Настройки модуля "Антивирус и защита от вредоносных программ"

Информацию о создании плана защиты с использованием модуля Антивирус и защита от вредоносных программ см. в разделе Создание плана защиты.

Для модуля Антивирус и защита от вредоносных программ можно настроить указанные ниже функции.

Active Protection

Active Protection обеспечивает защиту системы от программ-вымогателей и криптомайнеров. Программы-вымогатели шифруют файлы и требуют выкуп за предоставление ключа шифрования. Криптомайнеры выполняют математические расчеты в фоновом режиме и таким образом несанкционированно используют вычислительные мощности и сетевой трафик.

Настройка по умолчанию: Включено.

Служба Active Protection доступна для машин со следующими версиями Windows:

• Операционные системы для настольных компьютеров: Windows 7 с пакетом обновления 1 (SP1) и более поздних версий

  Для машин с ОС Windows 7 должно быть установлено обновление KB2533623.

• Серверные операционные системы: Windows Server 2008 R2 и более поздних версий

На защищенной машине должен быть установлен агент для Windows. Агент должен иметь версию 12.0.4290 (выпущена в октябре 2017 года) или более позднюю. Дополнительную информацию о том, как обновить агент, см. в разделе Обновление агентов.

Служба Active Protection доступна для машин со следующими версиями Linux:

• CentOS 6.10, 7.8 и более поздние дополнительные версии

• CloudLinux 6.10, 7.8 и более поздние дополнительные версии

• Ubuntu 16.04.7 и более поздние дополнительные версии

На защищенной машине должен быть установлен агент для Linux. Агент должен иметь версию 15.0.26077 (выпущена в декабре 2020 года) или более позднюю. Список поддерживаемых версий ядра Linux см. по ссылке https://kb.acronis.com/acronis-cyber-protect-cloud-active-protection-for-linux-kernel-versions.

Настройки Active Protection

В окне Действие при обнаружении выберите действие, которое программа выполнит при обнаружении деятельности программы-вымогателя, а затем нажмите кнопку Готово.

Можно выбрать один из следующих вариантов:

• Только уведомить

  Программа выдаст оповещение о процессе.

• Остановить процесс

  Программа выдаст оповещение и остановит процесс.

• Отменить изменения, используя кэш

  Программа выдаст оповещение, остановит процесс и отменит внесенные в файл изменения, используя кэш службы.

Настройка по умолчанию: Отменить изменения, используя кэш.

Расширенная защита от вредоносных программ

Переключатель Расширенная защита от вредоносных программ позволяет включить локальное ядро обнаружения на основе сигнатур. Это ядро использует расширенную базу данных с сигнатурами вирусов, что позволяет повысить эффективность обнаружения вредоносных программ как в ходе быстрого, так и в ходе полного сканирования.

Функция защиты в реальном времени доступна только при использовании локального ядра обнаружения на основе сигнатур.

Локальное ядро обнаружения на основе сигнатур также требуется для работы антивирусной программы и защиты от вредоносных программ в macOS и Linux. В ОС Windows работа антивирусной программы и защиты от вредоносных программ не зависит от наличия данного ядра.

Защита сетевых папок

Параметр Защита сетевых папок, назначенных как локальные диски определяет, будет ли Active Protection защищать от локальных вредоносных процессов сетевые папки, которые подключены как локальные диски.

Эта настройка применяется к папкам, общий доступ к которым предоставлен по протоколам SMB или NFS.

Если файл изначально расположен на подключенном диске, его невозможно сохранить в исходное расположение, если он извлечен из кэша с помощью действия Отменить изменения, используя кэш. Вместо этого он будет сохранен в папку, указанную в этой настройке. По умолчанию используется папка C:\ProgramData\Acronis\Restored Network Files. Если эта папка не существует, она будет создана. Чтобы изменить этот путь, укажите локальную папку. Сетевые папки, включая папки на подключенных дисках, не поддерживаются.

Настройка по умолчанию: Включено.

Защита на стороне сервера

Эта настройка определяет, распространяется ли защита Active Protection на входящие подключения с других серверов в сети (которые могут быть потенциально опасными) к сетевым папкам, к которым вы открыли общий доступ.

Настройка по умолчанию: Отключено.

Настройка доверенных и блокированных подключений

Порядок настройки доверенного или заблокированного подключения

1. В диалоговом окне "Защита на стороне сервера" выберите следующую вкладку:
   • На вкладке Доверенные задаются подключения, которым разрешено менять любые данные.
   • На вкладке Заблокированные задаются подключения, которым запрещено менять данные.
2. Введите следующие данные:
   • Имя компьютера и учетная запись для машины с установленным агентом защиты.

     Например, MyComputer\TestUser.

   • Имя хоста машины, которой разрешено подключаться к машине с агентом.
3. Чтобы сохранить определение подключения, установите отметку справа.
4. Чтобы добавить дополнительные подключения, щелкните кнопку Добавить.

 

Самозащита

Самозащита предотвращает несанкционированные изменения собственных процессов программного обеспечения, записей в реестрах, исполняемых файлов и файлов конфигурации, а также резервных копий в локальных папках. Не рекомендуется выключать эту функцию.

Настройка по умолчанию: Включено.

Защита паролем

Защита паролем позволяет избежать удаления агента для Windows или изменения его компонентов со стороны неуполномоченных пользователей или программ. Эти действия возможно выполнить только при наличии пароля, который может предоставить администратор.

Для выполнения следующих действий пароль не требуется:

• Обновление установки путем запуска программы установки локально

• Обновление установки через веб-консоль Cyber Protection

• Исправление установки

Настройка по умолчанию: Отключено

Дополнительную информацию о включении защиты паролем см. в разделе Предотвращение несанкционированного удаления или изменения агентов.

Выявления процесса майнинга криптовалют

Эта настройка позволяет включить или отключить выявление потенциальных криптомайнеров в Active Protection.

Криптомайнеры снижают производительность полезных приложений, повышают расход электроэнергии, могут привести к сбою системы и даже повреждению оборудования из-за нарушений характеристик его работы. Для защиты рабочих нагрузок рекомендуем добавить криптомайнеры в список Вредные процессы.

Настройка по умолчанию: Включено.

Настройки выявления процесса майнинга криптовалют

В окне Процесс при обнаружении выберите действие, которое программа выполнит при обнаружении активности криптомайнера, и щелкните Готово.

Можно выбрать один из следующих вариантов:

• Только уведомить

  Программа формирует оповещение о процессе с подозрением на активность, связанную с майнингом криптовалют.

• Остановить процесс

  Программа формирует оповещение о процессе с подозрением на активность, связанную с майнингом криптовалют, и останавливает его.

Настройка по умолчанию: Остановить процесс.

Карантин

Карантин: папка для хранения подозрительных (возможно, инфицированных) или потенциально опасных файлов в изолированном месте.

Удалить файлы из карантина через: определяет период (в днях), по окончании которого помещенные в карантин файлы будут удалены.

Настройка по умолчанию: 30 дней.

Дополнительную информацию об этой функции см. в разделе Карантин.

Модуль отслеживания поведения

Acronis Cyber Protection защищает систему, используя поведенческую эвристику для выявления вредоносных процессов: программа сравнивает цепочку действий, выполняемых процессом, с цепочками действий, записанными в базе данных вредоносных моделей поведения. Таким образом, новая вредоносная программа выявляется по ее типичному поведению.

Настройка по умолчанию: Включено.

Настройки модуля отслеживания поведения

В окне Действие при обнаружении выберите действие, которое программа выполнит при обнаружении активности вредоносной программы, а затем нажмите кнопку Готово.

Можно выбрать один из следующих вариантов:

• Только уведомить

  Программа сформирует оповещение о процессе с подозрением на вредоносные действия.

• Остановить процесс

  Программа сформирует оповещение и остановит процесс с подозрением на вредоносные действия.

• Карантин

  Программа сформирует оповещение, остановит процесс и переместить исполняемый файл в папку карантина.

Настройка по умолчанию: Карантин.

Предотвращение эксплойтов

Функция "Предотвращение эксплойтов" обнаруживает инфицированные процессы, предотвращает их распространение и блокирует их попытки использовать уязвимости в системах Windows. При обнаружении эксплойта программа формирует оповещение о процессе с подозрением на активность, связанную с эксплойтом, и останавливает его.

Функция "Предотвращение эксплойтов" доступна только для агента версии 12.5.23130 (21.08, выпущена в августе 2020 года) или более поздних.

Настройка по умолчанию: Включено для вновь созданных планов защиты и Отключено для существующих планов защиты, созданных с использованием агента предыдущих версий.

Настройки предотвращения эксплойтов

Можно выбрать действия программы при обнаружении эксплойта и методы предотвращения эксплойтов, которые применяются данной программой.

В области Enabled Action on detection (Применяемое действие при выявлении) выберите действие, которое будет применяться при обнаружении эксплойта, и щелкните Готово.

• Только уведомить

  Программа сформирует оповещение о процессе с подозрением на вредоносные действия.

• Остановить процесс

  Программа сформирует оповещение и остановит процесс с подозрением на вредоносные действия.

Настройка по умолчанию: Остановить процесс

В разделе Включенные методы предотвращения эксплойтов включите или отключите нужные методы и щелкните Готово.

Можно выбрать один из следующих вариантов:

• Защита памяти

  Обнаруживает и предотвращает подозрительные попытки изменить права выполнения страниц памяти. Вредоносные процессы вносят такие изменения в свойства страницы, чтобы сделать возможным выполнение шелл-кодов из неисполняемых областей памяти, таких как область стека (stack) и область кучи (heap).

• Защита от возвратно-ориентированного программирования

  Обнаруживает и предотвращает попытки использовать возвратно-ориентированное программирование (метод эксплуатации уязвимостей ПО), которое позволяет атакующему выполнить необходимый ему код при наличии в системе защитных технологий, например защиты пространства исполняемого кода и подписи исполняемого кода. Атакующий получает контроль над стеком вызовов, после чего взламывает поток управления программы и выполняет вредоносный код.

• Защита от атак с использованием повышения привилегий

  Обнаруживает и предотвращает попытки повышения привилегий со стороны несанкционированного кода или приложения. Повышение привилегий используется вредоносным кодом для получения полного доступа к атакуемой машине, после чего выполняются критически важные задачи. Несанкционированному коду не разрешено получать доступ к критически важным ресурсам системы или изменять параметры системы.

• Защита от вставки кода

  Обнаруживает и предотвращает вставку вредоносного кода в удаленные процессы. Вставка кода используется для скрытия злонамеренных действий приложения под видом безопасных или полезных процессов для обхода выявления продуктами защиты от вредоносных программ.

Настройка по умолчанию: Включены все методы.

Разрешение процессам вносить изменения в резервные копии

Настройка Разрешить определенным процессам изменять резервные копии доступна только в том случае, если включена настройка Самозащита.

Этот параметр применяется к файлам, которые имеют расширения .tibx, .tib, .tia и расположены в локальных папках.

Эта настройка позволяет указать процессы, которым разрешено изменять файлы резервных копий, даже когда эти файлы защищены самозащитой. Это полезно, например, при удалении файлов резервной копии или их перемещении в другое расположение с помощью сценария.

Если эта настройка отключена, вносить изменения в файлы резервных копий могут только те процессы, которые подписаны поставщиком программного обеспечения для резервного копирования. Это позволит программному обеспечению применять правила хранения и удалять резервные копии при поступлении с веб-интерфейса соответствующего запроса от пользователя. Другие процессы (независимо от того, подозрительные они или нет) не могут вносить изменения в резервные копии.

Если эта настройка включена, можно разрешить другим процессам вносить изменения в резервные копии. Укажите полный путь к выполняемому процессу, начиная с буквы диска.

Настройка по умолчанию: Отключено.

Защита в реальном времени

Защита в реальном времени постоянно проверяет систему машины на вирусы и другие угрозы все время, пока система включена.

Настройка по умолчанию: Включено.

Настройка действия при выявлении для защиты в реальном времени

В окне Действие при обнаружении выберите действие, которое программа выполнит при обнаружении вируса и другой угрозы, а затем нажмите кнопку Готово.

Можно выбрать один из следующих вариантов:

• Блокировать и уведомить

  Программа блокирует процесс с подозрением на вредоносные действия и формирует оповещение о нем.

• Карантин

  Программа формирует оповещение, останавливает процесс и перемещает исполняемый файл в папку карантина.

Настройка по умолчанию: Карантин.

Настройка режима сканирования для защиты в реальном времени

В окне Режим сканирования выберите действие, которое программа выполнит при обнаружении вируса и другой угрозы, а затем нажмите кнопку Готово.

Можно выбрать один из следующих вариантов:

• При доступе (интеллектуальный): отслеживает все действия в системе и автоматически сканирует файлы, когда к ним выполняется доступ для чтения или записи, или при каждом запуске программы.
• При выполнении: автоматически сканируются только исполняемые файлы при их запуске, чтобы проверить их на предмет безопасности для компьютера или данных.

Настройка по умолчанию: При доступе (интеллектуальный).

Запланированное сканирование

Можно задать расписание для проверки машины на вредоносные программы. Для этого необходимо включить настройку Запланированное сканирование.

Действие при обнаружении:

• Карантин

  Программа формирует оповещение и перемещает исполняемый файл в папку карантина.

• Только уведомить

  Программа формирует оповещение о процессе с подозрением на активность вредоносных программ.

Настройка по умолчанию: Карантин.

Режим сканирования:

• Полная

  Полное сканирование занимает гораздо большее время по сравнению с быстрым сканированием, поскольку проверяется каждый файл.

• Быстрое

  При быстром сканировании сканируются те области на машине, в которых обычно располагается вредоносное программное обеспечение.

В одном плане защиты можно запланировать как быстрое, так и полное сканирование.

Настройка по умолчанию: Запланировано быстрое и полное сканирование.

Запланируйте запуск задания, используя указанные ниже события.

• Расписание по времени: задание запускается в указанное время.
• При входе пользователя в систему: по умолчанию задание запускается при входе любого пользователя в систему. Можно изменить эту настройку в тех случаях, когда необходимо, чтобы задание мог инициировать только определенный пользователь.

• При выходе пользователя из системы: по умолчанию задание запускается при выходе любого пользователя из системы. Можно изменить эту настройку в тех случаях, когда необходимо, чтобы задание мог инициировать только определенный пользователь.

  Задание не будет запускаться при выключении системы. Выключение системы и выход из системы — это разные события в настройке расписания.

• При запуске системы: задание запускается при запуске операционной системы.
• При выключении системы: задание запускается при выключении операционной системы.

Настройка по умолчанию: Расписание по времени.

Тип расписания:

• Ежемесячно: выберите месяцы и недели или дни месяца для запуска задания.
• Ежедневно: выберите дни недели для запуска задания.
• Ежечасно: выберите дни недели, количество повторений и интервал времени для запуска задания.

Настройка по умолчанию: Ежедневные.

Запускать в: выберите точное время запуска задания.

Запускать в пределах диапазона дат: задайте диапазон, в течение которого будет действовать расписание.

Условия запуска: укажите все условия, которые одновременно должны быть удовлетворены для запуска задания.

Условия запуска сканирований на наличие вредоносных программ аналогичны условиям запуска для модуля «Резервное копирование», которые описаны в разделе Условия запуска. Можно задать следующие дополнительные условия запуска:

• Распределять время запуска заданий по доступному времени: этот параметр позволяет задать интервал времени для выполнения задания, чтобы избежать проблем с загрузкой сети. Можно указать задержку в часах или минутах. Например, если для времени запуска по умолчанию задано 10:00 с задержкой 60 минут, задание будет запущено между 10:00 и 11:00.
• Если машина выключена, выполнить пропущенные задания при ее загрузке
• Отключить переход в спящий режим или режим гибернации при выполнении задания: этот параметр работает только для машин под управлением Windows.
• Если условия запуска не выполнены, все равно запустить задание через: укажите период времени, по истечении которого задание будет запущено независимо от выполнения других условий запуска.

Сканировать только новые и измененные файлы: сканируются только новые и измененные файлы.

Настройка по умолчанию: Включено.

Если запланировано Полное сканирование, у вас есть две дополнительных возможности:

Сканировать файлы архива

Настройка по умолчанию: Включено.

• Максимальная глубина рекурсии

  Количество уровней, которые будут сканироваться в архивах. Например, "документ MIME" > "ZIP-архив" > "архив Office" > "содержимое документа".

  Настройка по умолчанию: 16.

• Максимальный размер

  Максимальный размер файла архива для сканирования.

  Настройка по умолчанию: Без ограничений.

Сканировать съемные диски

Настройка по умолчанию: Отключено.

• Подключенные (удаленные) сетевые диски
• Устройства хранения USB (например, флэш-накопители и внешние жесткие диски)
• Диски CD/DVD

Исключения

Для минимизации ресурсов, используемых для эвристического анализа, и устранения так называемых ложноположительных срабатываний, когда доверенная программа рассматриваться как программа-вымогатель или другая вредоносная программа, можно задать следующие настройки:

На вкладке Доверенные можно указать следующее:

• Процессы, которые никогда не будут рассматриваться как вредоносные программы. Процессам, подписанныv Microsoft, можно всегда доверять.
• Папки, в которых не будут отслеживаться изменения файлов.
• Файлы и папки, в которых запланированное сканирование не будет выполняться.

На вкладке Заблокировано можно указать следующее:

• Процессы, которые всегда будут заблокированы. Эти процессы не смогут запуститься, пока на машине включена служба Active Protection или «Защита от вредоносных программ».
• Папки, в которых любые процессы будут заблокированы.

Настройка по умолчанию: По умолчанию не задано ни одного исключения.

Для добавления элементов в списки исключений можно использовать подстановочный символ (*).

Для добавления элементов в списки исключений также можно использовать переменные. Обратите внимание на следующие ограничения:

• Для Windows поддерживаются только переменные SYSTEM. Пользовательские специфические переменные, например %USERNAME%, %APPDATA%, не поддерживаются. Переменные с {username} не поддерживаются. Дополнительную информацию см. по ссылке https://ss64.com/nt/syntax-variables.html.
• Для macOS переменные среды не поддерживаются.
• Для Linux переменные среды не поддерживаются.

Примеры поддерживаемых форматов:

• %WINDIR%\Media
• %public%
• %CommonProgramFiles%\Acronis\ *