Pour les règles du Contrôle évolutif des anomalies, il est impossible de créer plus de 1 000 exclusions. Il est déconseillé de créer plus de 200 exclusions. Pour diminuer la quantité d'exclusions utilisées, il est conseillé d'utiliser des masques dans les paramètres des exclusions.
L'exclusion pour la règle du Contrôle évolutif des anomalies contient une description des objets source et cible. L'objet source est l'objet qui exécute l'action. L'objet cible est l'objet qui subit l'action. Par exemple, vous avez ouvert le fichier file.xlsx
. Cela entraîne l'ajout dans la mémoire de l'ordinateur d'une bibliothèque portant l'extension dll utilisée par le navigateur (fichier exécutable browser.exe
). Dans l'exemple donné, file.xlsx
est l'objet source. Excel est le processus source, browser.exe
est l'objet cible et Browser, le processus cible.
Pour créer ou modifier une exclusion pour une règle du Contrôle évolutif des anomalies, procédez comme suit :
Les paramètres du module Contrôle évolutif des anomalies apparaissent dans la partie droite de la fenêtre.
La fenêtre Règle du Contrôle évolutif des anomalies s'ouvre.
La fenêtre Exclusion de la règle s'ouvre.
La fenêtre de Microsoft Windows Sélectionnez Utilisateurs ou Groupes s'ouvre.
С:\Dir\File.exe
ou Dir\*.exe
).С:\Dir\File.exe
ou Dir\*.exe
). Par exemple, le chemin d'accès au fichier document.docm
qui lance les processus cibles à l'aide d'un script ou d'une macro.Vous pouvez renseigner également d'autres objets pour l'exclusion, par exemple une adresse Internet, des macros, une commande de la ligne de commande, le chemin d'accès au registre, etc. Désignez l'objet selon le modèle suivant : object://<objet>,
où <objet>
désigne le nom de l'objet, par exemple, object://web.site.example.com
, object://VBA, object://ipconfig
, object://HKEY_USERS
. Vous pouvez également utiliser des masques, par exemple, object://*C:\Windows\temp\*
.
La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées par l'objet, ni aux processus lancés par l'objet.
С:\Dir\File.exe
ou Dir\*.exe
).object://<commande>
, par exemple, object://cmdline:powershell -Command "$result = 'C:\windows\temp\result_local_users_pwdage.txt'"
. Vous pouvez également utiliser des masques comme object://*C:\windows\temp\*
.La règle du Contrôle évolutif des anomalies ne s'applique pas aux actions exécutées sur l'objet, ni sur processus exécutés sur l'objet.