Server läuft ein Dienst, der Daten verschlüsselt um sie dann zu versenden. Sobald das verschlüsseln beginnt, greift das Behavior Monitoring ein, beendet den Prozess (also den Dienst) und löscht die entsprechende .exe Datei. Das ist soweit in Ordnung. Nun gehört der Dienst aber nachweislich zu den Guten und so habe ich ihn in die Zulassungslisten eingetragen. Genau unter "Devices -> Server (der Server steht da auch drin) -> Configure Policy -> Behavior Monitoring -> Approved Program List" Da steht der Name der .exe Datei und der Pfad. Also "C:\Verzeichnis\dienst.exe" So, wie er in den Eigenschaften des Dienstes erwähnt ist und auch in der "Erfolgsmeldung" von WFBS erwähnt ist.
Genau so steht er auch unter "Devices -> Server -> Configure Policy -> Trusted Program und unter "Devices -> Server -> Configure Policy -> Antivirus/Anti-spyware -> Do not scan the following files:
Trotz all dieser Einträge wird der Dienst jedes mal wieder gekillt. Zwischen der Änderung der Konfiguration und der Ermordung des Dienstes liegen mehrere Stunden oder auch Tage. Auch ein Serverneustart und ein manuell ausgelöstes Clientupdate brachten keinen Erfolg. Ich habe bei Trend Micro einen Call aufgemacht. Die haben mir die genannten Einträge als Lösung angeboten. Als das nichts brachte haben Sie mir geraten mal testweise das Behavior Monitoring und den RealTime Scan abzuschalten. Das Dumme ist, das nur alle paar Tage manchmal sogar Wochen daten zum Verschlüsseln anfallen und niemand vorhersehen kann, wann das soweit ist. Und ich möchte ungern einen derart kastrierten Scanner über mehrere Tage oder Wochen im Einsatz haben.
Ich bräuchte also eine Idee, was man noch versuchen könnte. Oder gibt es noch eine Stelle, wo man auszuschliessende Dateien eintragen muss?
Immer wieder überraschend wie man sich an einer solchen "Kleinigkeit" die Zähne ausbeissen kann. Es ist wohl wirklich so, das der Teufel aussieht wie ein Eichhörnchen.
Danke fürs Lesen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1724337966
Url: https://administrator.de/contentid/1724337966
Printed on: April 27, 2024 at 20:04 o'clock
4 Comments
Latest comment
Moin,
so konfiguriere ich das bisher auch immer - erfoglreich.
Eine Möglichkeit wäre noch unter Administration>Allgemeine Einstellungen>Ausnahmen>Prozessausnahmeliste
Oder sind es eventuell die Clients, die den Prozess auslösen? Dann hier auch mal die Ausnahmen konfigurieren.
Gruß
so konfiguriere ich das bisher auch immer - erfoglreich.
Eine Möglichkeit wäre noch unter Administration>Allgemeine Einstellungen>Ausnahmen>Prozessausnahmeliste
Oder sind es eventuell die Clients, die den Prozess auslösen? Dann hier auch mal die Ausnahmen konfigurieren.
Gruß
Hallo,
zuerst mal danke für die Antwort. Ich musste erst ein wenig warten um zu sehen ob es zum Erfolg geführt hat die .exe des Dienstes in die Prozessausnahmeliste zu setzen. Hat es nicht. Ich habe die Aktion des Dienstes mal auf eine Zeit gelegt, in der keine Clients aktiv sind. Das brachte auch nichts. Auch dann wird der Dienst beendet und die .exe in die Quarantäne verschoben.
So langsam gehen mir die Ideen aus.
zuerst mal danke für die Antwort. Ich musste erst ein wenig warten um zu sehen ob es zum Erfolg geführt hat die .exe des Dienstes in die Prozessausnahmeliste zu setzen. Hat es nicht. Ich habe die Aktion des Dienstes mal auf eine Zeit gelegt, in der keine Clients aktiv sind. Das brachte auch nichts. Auch dann wird der Dienst beendet und die .exe in die Quarantäne verschoben.
So langsam gehen mir die Ideen aus.
Das Thema ist zwar schon etwas älter. Es gibt aber eine Neuigkeit. Nachdem selbst der Support aufgegeben hat und ich mir mit einer Aufgabe, die die .exe Datei des Dienstes wiederherstellt geholfen habe um wenigstens die Aufgaben des Dienstes die keine Verschlüsselung erfordern und also auch kein Eingreifen des Scanners auslösen, scheint es nun zu funktionieren.
Ich habe das Update auf die 2390 durchgeführt. Und seitdem funktioniert es. Die Daten werden automatisch verschlüsselt und verschickt. Ob es nun eine Änderung im Programm gab oder ob fehlerhafte Einträge durch das Patch korrigiert wurden, kann ich allerdings nicht sagen. In der Beschreibung des Patches habe ich nichts entsprechendes gefunden.
Ich habe das Update auf die 2390 durchgeführt. Und seitdem funktioniert es. Die Daten werden automatisch verschlüsselt und verschickt. Ob es nun eine Änderung im Programm gab oder ob fehlerhafte Einträge durch das Patch korrigiert wurden, kann ich allerdings nicht sagen. In der Beschreibung des Patches habe ich nichts entsprechendes gefunden.
Danke für die Rückmeldung.
