bmonit
Monitorowanie zachowania stale monitoruje punkty końcowe w poszukiwaniu nieoczekiwanych modyfikacji systemu operacyjnego i zainstalowanego oprogramowania. Chroni punkty końcowe poprzez blokowanie działania złośliwego oprogramowania i monitorowanie zdarzeń. Te dwie funkcje uzupełnia skonfigurowana przez użytkownika lista wyjątków i usługa Certified Safe Software.
Ważne!
Monitorowanie zachowania obsługuje wyłącznie platformy 32-bitowe.
Monitorowanie zachowania jest domyślnie wyłączone w 32-bitowych wersjach systemów Windows Server 2003 i Windows Server 2008. Przed włączeniem monitorowania zachowania na tych platformach serwerowych należy zapoznać się z wytycznymi i sprawdzonymi metodami przedstawionymi w sekcji Usługi klienta.
Funkcja blokowania działania złośliwego oprogramowania zapewnia niezbędną warstwę dodatkowej ochrony przed zagrożeniami powodowanymi przez programy, które wykonują złośliwe działania. Funkcja ta obserwuje zdarzenia systemowe w przedziale czasu. Podczas gdy programy wykonują różne kombinacje lub sekwencje działań, funkcja blokowania działania złośliwego oprogramowania wykrywa znane złośliwe działania i blokuje powiązane programy. Użycie tej funkcji zapewnia wyższy poziom ochrony przed nowymi, nieznanymi i pojawiającymi się zagrożeniami.
Jeśli program zostanie zablokowany, a powiadomienia są włączone, program OfficeScan wyświetli powiadomienie na komputerze klienckim. Szczegółowe informacje o powiadomieniach zawiera temat Powiadomienia monitorowania zachowania dla użytkowników klienta.
Monitorowanie zdarzeń zapewnia zapewnia ogólniejsze podejście do ochrony przed nieautoryzowanym oprogramowaniem i atakami złośliwego oprogramowania. Funkcja ta monitoruje obszary systemowe pod kątem określonych zdarzeń, umożliwiając administratorom kontrolowanie programów wyzwalających takie zdarzenia. Funkcji monitorowania zdarzeń należy używać w przypadku określonych wymagań dotyczących ochrony systemu, które wykraczają poza możliwości zapewniane przez funkcję blokowania działania złośliwego oprogramowania.
Monitorowane zdarzenia systemowe obejmują:
|
Zdarzenia |
Opis |
|
Zduplikowany plik systemowy |
Wiele złośliwych programów tworzy swoje kopie oraz kopie innych złośliwych programów, wykorzystując nazwy plików używane przez pliki systemu Windows. Ma to zwykle na celu zastąpienie plików systemowych, uniknięcie wykrycia lub zniechęcenie użytkowników do usunięcia złośliwego pliku. |
|
Modyfikacja pliku hostów |
Plik hostów służy do dopasowywania nazw domen do adresów IP. Wiele złośliwych programów modyfikuje plik hostów, tak aby przeglądarka sieci Web była przekierowywana do zarażonych, nieistniejących lub fałszywych witryn sieci Web. |
|
Podejrzane zachowanie |
Podejrzanym zachowaniem może być określone działanie lub kilka działań, których wykonanie nie jest oczekiwane w przypadku wiarygodnych programów. Programów, których zachowanie jest nieoczekiwane, należy używać z ostrożnością. |
|
Nowy dodatek do programu Internet Explorer |
Oprogramowanie spyware/grayware często instaluje niechciane dodatki do programu Internet Explorer, takie jak paski narzędzi i obiekty pomocnika przeglądarki. |
|
Modyfikacja ustawień programu Internet Explorer |
Wiele wirusów/złośliwych programów zmienia ustawienia programu Internet Explorer, takie jak strona domowa, zaufane witryny sieci Web, ustawienia serwera proxy i rozszerzenia menu. |
|
Modyfikacja reguły bezpieczeństwa |
Modyfikacje reguły bezpieczeństwa systemu Windows mogą umożliwić działanie niechcianych aplikacji i zmianę ustawień systemu. |
|
Wstawienie kodu do biblioteki programu |
Wiele złośliwych programów tak konfiguruje system Windows, aby wszystkie aplikacje automatycznie wczytywały bibliotekę programu (DLL). Takie działanie umożliwia wykonywanie złośliwych procedur wstawionych do biblioteki DLL podczas każdego uruchamiania aplikacji. |
|
Modyfikacja powłoki |
Wiele złośliwych programów modyfikuje ustawienia powłoki systemu Windows w celu skojarzenia się z plikami określonych typów. Dzięki temu złośliwe programy mogą się automatycznie uruchamiać, gdy użytkownik otwiera w Eksploratorze Windows skojarzone z nimi pliki. Zmiany ustawień powłoki systemu Windows mogą również umożliwić złośliwym programom śledzenie używanych programów i jednoczesne uruchamianie z wiarygodnymi aplikacjami. |
|
Nowa usługa |
Usługi systemu Windows to pełniące specjalne funkcje procesy, które są zwykle stale uruchomione w tle i które mają pełny dostęp administracyjny. Złośliwe programy czasami instalują się jako usługi, aby pozostać w ukryciu. |
|
Modyfikacja pliku systemowego |
Niektóre pliki systemu Windows mają wpływ na zachowanie systemu, w tym na to, jakie programy są uruchamiane podczas startu systemu, oraz na stosowane ustawienia wygaszacza ekranu. Wiele złośliwych programów modyfikuje pliki systemowe, aby automatycznie się uruchamiać podczas startu systemu i kontrolować jego zachowanie. |
|
Modyfikacja reguły zapory |
Reguła zapory systemu Windows określa, które aplikacje mają dostęp do sieci, jakie porty są otwarte w celach komunikacyjnych oraz które adresy IP mogą się łączyć z komputerem. Wiele złośliwych programów modyfikuje regułę, aby umożliwić sobie dostęp do sieci lokalnej oraz do Internetu. |
|
Modyfikacja procesu systemowego |
Wiele złośliwych programów wykonuje różne działania względem wbudowanych procesów systemu Windows. Takie działania to na przykład kończenie działania procesu lub modyfikacja jego działania. |
|
Nowy program startowy |
Wiele złośliwych programów tak konfiguruje system Windows, aby wszystkie aplikacje automatycznie wczytywały bibliotekę programu (DLL). Takie działanie umożliwia wykonywanie złośliwych procedur wstawionych do biblioteki DLL podczas każdego uruchamiania aplikacji. |
Kiedy funkcja monitorowania zdarzeń wykryje monitorowane zdarzenie systemowe, wykonuje operację skonfigurowaną dla tego zdarzenia. Można wybrać sposób następujących operacji:
|
Operacje dla monitorowanych zdarzeń systemowych |
|
Operacja |
Opis |
|
Ocena |
Program OfficeScan zawsze zezwala na działanie procesów związanych ze zdarzeniem, ale rejestruje informacje o tym działaniu w dzienniku w celu przeprowadzenia późniejszej oceny. Jest to operacja domyślna dla wszystkich monitorowanych zdarzeń systemowych. |
|
Zezwól |
Program OfficeScan zawsze zezwala na działanie procesów związanych ze zdarzeniem. |
|
Pytaj w razie konieczności |
Program OfficeScan pyta użytkowników, czy działanie programów powiązanych ze zdarzeniem ma zostać umożliwione lub zablokowane, a także czy programy mają zostać dodane do listy wyjątków. Jeśli użytkownik nie odpowie w określonym czasie, program OfficeScan automatycznie zezwoli na uruchomienie programu. Ustawienie domyślne to 30 sekund. Aby zmodyfikować ten czas, należy zapoznać się z tematem Aby zmodyfikować czas, jaki musi upłynąć, zanim zostanie dozwolone uruchomienie programu. |
|
Odrzuć |
Program OfficeScan zawsze blokuje działanie programów związanych ze zdarzeniem i rejestruje informacje o tym działaniu w dziennikach. Jeśli program zostanie zablokowany, a powiadomienia są włączone, program OfficeScan wyświetli powiadomienie na komputerze klienckim. Szczegółowe informacje o powiadomieniach zawiera temat Powiadomienia monitorowania zachowania dla użytkowników klienta. |
Lista wyjątków monitorowania zachowania zawiera programy, które nie są monitorowane przez funkcję monitorowania zachowania.
Dozwolone programy: Programy na tej liście mogą być uruchamiane. Dozwolony program zostanie jednak sprawdzony przez inne funkcje programu OfficeScan (takie jak skanowanie oparte na plikach), zanim zostanie dozwolone jego uruchomienie.
Zablokowane programy: Programów znajdujących się na tej liście nigdy nie można uruchamiać. Aby skonfigurować tę listę, należy włączyć monitorowanie zdarzeń.
Listę wyjątków można skonfigurować w konsoli Web. Użytkownikom można także przyznać uprawnienia do konfigurowania własnej listy wyjątków w konsoli klienta. Szczegółowe informacje zawiera temat Uprawnienia monitorowania zachowania.
Aby skonfigurować blokowanie działania złośliwego oprogramowania, monitorowanie zdarzeń i listę wyjątków:
Komputery w sieci > Zarządzanie klientem
W drzewie klientów kliknij ikonę domeny głównej 
, aby dołączyć wszystkie klienty, lub wybierz określone domeny lub klienty.
Kliknij kolejno opcje Ustawienia > Ustawienia monitorowania zachowania.
Wybierz opcję Włącz blokowanie działania złośliwego oprogramowania.
Skonfiguruj ustawienia monitorowania zachowania.
Wybierz opcję Włącz monitorowanie zdarzeń.
Wybierz zdarzenia systemowe do monitorowania oraz operację dla każdego wybranego zdarzenia. Informacje na temat monitorowanych zdarzeń systemowych i operacji zawiera temat Monitorowanie zdarzeń.
Skonfiguruj listę wyjątków.
W pozycji Wprowadź pełną ścieżkę programu wpisz pełną ścieżkę programu do zatwierdzenia lub zablokowania. Poszczególne wpisy należy oddzielać średnikami (;). Lista wyjątków obsługuje znaki wieloznaczne i ścieżki UNC.
Kliknij opcję Zatwierdź programy lub Zablokuj programy.
Program OfficeScan obsługuje maksymalnie 100 pozycji dla zatwierdzonych programów i 100 pozycji dla zablokowanych programów.
Aby usunąć zablokowany lub zatwierdzony program z listy, kliknij ikonę kosza 
obok programu.
Jeśli w drzewie klientów wybrano domeny lub klienty, kliknij przycisk Zapisz. Jeśli kliknięto ikonę domeny głównej, należy wybrać spośród następujących opcji:
Zastosuj do wszystkich klientów: Stosuje ustawienia dla wszystkich istniejących klientów oraz dla wszystkich nowych klientów dodanych do istniejącej/przyszłej domeny. Przyszłe domeny są to takie domeny, które w momencie konfiguracji ustawień nie zostały jeszcze utworzone.
Zastosuj tylko do przyszłych domen: Stosuje ustawienia tylko dla klientów dodanych do przyszłych domen. Opcja ta nie będzie stosować ustawień dla nowych klientów dodanych do istniejącej domeny.
Aby zmodyfikować czas, jaki musi upłynąć, zanim zostanie dozwolone uruchomienie programu:
Komputery w sieci > Ogólne ustawienia klienta
To ustawienie działa tylko w przypadku, gdy włączono monitorowano zdarzeń oraz wybrano operację "Pytaj w razie konieczności" dla monitorowanego zdarzenia systemowego. Ta operacja powoduje zapytanie użytkownika, czy działanie programów powiązanych ze zdarzeniem ma zostać umożliwione lub zablokowane. Jeśli użytkownik nie odpowie w określonym czasie, program OfficeScan automatycznie zezwoli na uruchomienie programu.
Szczegółowe informacje zawiera temat Monitorowanie zdarzeń.
Przejdź do sekcji Ustawienia monitorowania zachowania.
Określ czas w polu Automatycznie zezwalaj programowi, jeśli klient nie odpowie w ciągu __ sekund.
Kliknij przycisk Zapisz.
Usługa Certified Safe Software przeszukuje centra danych firmy Trend Micro w celu weryfikacji bezpieczeństwa programu wykrytego przez blokowanie działania złośliwego oprogramowania lub monitorowanie zdarzeń. Należy włączyć włączyć usługę Certified Safe Software, aby zmniejszyć prawdopodobieństwo fałszywych alarmów.
Przed włączeniem usługi Certified Safe Software Service należy się upewnić, że klienty mają skonfigurowane prawidłowe ustawienia proxy. Nieprawidłowe ustawienia serwera proxy lub wadliwe połączenie z Internetem mogą być przyczyną opóźnień lub niepowodzenia odbioru odpowiedzi z centrów danych firmy Trend Micro, przez co monitorowane programy będą sprawiać wrażenie zawieszonych.
Ponadto klienty korzystające wyłącznie z protokołu IPv6 nie mogą przeszukiwać bezpośrednio centrów danych firmy Trend Micro. Aby umożliwić klientom nawiązanie połączenia z centrami danych firmy Trend Micro, wymagany jest serwer proxy z dwoma stosami, który umożliwia konwersję adresów IP, taki jak DeleGate.
Aby wyłączyć usługę Certified Safe Software Service:
Komputery w sieci > Ogólne ustawienia klienta
Przejdź do sekcji Ustawienia monitorowania zachowania.
Wybierz opcję Włącz usługę Certified Safe Software Service.
Kliknij przycisk Zapisz.
Zobacz również: