Настройка параметров компонента Защита от файловых угроз
03 июля 2024
ID 271406
Для настройки параметров компонента Защита от файловых угроз требуются права роли Администратор ИБ.
Чтобы настроить параметры компонента Защита от файловых угроз:
- В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на кнопку Параметры.
Откроется окно настройки параметров компонента Защита от файловых угроз.
- В блоке Режим файлового перехватчика выберите один из следующих режимов проверки объектов:
- Аудит – решение проверяет и осуществляет учет содержимого объектов.
- Блокирование – решение блокирует все объекты, которые не соответствуют установленным правилам и критериям.
- В блоке Режим сканирования выберите одно из следующих значений режима Защиты от файловых угроз:
- Интеллектуальный режим (значение по умолчанию) – проверять файл при попытке открытия и проверять его повторно при попытке закрытия, если файл был изменен. Если процесс в течение определенного времени многократно обращается к файлу и изменяет его, решение повторно проверяет файл только при последнем закрытии файла этим процессом.
- При открытии и изменении – проверять файл при попытке открытия и проверять его повторно при попытке закрытия, если файл был изменен.
- При открытии – проверять файл при попытке открытия на чтение, исполнение или изменение.
- В блоке Действия с обнаруженными объектами в раскрывающихся списках выберите следующее:
- Первое действие, которое компонент Защита от файловых угроз будет выполнять над обнаруженным зараженным объектом:
- Выполнять рекомендованное действие над объектом на основе данных об уровне опасности угрозы, обнаруженной в файле, и возможности его лечения (значение по умолчанию).
Например, сразу удаляются троянские программы, так как они не заражают другие файлы и поэтому не предполагают лечения.
- Лечить объект. Копия зараженного объекта будет помещена в резервное хранилище.
- Блокировать доступ к объекту.
- Удалять объект. Копия зараженного объекта будет помещена в резервное хранилище.
- Выполнять рекомендованное действие над объектом на основе данных об уровне опасности угрозы, обнаруженной в файле, и возможности его лечения (значение по умолчанию).
- Второе действие, которое компонент Защита от файловых угроз будет выполнять над обнаруженным зараженным объектом, если не удастся выполнить первое действие:
- Выполнять рекомендованное действие над объектом на основе данных об уровне опасности угрозы, обнаруженной в файле, и возможности его лечения (значение по умолчанию).
- Лечить объект. Копия зараженного объекта будет помещена в резервное хранилище.
- Блокировать доступ к объекту.
- Удалять объект. Копия зараженного объекта будет помещена в резервное хранилище.
Рекомендуется указывать оба действия с обнаруженными объектами.
При выборе действий с обнаруженными объектами необходимо учитывать следующее:
- Если в качестве первого действия выбрано Блокировать или Удалять, то второе действие указывать не нужно.
- Если второе действие не выбрано, по умолчанию выполняется действие Блокировать.
- Если в применимой политике среды выполнения выбран режим применения Аудит, действия с обнаруженными объектами не выполняются.
- Первое действие, которое компонент Защита от файловых угроз будет выполнять над обнаруженным зараженным объектом:
- В блоке Области проверки с помощью установки флажков определите области проверки, содержащие файлы и директории для сканирования. Если флажок установлен, решение проверяет выбранные объекты. Вы можете выбрать одну или несколько областей проверки из следующего списка:
- Проверять архивы – флажок включает или выключает проверку архивов. По умолчанию флажок снят, и решение не проверяет архивы.
Решение проверяет архивы в таких форматах как .ZIP, .7Z*, .7-Z, .RAR, .ISO, .CAB, .JAR, .BZ, .BZ2, .TBZ, .TBZ2, .GZ, .TGZ, .ARJ, а также самораспаковывающиеся архивы в формате .SFX. Список поддерживаемых форматов архивов зависит от используемых баз.
Если проверка архивов включена, а в качестве первого действия с обнаруженным объектом установлено Выполнять рекомендованное действие, то в зависимости от типа архива решение удаляет зараженный объект или весь архив, содержащий угрозу.
Вы можете определить охват проверки архивов, указав Самораспаковывающиеся архивы или Все архивы. Если вы выбираете проверку самораспаковывающихся архивов, решение проверяет только архивы, которые имеют в своем составе исполняемый модуль-распаковщик.
Для проверки решению сначала требуется распаковать архив, что может замедлить проверку. Вы можете сократить продолжительность проверки архивов, включив и настроив параметры Пропускать файл, если его проверка длится более (сек.) и Пропускать файл, если его размер более (МБ).
- Проверять почтовые базы – флажок включает или выключает проверку почтовых баз приложений Microsoft Outlook, Outlook Express, The Bat! и других почтовых клиентов. По умолчанию флажок снят, и решение не проверяет файлы почтовых баз.
- Проверять файлы почтовых форматов – флажок включает или выключает проверку файлов сообщений электронной почты в текстовом формате. По умолчанию флажок снят, и решение не проверяет сообщения в текстовом формате.
- Пропускать текстовые файлы – флажок включает или временно выключает проверку файлов в текстовом формате, если они повторно используются тем же процессом в течение 10 минут после последней проверки. Параметр позволяет оптимизировать проверку журналов работы приложений. По умолчанию флажок снят, и решение не проверяет текстовые файлы.
- Пропускать объект, если его размер более (МБ) – флажок включает или выключает проверку объектов с установленным максимальным размером (в мегабайтах). Если размер проверяемого объекта превышает указанное значение, решение пропускает объект при проверке.
Доступные значения: 0–999999. Если установлено значение 0, решение проверяет файлы любого размера.
Значение по умолчанию: 0.
- Пропускать объект, если его проверка длится более (сек.) – флажок включает или выключает проверку объектов с установленным максимальным временем проверки файла в секундах. После истечения указанного времени решение прекращает проверку файла.
Доступные значения: 0–9999. Если указано значение 0, время проверки не ограничено.
Значение по умолчанию: 60.
- Проверять архивы – флажок включает или выключает проверку архивов. По умолчанию флажок снят, и решение не проверяет архивы.
- В блоке Технологии с помощью установки флажков определите технологию, которую решение будет использовать для проверки объектов. Вы можете выбрать один из следующих вариантов:
- Использовать технологию iChecker – флажок включает или выключает проверку только новых файлов и файлов, измененных с момента последней проверки. iChecker представляет собой способ сканирования, который уменьшает общее время выполнения сканирования за счет частичного пропуска сканирования ранее просканированных файлов, которые не изменялись после проведенной проверки.
Если флажок установлен, решение проверяет только новые и измененные с момента последней проверки файлы. Если флажок снят, решение проверяет файлы, не учитывая даты создания и изменения.
По умолчанию флажок установлен.
- Использовать эвристический анализ – флажок включает или выключает использование эвристического анализа при проверке объектов. Эвристический анализ позволяет решению распознавать угрозы безопасности до того, как они станут известны аналитикам вредоносного ПО.
По умолчанию флажок установлен.
Если флажок Использовать эвристический анализ установлен, вы можете выбрать уровень эвристического анализа. Установленный уровень эвристического анализа обеспечивает баланс между тщательностью поиска угроз безопасности, степенью загрузки ресурсов операционной системы и длительностью проверки. Чем выше установленный уровень эвристического анализа, тем больше ресурсов потребует проверка и больше времени займет. Вы можете выбрать один из следующих вариантов:
- Рекомендованный (значение по умолчанию) – оптимальный уровень, рекомендуемый специалистами "Лаборатории Касперского". Он обеспечивает оптимальное сочетание качества защиты и влияния на производительность защищаемых серверов.
- Поверхностный – наименее детализированная проверка, минимальная нагрузка на систему.
- Средний – средняя детализация при проверке, сбалансированная нагрузка на систему.
- Глубокий – наиболее детализированная проверка, максимальная нагрузка на систему.
- Использовать технологию iChecker – флажок включает или выключает проверку только новых файлов и файлов, измененных с момента последней проверки. iChecker представляет собой способ сканирования, который уменьшает общее время выполнения сканирования за счет частичного пропуска сканирования ранее просканированных файлов, которые не изменялись после проведенной проверки.
- В блоке Регистрация событий с помощью установки флажков определите необходимость записи события в журнал событий безопасности. Вы можете выбрать один или несколько вариантов регистрации событий:
- Сообщать о незараженных объектах – флажок включает или выключает запись информации о проверенных объектах, которые решение признало незараженными.
- Сообщать о необработанных объектах – флажок включает или выключает запись информации о проверенных объектах, которые об объектах по какой-либо причине не были обработаны.
- Сообщать об упакованных объектах – флажок включает или выключает запись информации о проверенных объектах, которые являются частью составных объектов, например архивов.
Если флажок установлен, решение записывает событие в журнал для всех объектов. Если флажок снят, событие не записывается в журнал. По умолчанию флажок снят.
- Нажмите Сохранить.
