bmonit
Il Monitoraggio del comportamento controlla costantemente gli endpoint alla ricerca di modifiche insolite al sistema operativo o al software installato. Il Monitoraggio del comportamento protegge gli endpoint con il Blocco del comportamento malware e il Monitoraggio degli eventi. Vanno ad integrare queste due funzioni un elenco di eccezioni configurato dall'utente e il servizio Certified Safe software.
Importante
Il monitoraggio del comportamento supporta solo piattaforme a 32 bit.
Per impostazione predefinita, il monitoraggio del comportamento è disattivato sulle versioni a 32 bit di Windows Server 2003 e Windows Server 2008. Prima di attivare il monitoraggio del comportamento su queste piattaforme server, leggere le linee guida e le raccomandazioni descritte in Servizi del client.
Il Blocco del comportamento malware offre uno strato necessario di protezione aggiuntiva dalle minacce dei programmi che mostrano un comportamento dannoso. Osserva gli eventi di sistema per un periodo di tempo. Mentre i programmi eseguono varie combinazioni o sequenze di azioni, il Blocco del comportamento malware rileva i comportamenti dannosi conosciuti e blocca i programmi associati. Utilizzare questa funzione per garantire un livello più alto di protezione contro le minacce nuove, sconosciute ed emergenti.
Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza una notifica sul computer client. Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamento per gli utenti dei client.
Monitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchi software e malware non autorizzati. Controlla le aree di sistema alla ricerca di determinati eventi, consentendo agli amministratori di regolare i programmi che attivano questi eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezione del sistema che superano e che esulano da quelli garantiti dal Blocco del comportamento malware.
Gli eventi di sistema controllati comprendono:
|
Eventi |
Descrizione |
|
Duplicazione dei file di sistema |
Molti programmi dannosi creano copie di sé stessi o di altri programmi dannosi servendosi dei nomi utilizzati dai file di sistema di Windows. Lo scopo è generalmente quello di avere la precedenza o di sostituirsi ai file di sistema, di evitare il rilevamento o di disincentivare gli utenti dall'eliminare i file dannosi. |
|
Modifica del file Hosts |
Il file Hosts abbina il nome di dominio agli indirizzi IP. Molti programmi dannosi modificano il file Hosts e fanno in modo che il browser Web venga reindirizzato verso siti Web infetti, inesistenti o falsificati. |
|
Comportamento sospetto |
Il comportamento sospetto può essere rappresentato da un'operazione specifica o una serie di operazioni raramente svolte da programmi legittimi. I programmi che rivelano un comportamento sospetto devono essere utilizzati con cautela. |
|
Nuovo plug-in per Internet Explorer |
I programmi spyware/grayware spesso installano dei plug-in non richiesti per Internet Explorer, come barre degli strumenti e oggetti BHO (Browser Helper Object). |
|
Modifica delle impostazioni di Internet Explorer |
Molti virus/minacce informatiche modificano le impostazioni di Internet Explorer, comprese quelle relative a home page, siti Web affidabili, impostazioni del server proxy ed estensioni dei menu. |
|
Modifica dei criteri di protezione |
Le modifiche ai criteri di protezione di Windows possono consentire alle applicazioni indesiderate di essere eseguite e di modificare le impostazioni di sistema. |
|
Caricamento di librerie di programma |
Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. |
|
Modifica della shell |
Molti programmi dannosi modificano le impostazioni della shell di Windows per associare sé stessi a determinati tipi di file. Questa routine consente ai programmi dannosi di venire avviati automaticamente quando l'utente apre i file ad essi associati in Esplora risorse. Le modifiche alle impostazioni della shell di Windows sono anche in grado di consentire ai programmi dannosi di rilevare i programmi utilizzati dall'utente e vengono avviati insieme alle applicazioni legittime. |
|
Nuovo servizio |
I servizi di Windows sono processi con funzioni speciali e in genere rimangono in esecuzione costante in background con accesso amministrativo completo. I programmi dannosi spesso si installano come servizi, in modo da rimanere nascosti. |
|
Modifica dei file di sistema |
Alcuni file di sistema di Windows determinano il comportamento del sistema, compresi i programmi di avvio e le impostazioni del salvaschermo. Molti programmi dannosi modificano i file di sistema per poter essere avviati automaticamente all'avvio e controllare il comportamento del sistema. |
|
Modifica dei criteri del firewall |
I criteri di Windows Firewall determinano quali applicazioni hanno accesso alla rete, quali porte sono aperte per la comunicazione e quali indirizzi IP possono comunicare con il computer dell'utente. Molti programmi dannosi modificano i criteri per aprirsi un varco nella rete e in Internet. |
|
Modifica dei processi di sistema |
Molti programmi dannosi eseguono varie operazioni sui processi integrati di Windows. Esempi di tali operazioni sono l'interruzione o la modifica dei processi in esecuzione. |
|
Nuovo programma di avvio |
Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione. |
Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azione configurata per l'evento. Sono disponibili le azioni di seguito elencate:
|
Azioni per eventi di sistema controllati |
|
Azione |
Descrizione |
|
Valuta |
OfficeScan autorizza sempre i programmi associati a un evento ma tiene traccia dell'operazione nei registri ai fini della valutazione. Questa è l'azione predefinita per tutti gli eventi di sistema controllati. |
|
Consenti |
OfficeScan autorizza sempre i programmi associati a un evento. |
|
Chiedi se necessario |
OfficeScan chiede agli utenti se consentire o negare i programmi associati a un evento e aggiungere i programmi all'elenco di eccezioni Se l'utente non risponde entro un determinato periodo di tempo, OfficeScan autorizza automaticamente l'esecuzione del programma. Il periodo di tempo predefinito è 30 secondi. Per modificare il periodo di tempo, vedere Per modificare il periodo di tempo prima di consentire l'esecuzione di un programma:. |
|
Impedisci |
OfficeScan blocca sempre i programmi associati a un evento e tiene traccia dell'operazione nei registri. Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza una notifica sul computer client. Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamento per gli utenti dei client. |
L'elenco di eccezioni del monitoraggio del comportamento contiene programmi che non vengono controllati da Monitoraggio del comportamento.
Programmi approvati: I programmi contenuti in questo elenco possono essere eseguiti. I programmi approvati vengono comunque controllati da altre funzioni di OfficeScan (ad esempio l'analisi basata su file) prima di consentirne l'esecuzione.
Programmi bloccati: Non è possibile avviare i programmi inclusi in questo elenco. Per configurare l'elenco, è necessario attivare Monitoraggio degli eventi.
Configurare l'elenco di eccezioni dalla console Web. È anche possibile assegnare agli utenti il privilegio di configurare il proprio elenco di eccezioni dalla console del client. Per ulteriori informazioni, vedere Privilegi di monitoraggio del comportamento.
Per configurare Blocco del comportamento malware, Monitoraggio degli eventi e l'elenco di eccezioni:
Computer collegati in rete > Gestione client
Nella struttura dei client, fare clic sull'icona del dominio principale 
per includere tutti i client oppure selezionare domini o client specifici.
Fare clic su Impostazioni > Impostazioni del monitoraggio del comportamento.
Selezionare Attiva Blocco del comportamento malware.
Configurare le impostazioni del monitoraggio degli eventi.
Selezionare Attiva Monitoraggio degli eventi.
Scegliere gli eventi di sistema da controllare e selezionare un'azione per ciascuno degli eventi selezionati. Per informazioni sugli eventi di sistema controllati e le azioni, vedere Monitoraggio degli eventi.
Configurare l'elenco di eccezioni.
In Inserire il percorso completo del programma, digitare il percorso completo del programma da approvare o bloccare. Separare le diverse voci con un punto e virgola (; L'elenco di eccezioni supporta caratteri jolly e percorsi UNC.
Fare clic su Approva programmi o Blocca programmi.
OfficeScan accetta un massimo di 100 programmi approvati e 100 programmi bloccati.
Per eliminare un programma bloccato o approvato dall'elenco, fare clic sull'icona del cestino 
accanto al programma.
Se sono stati selezionati domini o client nella struttura dei client, fare clic su Salva. Se è stata selezionata l'icona del dominio principale, scegliere una delle opzioni riportate di seguito:
Applica a tutti i client: applica le impostazioni a tutti i client esistenti e a qualsiasi nuovo client aggiunto a un dominio esistente o futuro. I domini futuri sono i domini non ancora creati al momento della configurazione delle impostazioni.
Applica soltanto ai domini futuri: applica le impostazioni solo ai client aggiunti ai domini futuri. Questa opzione non applica le impostazioni ai nuovi client aggiunti a un dominio esistente.
Per modificare il periodo di tempo prima che venga consentita l'esecuzione di un programma:
Computer collegati in rete > Impostazioni client globali
Questa impostazione funziona solo se è attivato il Monitoraggio degli eventi e l'azione per un evento di sistema controllato è "Chiedi se necessario". Questa azione chiede all'utente se consentire o negare i programmi associati all'evento. Se l'utente non risponde entro un determinato periodo di tempo, OfficeScan consente automaticamente l'esecuzione del programma.
Per ulteriori informazioni, vedere Monitoraggio degli eventi.
Passare alla sezione Impostazioni del monitoraggio del comportamento .
Specificare il periodo di tempo in Autorizza automaticamente il programma se il client non risponde entro __ secondi.
Fare clic su Salva.
Il servizio Certified Safe Software chiede ai centri dati Trend Micro di verificare la sicurezza di un programma rilevato da Blocco del comportamento malware o da Monitoraggio degli eventi. Attivare il servizio Certified Safe Software per ridurre la possibilità di falsi allarmi.
Prima di attivare il servizio Certified Safe software, accertarsi che le Impostazioni proxy del client siano corrette su tutti i client. Impostazioni proxy scorrette, insieme a una connessione Internet intermittente, possono provocare ritardi o mancate risposte dai centri dati Trend Micro. Di conseguenza, i programmi controllati non rispondono.
Inoltre, i client IPv6 puri non possono inviare query direttamente ai centri dati Trend Micro. Un server proxy dual stack in grado di convertire gli indirizzi IP, ad esempio DeleGate, è necessario per consentire ai client di collegarsi ai centri dati Trend Micro.
Per attivare il servizio Certified Safe Software:
Computer collegati in rete > Impostazioni client globali
Passare alla sezione Impostazioni del monitoraggio del comportamento .
Selezionare l'opzione Attiva il servizio Certified Safe Software.
Fare clic su Salva.
Vedere anche: