Configuración de los ajustes de la protección antivirus y antimalware

Para obtener más información sobre cómo crear un plan de protección con el módulo de protección antimalware y antivirus, consulte "Creación de un plan de protección".

Se pueden configurar las siguientes características en el módulo de protección antivirus y antimalware.

Esta sección incluye descripciones de los ajustes disponibles para todos los sistemas operativos compatibles. Compruebe la tabla de características compatibles de Cyber Protect por sistema operativo para tener una referencia sobre las características aplicables a sus cargas de trabajo: Funciones de Cyber Protect compatibles con el sistema operativo.
Algunas características podrían requerir una licencia adicional, según el modelo de licencia aplicado.

Active Protection

Active Protection protege el sistema del ransomware y del malware de minado de criptomonedas. El ransomware cifra los archivos y pide un rescate para obtener la clave de encriptación. El malware de criptominado lleva a cabo cálculos matemáticos en segundo plano. De esta manera, roba potencia de procesamiento y tráfico de red.

Configuración predeterminada: Habilitado.

Para Windows, Active Protection está disponible para los equipos que ejecutan los siguientes sistemas operativos:

  • Sistemas operativos de escritorio: Windows 7 Service Pack 1 y posteriores

    En equipos que ejecutan Windows 7, asegúrese de que está instalada la actualización para Windows 7 (KB2533623).

  • Sistemas operativos de servidor: Windows Server 2008 R2 y posterior

Debe instalarse un agente para Windows en el equipo protegido. La versión del agente debe ser 12.0.4290 (disponible a partir de octubre de 2017) o una versión posterior. Para obtener más información sobre cómo actualizar un agente, consulte Actualizar agentes.

Para Linux, Active Protection está disponible para equipos que ejecutan:

  • CentOS 6.10, 7.8 y versiones secundarias posteriores.

  • CloudLinux 6.10, 7.8 y versiones secundarias posteriores.

  • Ubuntu 16.04.7 y versiones secundarias posteriores.

Debe instalarse un agente para Linux en el equipo protegido. La versión del agente debe ser 15.0.26077 (disponible a partir de diciembre de 2020) o una versión posterior. Para obtener una lista de versiones de kernel Linux compatibles, consulte https://kb.acronis.com/acronis-cyber-protect-cloud-active-protection-for-linux-kernel-versions.

Configuración de Active Protection

En Acción sobre la detección, seleccione la acción que el software deberá realizar al detectar una actividad de ransomware y, a continuación, haga clic en Realizado.

Puede seleccionar una de las siguientes opciones:

  • Solo notificar

    El software generará una alerta sobre el proceso.

  • Detener el proceso

    El software generará una alerta y detendrá el proceso.

  • Revertir usando la caché

    El software generará una alerta, detendrá el proceso y revertirá los cambios de los archivos usando la caché de servicios.

Configuración predeterminada: Revertir usando la caché.

Antimalware avanzado

La disponibilidad de esta característica depende de las cuotas de servicio habilitadas para su cuenta.

El conmutador Antimalware Avanzado habilita el motor basado en firmas locales. Este motor utiliza una base de datos mejorada de firmas de virus para mejorar la eficiencia de la detección antimalware tanto en los análisis rápidos como completos.

La protección en tiempo real solo está disponible con el motor basado en firmas locales.

La protección antivirus y antimalware para macOS y Linux también requiere el motor basado en firmas locales. Para Windows, la protección antivirus y antimalware está disponible con o sin este motor.

Protección de carpetas de red

La configuración Proteger carpetas de red asignadas como dispositivos locales define si Active Protection protege las carpetas de la red que están asignadas como dispositivos locales de los procesos maliciosos locales.

Esta configuración se aplica a carpetas compartidas por protocolos SMB o NFS.

Si un archivo se encontraba al principio en un dispositivo asignado, no se puede guardar en la ubicación original cuando se extraiga de la caché mediante la acción Revertir usando la caché. En su lugar, se guardará en la carpeta especificada en esta configuración. La carpeta predeterminada es C:\ProgramData\Acronis\Restored Network Files. Si esta carpeta no existe, se creará. Si quiere cambiar la ruta, especifique una carpeta local. No se admiten carpetas de red, ni siquiera las de dispositivos asignados.

Configuración predeterminada: Habilitado.

Protección del servidor

Esta configuración define si Active Protection protege las carpetas de la red que comparte de conexiones entrantes externas de otros servidores de la red que puedan suponer amenazas.

Configuración predeterminada: Deshabilitado.

La protección del servidor no es compatible con Linux.

Configuración de confianza y conexiones bloqueadas

Pasos para configurar una conexión de confianza o bloqueada:

  1. En el cuadro de diálogo de la protección del servidor, seleccione una pestaña:
    • Para especificar las conexiones que tienen permitido modificar cualquier dato, seleccione la pestaña De confianza.
    • Para especificar las conexiones que no tienen permitido modificar cualquier dato, seleccione la pestaña Bloqueadas.
  2. Introduzca los siguientes datos:
    • Nombre del equipo y cuenta en la que está instalado el agente de protección.

      Por ejemplo, MyComputer\TestUser.

    • El nombre del servidor del equipo que tiene permitido conectarse a este con el agente.
  3. Haga clic en la marca de verificación de la derecha para guardar la definición de la conexión.
  4. Para añadir más conexiones, haga clic en el botón Añadir.

 

Autoprotección

Autoprotección evita los cambios no autorizados en los procesos propios del software, los archivos de registro, los archivos ejecutables y de configuración y las copias de seguridad que se encuentran en las carpetas locales. No recomendamos deshabilitar esta función.

Configuración predeterminada: Habilitado.

La autoprotección no es compatible con Linux.

Protección por contraseña

La protección por contraseña evita que un software o usuario no autorizado desinstale el agente para Windows o modifique sus componentes. Estas acciones solo se pueden realizar con una contraseña provista por un administrador.

Las siguientes acciones nunca requieren contraseña:

  • Actualizar la instalación mediante la ejecución local del programa de instalación.

  • Actualizar la instalación mediante el uso de la consola web Cyber Protection

  • Reparar la instalación.

Configuración predeterminada: Deshabilitado

Para obtener más información acerca de cómo habilitar la protección por contraseña, consulte Preventing unauthorized uninstallation or modification of agents (Evitar la desinstalación o modificación de agentes no autorizadas).

Detección del proceso de criptominería

Esta configuración define si Active Protection detecta posibles casos de malware de criptominería.

El malware de criptominería afecta al rendimiento de aplicaciones de utilidad, aumenta las facturas de la electricidad, puede provocar que el sistema falle e, incluso, dañar el hardware debido a su explotación. Le recomendamos que añada el malware de criptominería a la lista de procesos peligrosos para proteger sus cargas de trabajo.

Configuración predeterminada: Habilitado.

La detección del proceso de criptominería no es compatible con Linux.

Configuración de detección de procesos de criptominería

En Acción sobre la detección, seleccione la acción que el software deberá realizar al detectar un proceso de criptominería y, a continuación, haga clic en Realizado.

Puede seleccionar una de las siguientes opciones:

  • Solo notificar

    El software genera una alerta del proceso sospechoso de actividad de criptominería.

  • Detener el proceso

    El software genera una alerta y detiene el proceso sospechoso de actividad de criptominería.

Configuración predeterminada: Detener el proceso.

Cuarentena

La carpeta Cuarentena sirve para conservar aislados los archivos sospechosos (posiblemente infectados) o potencialmente peligrosos.

Eliminar archivos en cuarentena después de: define el periodo en días tras el que se eliminarán los archivos que están puestos en cuarentena.

Configuración predeterminada: 30 días.

Para obtener más información sobre esta función, consulte Cuarentena.

Motor de comportamiento

Acronis Cyber Protection protege su sistema con heurística del comportamiento para identificar procesos maliciosos: compara la cadena de acciones realizadas por un proceso con las cadenas de acciones registradas en la base de datos de patrones de conducta maliciosos. De esta forma, el nuevo malware se detecta por su comportamiento típico.

Configuración predeterminada: Habilitado.

El motor de comportamiento no es compatible con Linux.

Para macOS, el motor de comportamiento no es compatible con procesadores Apple Silicon como Apple M1.

Configuración del motor de comportamiento

En Acción sobre la detección, seleccione la acción que el software deberá realizar al detectar una actividad de malware y, a continuación, haga clic en Realizado.

Puede seleccionar una de las siguientes opciones:

  • Solo notificar

    El software generará una alerta del proceso sospechoso de actividad de malware.

  • Detener el proceso

    El software generará una alerta y detendrá el proceso sospechoso de actividad de malware.

  • Cuarentena

    El software generará una alerta, detiene el proceso y traslada el archivo ejecutable a la carpeta de cuarentena.

Configuración predeterminada: Cuarentena.

Prevención contra explotación

La disponibilidad de esta característica depende de las cuotas de servicio habilitadas para su cuenta.

La prevención de vulnerabilidades detecta e impide que los procesos infectados se expandan y se aprovechen de las vulnerabilidades de software de los sistemas con Windows. Cuando se detecta una vulnerabilidad de seguridad, el software puede generar una alerta y detener el proceso sospechoso de actividad de vulnerabilidades.

La prevención de vulnerabilidades solo está disponible con agentes de versiones 12.5.23130 (21.08, lanzada en agosto de 2020) o posteriores.

Configuración predeterminada: Habilitado para planes de protección creados recientemente, y Deshabilitado para planes de protección existentes, creados con versiones de agente anteriores.

La prevención de vulnerabilidades no es compatible con Linux.

Configuración de Prevención de vulnerabilidades

Puede seleccionar lo que debe hacer el programa cuando se detecte una vulnerabilidad y los métodos de prevención de vulnerabilidades que aplica el programa.

En Acción habilitada sobre la detección, seleccione qué hacer cuando se detecte una vulnerabilidad y luego haga clic en Listo.

  • Solo notificar

    El software generará una alerta del proceso sospechoso de actividad de malware.

  • Detener el proceso

    El software generará una alerta y detendrá el proceso sospechoso de actividad de malware.

Configuración predeterminada: Detener el proceso

En Técnicas de prevención de vulnerabilidades habilitadas, habilite o deshabilite los métodos que quiere aplicar y haga clic en Listo.

Puede seleccionar una de las siguientes opciones:

  • Protección de memoria

    Detecta e impide la modificación sospechosa de los derechos de ejecución de las páginas de memoria. Los procesos maliciosos aplican estas modificaciones en las propiedades de las páginas para permitir la ejecución de códigos de shell desde áreas de memoria no ejecutables, como las pilas o los montones.

  • Protección de la programación orientada al retorno (ROP)

    Detecta y previene intentos de la técnica de vulnerabilidad ROP que permite que un atacante ejecute código en presencia de defensas de seguridad, como la protección espacial ejecutable o la firma de código. El atacante obtiene el control de la pila de llamadas y, a continuación, secuestra el flujo de control del programa y ejecuta el código malicioso.

  • Protección de escalada de privilegios

    Detecta y evita los intentos de elevación de privilegios que ejecuta un código o una aplicación no autorizados. La escalada de privilegios la utilizan los códigos maliciosos para obtener el acceso completo del equipo atacado y luego llevar a cabo tareas esenciales y sensibles. Un código no autorizado no puede acceder a los recursos críticos del sistema ni modificar la configuración del sistema.

  • Protección de inyección de código

    Detecta y previene la inyección de código malicioso en los procesos remotos. La inyección de código sirve para ocultar las intenciones maliciosas de una aplicación detrás de procesos limpios o benignos con el objetivo de evadir la detección por parte de los productos antimalware.

Configuración predeterminada: Todos los métodos están habilitados.

Los procesos que aparecen como procesos de confianza en la lista de exclusiones no se examinarán para buscar vulnerabilidades.

Permitir que procesos específicos modifiquen las copias de seguridad

La configuración Permitir que procesos específicos modifiquen las copias de seguridad solo está disponible si está habilitada la configuración Autoprotección.

Se aplica a los archivos cuyas extensiones son .tibx, .tib o .tia y que se encuentran en carpetas locales.

Con esta configuración, puede especificar los procesos que se siguen para modificar los archivos incluidos en la copia de seguridad, aunque estén protegidos por la autoprotección. Esto es útil, por ejemplo, si elimina archivos de copia de seguridad o los traslada a una ubicación diferente con una secuencia de comandos.

Si esta configuración está deshabilitada, solo los procesos firmados por el proveedor del software de la copia de seguridad pueden modificar los archivos incluidos en ella. Así, el software puede aplicar reglas de retención y eliminar copias de seguridad cuando un usuario lo solicite desde la interfaz web. Otros procesos no podrán llevar a cabo modificaciones en ellas, sin importar si son sospechosos o no.

Si esta configuración está habilitada, puede permitir que otros procesos modifiquen las copias de seguridad. Especifique la ruta completa al ejecutable del proceso, empezando por la letra de unidad de disco.

Configuración predeterminada: Deshabilitado.

Protección en tiempo real

La disponibilidad de esta característica depende de las cuotas de servicio habilitadas para su cuenta.

La protección en tiempo real comprueba de forma constante el sistema de su máquina en busca de virus y otras amenazas mientras el sistema esté encendido.

Configuración predeterminada: Habilitado.

La protección en tiempo real solo está disponible cuando el motor basado en firmas locales está encendido. Para la protección en tiempo real, debe habilitar tanto el conmutador de Protección en tiempo real como el conmutador de Antimalware avanzado.

Configuración de la acción sobre la detección para la protección en tiempo real

En Acción sobre la detección, seleccione la acción que el software deberá realizar al detectar un virus u otra amenaza maliciosa y, a continuación, haga clic en Realizado.

Puede seleccionar una de las siguientes opciones:

  • Bloquear y notificar

    El software bloquea el proceso y genera una alerta del proceso sospechoso de actividades de malware.

  • Cuarentena

    El software genera una alerta, detiene el proceso y traslada el archivo ejecutable a la carpeta de cuarentena.

Configuración predeterminada: Cuarentena.

Configuración del Modo de análisis para la protección en tiempo real

En el Modo de análisis, seleccione la acción que el software deberá realizar al detectar un virus u otra amenaza maliciosa y, a continuación, haga clic en Realizado.

Puede seleccionar una de las siguientes opciones:

  • Análisis en acceso: supervisa todas las actividades del sistema y analiza automáticamente los archivos cuando se accede a ellos para su lectura o escritura, o cuando se inicia un programa.
  • Análisis en ejecución: escanea de forma automática archivos ejecutables únicamente cuando se inician para garantizar que estén limpios y que no causarán ningún daño al equipo o a los datos.

Configuración predeterminada: En acceso inteligente.

Planificar análisis

Puede definir la planificación según la cual se comprobará si hay malware en su equipo. Para ello, habilite la configuración Planificar análisis.

Acción sobre la detección:

  • Cuarentena

    El software genera una alerta y traslada el archivo ejecutable a la carpeta de cuarentena.

  • Solo notificar

    El software genera una alerta del proceso sospechoso de ser malware.

Configuración predeterminada: Cuarentena.

Modo de análisis:

  • Completo

    El análisis completo tarda mucho tiempo en terminar en comparación con el análisis rápido porque se comprueban todos los archivos.

  • Rápido

    El análisis rápido solo comprueba las zonas comunes en las que suele residir el malware en el equipo.

Puede planificar tanto el análisis rápido como el completo en un plan de protección.

Configuración predeterminada: Se ha programado el escaneado Rápido y Completo.

Planifique la ejecución de tareas con los siguientes eventos:

  • Planificar por tiempo: la tarea se ejecutará según el tiempo especificado.
  • Cuando el usuario inicia sesión en el sistema: de forma predeterminada, el inicio de sesión de cualquier usuario iniciará la tarea. Puede modificar esta configuración para que únicamente una cuenta de usuario concreta pueda activar la tarea.

  • Cuando el usuario cierra sesión en el sistema: de forma predeterminada, cuando cualquier usuario cierre sesión se iniciará la tarea. Puede modificar esta configuración para que únicamente una cuenta de usuario concreta pueda activar la tarea.

    La tarea no se ejecutará al apagarse el sistema. Apagar y cerrar sesión son dos acciones diferentes de la configuración de la programación.

  • Al iniciarse el sistema: la tarea se ejecutará cuando el sistema operativo se inicie.
  • Al apagarse el sistema: la tarea se ejecutará cuando el sistema operativo se apague.

Configuración predeterminada: Planificar por hora.

Tipo de planificación:

  • Mensualmente : seleccione los meses y las semanas o días del mes en los que se ejecutará la tarea.
  • Diariamente : seleccione los días de la semana en los que se ejecutará la tarea.
  • Cada hora: seleccione los días de la semana, el número de repeticiones y el intervalo de tiempo en los que se ejecutará la tarea.

Configuración predeterminada: Diariamente.

Iniciar a las : seleccione la hora exacta a la que se ejecutará la tarea.

Ejecutar dentro de un intervalo de fechas: Establezca un rango en el que la planificación configurada sea efectiva.

Condiciones de inicio: defina todas las condiciones que se deben cumplir de forma simultánea para que se ejecute la tarea.

Las condiciones de inicio para el análisis antimalware son similares a las de inicio del módulo de copia de seguridad que se describen en "Condiciones de inicio". Puede definir las siguientes condiciones de inicio adicionales:

  • Distribuir las horas de inicio de la tarea en un período de tiempo: esta opción le permite establecer el plazo de tiempo de la tarea para evitar cuellos de botella en la red. Puede especificar el retraso en horas o minutos. Por ejemplo, si la hora de inicio predeterminada son las 10:00 y el retraso es de 60 minutos, la tarea empezará entre las 10:00 y las 11:00.
  • Si el equipo está apagado, ejecutar las tareas perdidas al iniciar el equipo
  • Evitar el modo de suspensión o hibernación durante la ejecución de una tarea: esta opción solo se aplica en equipos que ejecuten Windows.
  • Si no se cumplen las condiciones de inicio, ejecutar la tarea de todos modos después de: especifique el periodo tras el que se ejecutará la tarea, sin importar el resto de las condiciones de inicio.
En Linux, las condiciones de inicio no están admitidas.

Analizar únicamente archivos nuevos y modificados: solo se analizarán los archivos que se hayan creado recientemente y los que se hayan modificado.

Configuración predeterminada: Habilitado.

Al planificar un Análisis completo, tiene dos opciones adicionales:

Analizar archivos del archivo comprimido

Configuración predeterminada: Habilitado.

  • Máxima profundidad de recursión

    Número de niveles de archivos incrustados que se pueden analizar. Por ejemplo, documento MIME > archivo zip > archivo comprimido de Office > contenido del documento.

    Configuración predeterminada: 16.

  • Tamaño máx.

    Tamaño máximo de los archivos de un archivo comprimido que se vaya a escanear.

    Configuración predeterminada: Ilimitada.

Analizar unidades extraíbles

Configuración predeterminada: Deshabilitado.

  • Unidades de red asignadas (remotas)
  • Dispositivos de almacenamiento USB (como memorias y discos duros externos)
  • CD/DVD
El análisis de unidades extraíbles no es compatible con Linux.

Exclusiones

Para minimizar los recursos usados por el análisis heurístico y para eliminar los llamados falsos positivos, cuando un programa de confianza se considera ransomware u otro malware, puede definir la configuración siguiente:

En la pestaña De confianza, puede especificar:

  • Los procesos que nunca se considerarán malware. Los procesos firmados por Microsoft siempre son de confianza.
  • Las carpetas en las que no se controlarán los cambios de archivos.
  • Los archivos y las carpetas en las que no se realizarán los análisis planificados.

En la pestaña Bloqueado, puede especificar:

  • Los procesos que se bloquearán siempre. Estos procesos no podrán iniciarse mientras Active Protection o la protección antimalware estén habilitadas en el equipo.
  • Las carpetas en las que se bloqueará cualquier proceso

Configuración predeterminada: no se define ninguna exclusión de forma predeterminada.

Puede usar un comodín (*) para añadir elementos a las listas de exclusión.

También puede usar variables para añadir elementos a las listas de exclusión. Tenga en cuenta las siguientes limitaciones:

  • Para Windows, solo se admiten las variables del SISTEMA. No se admiten las variables específicas del usuario, por ejemplo, %USERNAME% o %APPDATA%. No se admiten variables con {username}. Para obtener más información, consulte https://ss64.com/nt/syntax-variables.html.
  • Para macOS, no se admiten las variables de entorno.
  • Para Linux, no se admiten las variables de entorno.

Ejemplos de formatos compatibles:

  • %WINDIR%\Media
  • %public%
  • %CommonProgramFiles%\Acronis\ *