Während des Testens von Agenten stellen Sie fest, dass ein Agent die Signatur für den E-Mail-Zugriff erkennt. Ein von dieser Signatur ausgelöstes Ereignis kann unter bestimmten Umständen alarmierend sein. Möglicherweise installieren Hacker Trojaner, die den TCP/IP-Port 25 verwenden, der in der Regel für E-Mail-Anwendungen reserviert ist. Diese Aktion würde durch die Signatur für TCP/IP-Port 25-Aktivitäten (SMTP) erkannt. Andererseits kann auch normaler E-Mail-Datenverkehr mit dieser Signatur übereinstimmen. Falls diese Signatur auftritt, müssen Sie untersuchen, welcher Prozess das Ereignis ausgelöst hat. Wenn es sich bei dem Vorgang um einen Prozess handelt, der normalerweise nicht im Zusammenhang mit E-Mails steht, wie beispielsweise Notepad.exe, müssen Sie stark davon ausgehen, dass ein Trojaner platziert wurde. Wenn der das Ereignis initiierende Prozess jedoch normalerweise für das Senden von E-Mails verantwortlich ist (Eudora, Netscape, Outlook), dann müssen Sie für dieses Ereignis eine Ausnahme erstellen.
Es kann auch vorkommen, dass Sie feststellen, dass eine bestimmte Anzahl Agenten die Signatur für Programmstarts auslösen, die darauf hinweist, dass in einem der folgenden Registrierungsschlüssel ein Wert geändert oder erstellt wurde:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
Da die in diesen Schlüsseln gespeicherten Werte Programme angeben, die beim Booten des Computers gestartet werden, kann das Erkennen dieser Signatur darauf hindeuten, dass jemand versucht, das System zu manipulieren. Es kann sich aber auch um einen harmlosen Vorgang handeln, der beispielsweise daher rührt, dass einer der Mitarbeiter auf seinem Computer RealAudio installiert. Bei der Installation von RealAudio wird der Wert RealTray in den Registrierungsschlüssel Run eingetragen.
Um zu verhindern, dass jedes Mal ein Ereignis ausgelöst wird, wenn jemand autorisierte Software installiert, müssen Sie für diese Ereignisse Ausnahmen erstellen. Danach generiert der Agent für solche autorisierten Installationen keine Ereignisse mehr.
So erstellen Sie eine ereignisbasierte Ausnahme:
Ein vorbelegtes Dialogfeld Neue Ausnahme wird geöffnet.
So erstellen Sie eine ereignisbasierte vertrauenswürdige Anwendung:
Das vorbelegte Dialogfeld Neue vertrauenswürdige Anwendung wird geöffnet.