Monitoraggio degli eventi Argomento principale

Monitoraggio degli eventi offre un approccio più generico alla protezione dagli attacchi software e malware non autorizzati. Controlla le aree di sistema alla ricerca di determinati eventi, consentendo agli amministratori di regolare i programmi che attivano questi eventi. Usare Monitoraggio degli eventi in caso di specifici requisiti di protezione del sistema che superano e che esulano da quelli garantiti dal Blocco del comportamento malware.
La tabella seguente contiene l'elenco degli eventi di sistema monitorati.

Eventi di sistema controllati

Eventi
Descrizione
Duplicazione dei file di sistema
Molti programmi dannosi creano copie di sé stessi o di altri programmi dannosi servendosi dei nomi utilizzati dai file di sistema di Windows. Lo scopo è generalmente quello di avere la precedenza o di sostituirsi ai file di sistema, di evitare il rilevamento o di disincentivare gli utenti dall'eliminare i file dannosi.
Modifica del file Hosts
Il file Hosts abbina il nome di dominio agli indirizzi IP. Molti programmi dannosi modificano il file Hosts e fanno in modo che il browser Web venga reindirizzato verso siti Web infetti, inesistenti o falsificati.
Comportamento sospetto
Il comportamento sospetto può essere rappresentato da un'operazione specifica o una serie di operazioni raramente svolte da programmi legittimi. I programmi che rivelano un comportamento sospetto devono essere utilizzati con cautela.
Nuovo plug-in per Internet Explorer
I programmi spyware/grayware spesso installano dei plug-in non richiesti per Internet Explorer, come barre degli strumenti e oggetti BHO (Browser Helper Object).
Modifica delle impostazioni di Internet Explorer
Molti virus/minacce informatiche modificano le impostazioni di Internet Explorer, comprese quelle relative a home page, siti Web affidabili, impostazioni del server proxy ed estensioni dei menu.
Modifica dei criteri di protezione
Le modifiche ai criteri di protezione di Windows possono consentire alle applicazioni indesiderate di essere eseguite e di modificare le impostazioni di sistema.
Caricamento di librerie di programma
Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione.
Modifica della shell
Molti programmi dannosi modificano le impostazioni della shell di Windows per associare sé stessi a determinati tipi di file. Questa routine consente ai programmi dannosi di venire avviati automaticamente quando l'utente apre i file ad essi associati in Esplora risorse. Le modifiche alle impostazioni della shell di Windows sono anche in grado di consentire ai programmi dannosi di rilevare i programmi utilizzati dall'utente e vengono avviati insieme alle applicazioni legittime.
Nuovo servizio
I servizi di Windows sono processi con funzioni speciali e in genere rimangono in esecuzione costante in background con accesso amministrativo completo. I programmi dannosi spesso si installano come servizi, in modo da rimanere nascosti.
Modifica dei file di sistema
Alcuni file di sistema di Windows determinano il comportamento del sistema, compresi i programmi di avvio e le impostazioni del salvaschermo. Molti programmi dannosi modificano i file di sistema per poter essere avviati automaticamente all'avvio e controllare il comportamento del sistema.
Modifica dei criteri del firewall
 I criteri di Windows Firewall determinano quali applicazioni hanno accesso alla rete, quali porte sono aperte per la comunicazione e quali indirizzi IP possono comunicare con il computer dell'utente. Molti programmi dannosi modificano i criteri per aprirsi un varco nella rete e in Internet.
Modifica dei processi di sistema
Molti programmi dannosi eseguono varie operazioni sui processi integrati di Windows. Esempi di tali operazioni sono l'interruzione o la modifica dei processi in esecuzione.
Nuovo programma di avvio
Molti programmi dannosi configurano Windows in modo che tutte le applicazioni carichino automaticamente una libreria di programma (DLL). Questo causa l'esecuzione delle routine dannose nelle DLL ad ogni avvio dell'applicazione.
Se Monitoraggio degli eventi rileva un evento di sistema controllato, esegue l'azione configurata per l'evento.
La tabella seguente elenca le azioni che gli amministratori possono svolgere sugli eventi di sistema monitorati.

Azioni per eventi di sistema controllati

Azione
Descrizione
Valuta
OfficeScan autorizza sempre i programmi associati a un evento ma tiene traccia dell'operazione nei registri ai fini della valutazione.
Questa è l'azione predefinita per tutti gli eventi di sistema controllati.
Nota
Nota
Questa opzione non è supportata per il Caricamento di librerie di programma sui sistemi a 64 bit.
Consenti
OfficeScan autorizza sempre i programmi associati a un evento.
Chiedi se necessario
OfficeScan chiede agli utenti se consentire o negare i programmi associati a un evento e aggiungere i programmi all'elenco di eccezioni
Se l'utente non risponde entro un determinato periodo di tempo, OfficeScan autorizza automaticamente l'esecuzione del programma. Il periodo di tempo predefinito è 30 secondi. Per modificare il periodo di tempo, vedere Configurazione delle impostazioni del monitoraggio del comportamento globale.
Nota
Nota
Questa opzione non è supportata per il Caricamento di librerie di programma sui sistemi a 64 bit.
Impedisci
OfficeScan blocca sempre i programmi associati a un evento e tiene traccia dell'operazione nei registri.
Quando un programma viene bloccato e le notifiche sono attivate, OfficeScan visualizza una notifica sul computer client OfficeScan. Per ulteriori informazioni sulle notifiche, vedere Notifiche di Monitoraggio del comportamento per gli utenti dei client OfficeScan.