Configuração da Proteção Contra Ameaças ao Arquivo

A configuração da Proteção Contra Ameaças ao Arquivo exige permissões de Administrador de SI.

Para configurar a Proteção Contra Ameaças ao Arquivo:

1. Na seção Policies → Runtime policies → Container runtime profiles, clique no botão Settings.

   A janela de configuração da Proteção Contra Ameaças ao Arquivo é aberta.

2. Em File interceptor mode, selecione um dos seguintes modos de verificação de objetos.
   • No modo Audit, a solução verifica e acompanha o conteúdo dos objetos.
   • No modo Enforce, a solução bloqueia todos os objetos que não satisfazem as regras e os critérios configurados.
3. Em Scan mode, selecione um modo da Proteção Contra Ameaças ao Arquivo:
   • Smart mode (padrão): o arquivo é verificado ao tentar abri-lo e novamente ao tentar fechá-lo, caso tenha sido modificado. Se um processo acessa um objeto diversas vezes durante sua operação e o modifica, a solução verifica o objeto novamente apenas quando o processo o fecha pela última vez.
   • Open and modify: o arquivo é verificado ao tentar abri-lo e novamente ao tentar fechá-lo, caso tenha sido modificado.
   • Open: o arquivo é verificado ao tentar abri-lo para leitura, execução ou modificação.
4. Em Actions on detected objects, selecione o seguinte na lista suspensa:
   1. A First action que o componente Proteção Contra Ameaças ao Arquivo deve executar num objeto infectado detectado:
      • Perform recommended action, que depende do nível de gravidade do risco detectado no arquivo e da possibilidade de desinfetá-lo (padrão).

        Por exemplo, Cavalos de Troia são excluídos imediatamente, pois não infectam outros arquivos e a desinfecção não se aplica nesse caso.

      • Disinfect o objeto. Uma cópia do objeto infectado é movida para o backup.
      • Block o acesso ao objeto.
      • Remove um objeto. Uma cópia do objeto infectado é movida para o backup.
   2. A Second action que o componente Proteção Contra Ameaças ao Arquivo deve executar num objeto infectado detectado, caso a primeira ação falhe:
      • Perform recommended action, que depende do nível de gravidade do risco detectado no arquivo e da possibilidade de desinfetá-lo (padrão).
      • Disinfect o objeto. Uma cópia do objeto infectado é movida para o backup.
      • Block o acesso ao objeto.
      • Remove um objeto. Uma cópia do objeto infectado é movida para o backup.

   Recomendamos especificar ambas as ações para objetos detectados.

   Considere o seguinte ao selecionar ações a executar em objetos detectados:

   • Se Block ou Remove estiver selecionado como primeira ação, a segunda ação não precisa ser especificada.
   • Se a segunda ação não for selecionada, a ação padrão é Block.
   • Se o modo da política de tempo de execução aplicável estiver definido como Audit, nenhuma ação deve ser aplicada em objetos detectados.
5. Em Scan settings, use as caixas de seleção para definir os objetos de verificação que contêm arquivos e diretórios para verificação. Se uma caixa de seleção for marcada, a solução verifica os objetos selecionados. É possível selecionar uma ou mais configurações de verificação da seguinte lista:
   • Scan archives: essa caixa de seleção ativa ou desativa a verificação de arquivos comprimidos. Por padrão, a caixa de seleção está desmarcada e a solução não verifica arquivos comprimidos.

     A solução pode verificar arquivos comprimidos em formatos como .ZIP, .7Z *, .7-Z, .RAR, .ISO, .CAB, .JAR, .BZ, .BZ2, .TBZ, .TBZ2, .GZ, .TGZ, .ARJ, além de arquivos autoextraíveis .SFX. A lista de formatos de arquivo comprimidos compatíveis depende dos bancos de dados usados.

     Se a verificação de arquivos comprimidos estiver ativada e Perform recommended action estiver configurado como a primeira ação num objeto detectado, a solução exclui o objeto infectado ou todo o arquivo que contém a ameaça, dependendo do tipo de arquivo comprimido.

     Para definir o escopo de arquivos comprimidos para verificação, especifique Self-extracting archives ou All archives. Caso seja escolhido verificar arquivos autoextraíveis, a solução verifica apenas arquivos comprimidos que contenham um descompactador de arquivos executáveis.

     Para iniciar a verificação, a solução primeiro descompacta o arquivo comprimido, o que pode deixar a verificação mais lenta. Para reduzir a duração da verificação de arquivos comprimidos, ative e defina as configurações Skip object if scan takes longer than (sec) e Skip objects larger than (MB).

   • Scan mail databases: essa caixa de seleção ativa ou desativa a verificação dos bancos de dados do Microsoft Outlook, Outlook Express, The Bat! e outros bancos de dados de aplicativos de e-mail. Por padrão, a caixa de seleção está desmarcada e a solução não verifica arquivos de bancos de dados de e-mail.
   • Scan plain mail: essa caixa de seleção ativa ou desativa a verificação de arquivos de mensagens de e-mail de texto simples. Por padrão, a caixa de seleção está desmarcada e a solução não verifica mensagens de texto simples.
   • Skip text files: essa caixa de seleção ativa ou desativa temporariamente a verificação de arquivos de texto simples caso sejam usados novamente pelo mesmo processo até 10 minutos após a última verificação. Essa configuração permite otimizar a verificação de logs de aplicativos. Por padrão, a caixa de seleção está desmarcada e a solução não verifica arquivos de texto simples.
   • Skip object larger than (MB): essa caixa de seleção ativa ou desativa a verificação de objetos com o tamanho máximo especificado em megabytes. Se o tamanho de um objeto a ser verificado excede o valor especificado, a solução ignora o objeto durante a verificação.

     Valores disponíveis: 0 a 999999. Se o valor for definido como 0, a solução verifica arquivos de qualquer tamanho.

     Valor padrão: 0.

   • Skip object if scan takes longer than (sec): essa caixa de seleção ativa e desativa o limite de tempo para a verificação de um objeto em segundos. Após o tempo especificado, a solução interrompe a verificação do arquivo.

     Valores disponíveis: 0 a 9999. Se o valor for definido como 0, o tempo de verificação é ilimitado.

     Valor padrão: 60.

6. Na seção Technologies, marque as caixas de seleção para definir a tecnologia que a solução deve usar para verificar objetos. É possível selecionar uma das seguintes opções:
   • Use iChecker: esta caixa de seleção habilita ou desabilita a verificação apenas de arquivos novos e daqueles que foram modificados após a última verificação. O iChecker é um método de verificação que diminui o tempo total de verificação ao ignorar arquivos já verificados que não foram alterados desde então.

     Se a caixa de seleção estiver marcada, a solução verifica apenas arquivos novos e arquivos que foram modificados desde a última verificação. Se a caixa de seleção estiver desmarcada, a solução verifica arquivos independentemente da data de criação ou modificação.

     A caixa de seleção é marcada por padrão.

   • Use heuristic analysis: essa caixa de seleção permite ativar ou desativar o uso de análise heurística ao verificar objetos. A análise heurística possibilita que a solução identifique ameaças à segurança desconhecidas por analistas de malware.

     A caixa de seleção é marcada por padrão.

     Se a caixa de seleção Use heuristic analysis estiver marcada, é possível selecionar o nível de análise heurística. O nível de análise heurística equilibra o rigor da verificação de ameaças à segurança, a carga do sistema operacional e a duração da verificação. Quanto maior o nível, mais recursos a verificação exige e mais tempo ela demora. É possível selecionar uma das seguintes opções:

     • Recommended (padrão): nível ideal recomendado pelos especialistas da Kaspersky. Oferece a combinação ideal de qualidade de proteção e impacto no desempenho de servidores protegidos.
     • Light: a verificação menos detalhada, carga mínima do sistema.
     • Medium: verificação com nível médio de detalhes, carga equilibrada do sistema.
     • Deep: a verificação mais detalhada, máxima carga do sistema.
7. Em Event logging, marque as caixas de seleção para determinar se o evento deve ser registrado no log de eventos de segurança. É possível selecionar uma ou várias opções de registro de eventos:
   • Log clean objects: essa caixa de seleção ativa ou desativa o registro em log de informações sobre objetos verificados que a solução reconhece como não infectados.
   • Log unprocessed objects: essa caixa de seleção ativa ou desativa o registro em log de informações sobre objetos verificados que não foram processados por qualquer motivo.
   • Log packed objects: essa caixa de seleção ativa ou desativa o registro em log de informações sobre objetos verificados que fazem parte de objetos compostos, como arquivos comprimidos.

   Se a caixa de seleção for marcada, a solução registra o evento para todos os objetos. Se a caixa for desmarcada, o evento não é registrado. A caixa de seleção é desmarcada por padrão.

8. Clique em Save.

Topo da página