Pour les règles du Contrôle évolutif des anomalies, il est impossible de créer plus de 1 000 exclusions. Il est déconseillé de créer plus de 200 exclusions. Pour diminuer la quantité d'exclusions utilisées, il est conseillé d'utiliser des masques dans les paramètres des exclusions.
L'exclusion pour la règle du Contrôle évolutif des anomalies contient une description des objets source et cible. L'objet source est l'objet qui exécute l'action. L'objet cible est l'objet qui subit l'action. Par exemple, vous avez ouvert le fichier file.xlsx
. Par conséquent, un fichier de bibliothèque avec l'extension DLL est chargé dans la mémoire de l'ordinateur. Cette bibliothèque est utilisée par un navigateur (fichier exécutable intitulé browser.exe
). Dans l'exemple donné, file.xlsx
est l'objet source. Excel est le processus source, browser.exe
est l'objet cible et Browser, le processus cible.
Pour créer ou modifier une exclusion pour une règle du Contrôle évolutif des anomalies, procédez comme suit :
Les paramètres du module Contrôle évolutif des anomalies apparaissent dans la partie droite de la fenêtre.
La fenêtre Règle du Contrôle évolutif des anomalies s'ouvre.
La fenêtre Exclusion de la règle s'ouvre.
La fenêtre de Microsoft Windows Sélectionnez Utilisateurs ou Groupes s'ouvre.
С:\Dir\File.exe
ou Dir\*.exe
).С:\Dir\File.exe
ou Dir\*.exe
). Par exemple, le chemin d'accès au fichier document.docm
qui lance les processus cibles à l'aide d'un script ou d'une macro.Vous pouvez renseigner également d'autres objets pour l'exclusion, par exemple une adresse Internet, des macros, une commande de la ligne de commande, le chemin d'accès au registre, etc. Désignez l'objet selon le modèle suivant : object://<objet>,
où <objet>
désigne le nom de l'objet, par exemple, object://web.site.example.com
, object://VBA, object://ipconfig
, object://HKEY_USERS
. Vous pouvez également utiliser des masques, par exemple, object://*C:\Windows\temp\*
.
La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées par l'objet, ni aux processus lancés par l'objet.
С:\Dir\File.exe
ou Dir\*.exe
).object://<commande>
, par exemple, object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage.txt'"
. Vous pouvez également utiliser des masques comme object://*C:\windows\temp\*
.La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées sur l'objet, ni sur processus exécutés sur l'objet.