O que é instalado para os DLP Agents instalados em endpoints Windows
A instalação do DLP Agent coloca uma série de componentes nos endpoints. Não desative nem modifique nenhum desses componentes, ou o DLP Agent pode não funcionar corretamente.
Componente | Descrição |
|---|---|
Driver ( vfsmfd.sys ) | Detecta qualquer atividade no sistema de arquivos do endpoint (incluindo a atividade no Citrix XenApp e XenDesktop) e transmite as informações para o serviço do DLP Agent. Este driver é instalado em <Windows_dir> \System64\driversc:\windows\System64\drivers . Todos os outros arquivos do agente são instalados no diretório de instalação do agente. |
Driver ( vnwcd.sys ) | Intercepta o tráfego de rede (protocolos HTTP, FTP e IM) no endpoint. Depois que o agente do Symantec Data Loss Prevention analisa o conteúdo, o driver vnwcd.sys permite ou bloqueia a transferência de dados pela rede.Este driver é instalado em <Windows_dir> \System64\driversc:\windows\System64\drivers . Todos os outros arquivos do agente são instalados no diretório de instalação do agente. |
Driver ( vrtam.sys ) | Monitora a criação e a destruição do processo e envia notificações ao DLP Agent. O driver monitora os aplicativos que são configurados como parte do monitoramento de aplicativos; por exemplo, aplicativos de CD/DVD. Este driver é instalado em <Windows_dir> \System64\driversc:\windows\System64\drivers . Todos os outros arquivos do agente são instalados no diretório de instalação do agente. |
Serviço do Symantec DLP Agent | Recebe todas as informações do driver e as transmite ao Endpoint Server. Durante a instalação, o DLP Agent é listado no gerenciador de tarefas como edpa.exe . Os usuários são impedidos de interromper ou excluir esse serviço na respectiva estação de trabalho. |
Serviço de vigilância | Verifica automaticamente se o DLP Agent está em execução. Se o DLP Agent foi interrompido, o serviço de vigilância o reiniciará. Se o serviço de vigilância foi interrompido, o serviço do DLP Agent o reiniciará. Os usuários são impedidos de interromper ou excluir esse serviço. |
O serviço do DLP Agent cria os seguintes arquivos:
- Dois arquivos de log (edpa.logeedpa_ext0.log), criados no diretório de instalação.
- Cada DLP Agent mantém um banco de dados criptografado no endpoint chamado armazenamento do DLP Agent. O armazenamento do DLP Agent salva os metadados de solicitação de duas camadas, as informações do incidente e o arquivo original que acionou o incidente, se necessário. Dependendo dos métodos de detecção usados, o DLP Agent analisa o conteúdo localmente ou o envia ao Endpoint Server para análise. Sobre o armazenamento do DLP Agent
- Um banco de dados chamadorrc.eadé instalado para manter e conter entradas que não correspondem para RRC (Rules Results Caching - Armazenamento em Cache dos Resultados das Regras). Sobre o armazenamento em cache dos resultados de regras (RRC)