Sys-Admin Forum

SYMANTEC TAMPER PROTECTION ALERT

На одной из машин стало появляться сообщение вида:

SYMANTEC TAMPER PROTECTION ALERT

Target: Symantec.EraserSvc.SingleAccess
Event Info: Create Internal Mutex
Action Taken: Logged
Actor Process: c:\windows\system32\rundll32.exe (PID 5744)

Symantec рекомендует:
а. Добавить в исключение данный файл;
б. Отключить Tamper Protection;

решения на мой взгляд смешные, так как на неуправляемом клиенте исключения для Tamper Protection не делаются т.е. исключив rundll32.exe тем самым я обрекаю этот файл на “верную гибель”? А второе решение, зачем тогда вообще нужен этот Tamper?

Это может работать на управляемом клиенте так как исключение можно сделать в настройках политик сервера управления.

На сервере управления можно добавить следующим образом:

SEPM - Policy - Centralized Exceptions
Далее добавить файл в выпадающем списке выбрать Tamper Protection Exception

В прикрепленном скриншоте все видно :wink: