bmonit
Функция контроля действий выполняет постоянный контроль локальных компьютеров на наличие необычных изменений в операционной системе или установленном программном обеспечении. Функция контроля действий защищает локальные компьютеры посредством блокирования действий вредоносного ПО и отслеживания событий. Эти две функции дополняются списком исключений, который могут настраивать пользователи, и службой сертифицированного безопасного программного обеспечения.
Важно!
Контроль действий поддерживает только 32-разрядные платформы.
По умолчанию контроль действий отключен на 32-разрядных версиях ОС Windows Server 2003 и Windows Server 2008. Перед включением контроля действий на этих серверных платформах следует ознакомиться с рекомендациями и передовыми методиками, которые приведены в разделе Службы клиента.
Функция блокирования действий вредоносного ПО обеспечивает необходимый уровень дополнительной защиты от программ, которые проявляют признаки вредоносного поведения. Она следит за событиями в системе на протяжении определенного периода времени. Поскольку программы выполняют разные комбинации или последовательности действий, функция блокирования действий вредоносного ПО выявляет известное вредоносное поведение и блокирует соответствующие программы. Данная функция используется, чтобы обеспечить более высокий уровень защиты от новых, неизвестных и внезапно возникающих угроз.
Если программа заблокирована и включены уведомления, OfficeScan выводит уведомление на клиентском компьютере. Сведения об уведомлениях см. в разделе Уведомления функции контроля действий для пользователей клиентов.
Функция отслеживания событий представляет более общий подход к защите от атак несанкционированных и вредоносных программ. Она следит за наличием определенных событий в системных областях, давая администраторам возможность контролировать программы, которые вызывают такие события. Функцию отслеживания событий следует использовать при наличии особых требований к защите системы, которые выходят за рамки того, что может обеспечить функция блокирования действий вредоносного ПО.
Ниже перечислены отслеживаемые системные события.
|
События |
Описание |
|
Дублирование системного файла |
Многие вредоносные программы создают свои копии или копии других вредоносных программ, используя при этом имена файлов, применяемые для системных файлов Windows. Как правило, это делается с целью переопределения или замены системных файлов, предотвращения обнаружения или создания пользователям препятствий для удаления вредоносных файлов. |
|
Изменение файла Hosts |
Файл Hosts сопоставляет имена доменов с IP-адресами. Многие вредоносные программы изменяют файл Hosts таким образом, чтобы перенаправлять веб-браузер на зараженные, несуществующие или поддельные веб-сайты. |
|
Подозрительное поведение |
Подозрительное поведение может представлять собой определенное действие или последовательность действий, которые, как правило, не свойственны законным программам. Программы, проявляющие признаки такого поведения, следует использовать с осторожностью. |
|
Новый подключаемый модуль Internet Explorer |
Шпионские и нежелательные программы часто устанавливают нежелательные подключаемые модули Internet Explorer, в том числе панели инструментов и объекты модуля поддержки обозревателя. |
|
Изменение настроек Internet Explorer |
Многие вирусы и вредоносные программы изменяют настройки Internet Explorer, в том числе стартовую страницу, доверенные веб-сайты, настройки прокси-сервера и расширения меню. |
|
Изменение политики безопасности |
Изменения в политике безопасности Windows могут позволять нежелательным приложениям запускаться и изменять системные настройки. |
|
Внедрение библиотеки программ |
Многие вредоносные программы перенастраивают систему Windows таким образом, что все приложения автоматически загружают определенную библиотеку программ (DLL). Это позволяет вредоносным кодам, содержащимся в данной библиотеке DLL, исполняться каждый раз при запуске приложения. |
|
Изменение настроек оболочки |
Многие вредоносные программы изменяют настройки оболочки Windows, чтобы связать себя с определенными типами файлов. Эта процедура позволяет вредоносным программам автоматически запускаться при попытке открыть связанные с ними файлы в проводнике Windows. Кроме того, изменения настроек оболочки Windows могут позволить вредоносным программам отслеживать используемые программы и запускаться одновременно с законными приложениями. |
|
Новая служба |
Службы Windows — это процессы, выполняющие определенные функции и обычно работающие непрерывно в фоновом режиме с полными правами администратора. Иногда вредоносные программы устанавливаются как службы для того, чтобы скрыть свое присутствие. |
|
Изменение системного файла |
Некоторые системные файлы Windows определяют поведение системы, в том числе автоматически загружаемые программы и параметры отображения заставок. Многие вредоносные программы изменяют системные файлы, чтобы автоматически запускаться при загрузке системы и контролировать действия системы. |
|
Изменение политики брандмауэра |
Политика брандмауэра Windows определяет набор приложений, имеющих доступ к сети, портов, открытых для обмена данными, и IP-адресов, которые могут обмениваться данными с компьютером. Многие вредоносные программы изменяют политику брандмауэра Windows для получения доступа к сети и Интернету. |
|
Изменение системных процессов |
Многие вредоносные программы выполняют различные действия со встроенными процессами Windows. К таким действиям может относиться изменение или завершение текущих процессов. |
|
Новая программа в списке автозапуска |
Многие вредоносные программы перенастраивают систему Windows таким образом, что все приложения автоматически загружают определенную библиотеку программ (DLL). Это позволяет вредоносным кодам, содержащимся в данной библиотеке DLL, исполняться каждый раз при запуске приложения. |
Когда функция отслеживания событий обнаруживает отслеживаемое системное событие, выполняется действие, настроенное для такого события. Ниже перечислены действия, которые можно выбрать.
|
Действия, выполняемые в отношении отслеживаемых системных событий |
|
Действие |
Описание |
|
Оценка |
OfficeScan всегда разрешает программы, связанные с событием, но делает запись о таком действии в журналах с целью оценки. Это действие по умолчанию для всех отслеживаемых системных событий. |
|
Разрешить |
OfficeScan всегда разрешает программы, связанные с событием. |
|
Запрашивать при необходимости |
OfficeScan выводит пользователям запрос на разрешение или запрет программы, связанной с событием, а также на добавление программы в список исключений. Если пользователь не отреагирует на протяжении определенного времени, OfficeScan автоматически разрешит выполнение программы. Время по умолчанию — 30 секунд. Сведения об изменении этого времени см. в разделе Изменение времени, по истечении которого будет разрешено выполнение программы. |
|
Запретить |
OfficeScan всегда блокирует программы, связанные с событием, и делает запись об этом действии в журналах. Если программа заблокирована и включены уведомления, OfficeScan выводит уведомление на клиентском компьютере. Сведения об уведомлениях см. в разделе Уведомления функции контроля действий для пользователей клиентов. |
Список исключений контроля действий содержит программы, которые не отслеживаются функцией контроля действий.
Разрешенные программы. Программы из этого списка могут быть запущены. Разрешенная программа по-прежнему будет проверяться другими функциями OfficeScan (например, функцией сканирования на основе файлов) перед окончательным разрешением на ее запуск.
Заблокированные программы. Программы из этого списка не могут быть запущены. Для изменения этого списка должна быть включена функция отслеживания событий.
Список исключений настраивается в веб-консоли. Пользователям можно также предоставить право на настройку своих собственных списков исключений в консоли клиента. Подробные сведения см. в разделе Права на контроль действий.
Настройка функций блокирования действий вредоносного ПО, отслеживания событий и списка исключений
Сетевые компьютеры > Управление клиентами
В дереве клиентов щелкните значок корневого домена 
, чтобы выбрать всех клиентов, или выберите определенные домены или клиенты.
Щелкните Параметры > Параметры контроля действий.
Выберите Включить блокирование действий вредоносного ПО.
Настройте параметры функции отслеживания событий.
Выберите Включить отслеживание событий.
Выберите системные события, которые следует отслеживать, а также выберите действие для каждого из выбранных событий. Сведения об отслеживаемых системных событиях и действиях см. в разделе Отслеживание событий.
Настройте список исключений.
В поле Введите полный путь к программе введите полный путь к программе, которую следует разрешить или заблокировать. Разделяйте записи точками с запятой (;). В списке исключений можно использовать подстановочные символы и пути UNC.
Щелкните Разрешить программы или Заблокировать программы.
OfficeScan поддерживает до 100 разрешенных и до 100 заблокированных программ.
Чтобы удалить заблокированную или разрешенную программу из списка, щелкните значок корзины 
рядом с программой.
Если были выбраны домены или клиенты в дереве клиентов, нажмите кнопку Сохранить. Если был выбран значок корневого домена, выберите один из следующих параметров.
Применить ко всем клиентам — применение параметров ко всем имеющимся клиентам и ко всем новым клиентам, добавляемым к существующему или будущему домену. Будущие домены — это домены, которые еще не были созданы в момент настройки параметров.
Применить только к будущим доменам — применение параметров только к клиентам, добавляемым в будущие домены. Выбор этого параметра не приведет к применению параметров к новым клиентам, добавленным в существующий домен.
Изменение времени, по истечении которого будет разрешено выполнение программы
Сетевые компьютеры > Глобальные настройки клиентов
Этот параметр работает, только если включена функция отслеживания событий, а для отслеживаемого системного события выбрано действие «Запрашивать при необходимости». Это действие выводит для пользователя запрос на разрешение или блокирование программ, связанных с событием. Если пользователь не отреагирует на протяжении определенного времени, OfficeScan автоматически разрешит выполнение программы.
Подробные сведения см. в разделе Отслеживание событий.
Перейдите в раздел Параметры контроля действий.
Задайте время в поле Автоматически разрешить программу, если клиент не отвечает в течение __ сек..
Нажмите кнопку Сохранить.
Служба сертифицированного безопасного программного обеспечения отправляет запросы в центры обработки данных Trend Micro с целью проверки безопасности программы, обнаруженной функцией блокирования действий вредоносного ПО или функцией отслеживания событий. Чтобы уменьшить вероятность ошибочного определения угроз, следует запустить службу сертифицированного безопасного программного обеспечения.
Перед включением службы сертифицированного безопасного программного обеспечения убедитесь в правильности параметров прокси-сервера клиента. Неправильные настройки прокси-сервера наряду с нестабильным соединением с Интернетом могут привести к задержке или отсутствию ответа от центров обработки данных Trend Micro, вследствие чего может показаться, что отслеживаемые программы не отвечают.
Кроме того, клиенты, использующие исключительно адреса IPv6, не могут отправлять запросы непосредственно в центры обработки данных Trend Micro. Чтобы обеспечить возможность подключения таких клиентов к центрам обработки данных Trend Micro, необходим прокси-сервер с двумя стеками, который может преобразовывать IP-адреса, например DeleGate.
Для включения службы сертифицированного безопасного программного обеспечения выполните следующие действия.
Сетевые компьютеры > Глобальные настройки клиентов
Перейдите в раздел Параметры контроля действий.
Выберите параметр Включить службу сертифицированного безопасного программного обеспечения.
Нажмите кнопку Сохранить.
См. также: