TM WFBS - Problem mit dem Ausschluss einer Datei

Ich habe hier ein Problem mit Trend Micro WFBS in der Version 10.0 SP1 Build 2368.

Auf einem Server läuft ein Dienst, der Daten verschlüsselt um sie dann zu versenden. Sobald das verschlüsseln beginnt, greift das Behavior Monitoring ein, beendet den Prozess (also den Dienst) und löscht die entsprechende .exe Datei. Das ist soweit in Ordnung. Nun gehört der Dienst aber nachweislich zu den Guten und so habe ich ihn in die Zulassungslisten eingetragen. Genau unter "Devices -> Server (der Server steht da auch drin) -> Configure Policy -> Behavior Monitoring -> Approved Program List" Da steht der Name der .exe Datei und der Pfad. Also "C:\Verzeichnis\dienst.exe" So, wie er in den Eigenschaften des Dienstes erwähnt ist und auch in der "Erfolgsmeldung" von WFBS erwähnt ist.

Genau so steht er auch unter "Devices -> Server -> Configure Policy -> Trusted Program und unter "Devices -> Server -> Configure Policy -> Antivirus/Anti-spyware -> Do not scan the following files:

Trotz all dieser Einträge wird der Dienst jedes mal wieder gekillt. Zwischen der Änderung der Konfiguration und der Ermordung des Dienstes liegen mehrere Stunden oder auch Tage. Auch ein Serverneustart und ein manuell ausgelöstes Clientupdate brachten keinen Erfolg. Ich habe bei Trend Micro einen Call aufgemacht. Die haben mir die genannten Einträge als Lösung angeboten. Als das nichts brachte haben Sie mir geraten mal testweise das Behavior Monitoring und den RealTime Scan abzuschalten. Das Dumme ist, das nur alle paar Tage manchmal sogar Wochen daten zum Verschlüsseln anfallen und niemand vorhersehen kann, wann das soweit ist. Und ich möchte ungern einen derart kastrierten Scanner über mehrere Tage oder Wochen im Einsatz haben.

Ich bräuchte also eine Idee, was man noch versuchen könnte. Oder gibt es noch eine Stelle, wo man auszuschliessende Dateien eintragen muss?

Immer wieder überraschend wie man sich an einer solchen "Kleinigkeit" die Zähne ausbeissen kann. Es ist wohl wirklich so, das der Teufel aussieht wie ein Eichhörnchen.

Danke fürs Lesen

Content-Key: 1724337966

Url: https://administrator.de/contentid/1724337966

Ausgedruckt am: 28.01.2022 um 10:01 Uhr

Mitglied: ArnoNymous
ArnoNymous 16.01.2022 um 14:59:25 Uhr
Goto Top
Moin,

so konfiguriere ich das bisher auch immer - erfoglreich.
Eine Möglichkeit wäre noch unter Administration>Allgemeine Einstellungen>Ausnahmen>Prozessausnahmeliste

Oder sind es eventuell die Clients, die den Prozess auslösen? Dann hier auch mal die Ausnahmen konfigurieren.

Gruß
Mitglied: Melvin.van.Horne
Melvin.van.Horne 22.01.2022 um 00:08:41 Uhr
Goto Top
Hallo,

zuerst mal danke für die Antwort. Ich musste erst ein wenig warten um zu sehen ob es zum Erfolg geführt hat die .exe des Dienstes in die Prozessausnahmeliste zu setzen. Hat es nicht. Ich habe die Aktion des Dienstes mal auf eine Zeit gelegt, in der keine Clients aktiv sind. Das brachte auch nichts. Auch dann wird der Dienst beendet und die .exe in die Quarantäne verschoben.


So langsam gehen mir die Ideen aus.
Heiß diskutierte Beiträge
general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic35 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 22 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Vorkehrungen für einen StromausfallahussainVor 22 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...