Parametri di ThreatSense
ThreatSense prevede numerosi metodi di rilevamento di minacce complesse. Questa tecnologia è proattiva, ovvero fornisce protezione anche durante le prime ore di diffusione di una nuova minaccia. Il programma utilizza una combinazione di analisi del codice, emulazione del codice, firme generiche e firme antivirali che operano in modo integrato per potenziare enormemente la protezione del sistema. Il motore di controllo è in grado di controllare contemporaneamente diversi flussi di dati, ottimizzando l'efficienza e la velocità di rilevamento. La tecnologia ThreatSense è inoltre in grado di eliminare i rootkit.
Le opzioni di configurazione del motore ThreatSense consentono all'utente di specificare vari parametri di controllo:
- Tipi ed estensioni dei file da controllare
- Combinazione di diversi metodi di rilevamento
- Livelli di pulizia e così via.
Per aprire la finestra di configurazione, fare clic su Parametri di ThreatSense nella finestra Configurazione avanzata di qualsiasi modulo che utilizza la tecnologia ThreatSense (vedere sezione sottostante). Scenari di protezione diversi potrebbero richiedere configurazioni diverse. Partendo da questo presupposto, ThreatSense è configurabile singolarmente per i seguenti moduli di protezione:
- Protezione file system in tempo reale
- Controllo stato di inattività
- Controllo all'avvio
- Protezione documenti
- Protezione client di posta
- Protezione accesso Web
- Controllo del computer
I parametri di ThreatSense vengono ottimizzati per ciascun modulo e la relativa modifica può influire in modo significativo sul funzionamento del sistema. Ad esempio, la modifica dei parametri per il controllo degli eseguibili compressi o per consentire l'euristica avanzata nel modulo della protezione file system in tempo reale potrebbe causare un rallentamento del sistema (questi metodi di controllo vengono applicati generalmente solo ai file di nuova creazione). È quindi consigliabile non modificare i parametri predefiniti di ThreatSense per tutti i moduli, ad eccezione di Controllo del computer.
Oggetti da controllare
Questa sezione consente all'utente di definire i componenti e i file del computer nei quali verranno ricercate le infiltrazioni.
Memoria operativa: ricerca le minacce che attaccano la memoria operativa del sistema.
Settori di avvio/UEFI: controlla i settori di avvio alla ricerca di malware nel record di avvio principale. Per ulteriori informazioni su UEFI, consultare il glossario.
File di e-mail: il programma supporta le seguenti estensioni: DBX (Outlook Express) e EML.
Archivi: il programma supporta le seguenti estensioni ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE e molte altre.
Archivi autoestraenti: si tratta di archivi (SFX) in grado di eseguire automaticamente l'estrazione del proprio contenuto.
Eseguibili compressi: dopo essere stati eseguiti, gli eseguibili compressi (diversamente dai tipi di archivi standard) si decomprimono nella memoria. Oltre agli eseguibili compressi statici standard (UPX, yoda, ASPack, FSG e così via), lo scanner è in grado di riconoscere numerosi altri tipi di programmi di compressione grazie all'utilizzo dell'emulazione del codice.
Opzioni di controllo
Selezionare i metodi utilizzati durante la ricerca di infiltrazioni nel sistema. Sono disponibili le seguenti opzioni:
Euristica: l'euristica è un algoritmo che analizza l'attività (dannosa) dei programmi. Il vantaggio principale offerto da questa tecnologia consiste nella capacità di identificare software dannosi precedentemente inesistenti o non conosciuti dalla versione precedente del motore di rilevamento. Lo svantaggio è una probabilità (minima) di falsi allarmi.
Euristica avanzata/Firme DNA: l'euristica avanzata si basa su un algoritmo di euristica esclusivo sviluppato da ESET, ottimizzato per il rilevamento dei worm e dei trojan horse e scritto in linguaggi di programmazione di alto livello. L'utilizzo dell'euristica avanzata determina un aumento esponenziale delle capacità di rilevamento delle minacce dei prodotti ESET. Le firme sono in grado di rilevare e identificare i virus in modo affidabile. Grazie al sistema di aggiornamento automatico, le nuove firme sono disponibili entro poche ore dal rilevamento di una minaccia. Lo svantaggio delle firme consiste nel fatto che tali strumenti rilevano solo i virus conosciuti (o versioni leggermente diverse di questi virus).
Pulizia
Le impostazioni di pulizia determinano il comportamento di ESET Endpoint Security durante la pulizia degli oggetti.
Esclusioni
Un'estensione è la parte del nome di un file delimitata da un punto. Un'estensione definisce il tipo e il contenuto di un file. Questa sezione della configurazione dei parametri di ThreatSense consente di definire i tipi di file da sottoporre a controllo.
Altro
Quando si configurano i parametri del motore ThreatSense per l'esecuzione di un Controllo computer su richiesta, nella sezione Altro sono disponibili anche le seguenti opzioni:
Controlla flussi di dati alternativi (ADS): i flussi di dati alternativi utilizzati dal file system NTFS sono associazioni di file e cartelle invisibili alle normali tecniche di controllo. Molte infiltrazioni tentano di eludere il rilevamento camuffandosi in flussi di dati alternativi.
Esegui controlli in background con priorità bassa: ogni sequenza di controllo utilizza una determinata quantità di risorse del sistema. Se si utilizzano programmi che necessitano di un carico elevato di risorse di sistema, è possibile attivare il controllo in background con priorità bassa e risparmiare risorse per le applicazioni.
Registra tutti gli oggetti: nel Rapporto del controllo verranno mostrati tutti i file controllati negli archivi autoestraenti, anche quelli non infetti (si potrebbero generare molti dati del rapporto del controllo e aumentarne di conseguenza le dimensioni).
Attiva ottimizzazione intelligente: al fine di garantire un livello di controllo ottimale, l'attivazione dell'ottimizzazione intelligente consente l'utilizzo delle impostazioni più efficienti mantenendo nel contempo la velocità di controllo più elevata. I vari moduli di protezione eseguono il controllo in modo intelligente, utilizzando metodi di controllo differenti e applicandoli a tipi di file specifici. Se l’ottimizzazione intelligente è disabilitata, durante l’esecuzione di un controllo vengono applicate solo le impostazioni definite dall’utente nella memoria centrale di ThreatSense per i moduli specifici.
Mantieni indicatore data e ora dell'ultimo accesso: selezionare questa opzione per mantenere l'ora di accesso originale ai file controllati anziché aggiornarli (ad esempio, per l'utilizzo con sistemi di backup di dati).
Limiti
La sezione Limiti consente all'utente di specificare la dimensione massima degli oggetti e i livelli di nidificazione degli archivi sui quali eseguire il controllo:
Impostazioni oggetti
Dimensione massima oggetto: definisce la dimensione massima degli oggetti su cui eseguire il controllo. Il modulo antivirus specifico eseguirà unicamente il controllo degli oggetti di dimensioni inferiori rispetto a quelle specificate. Questa opzione dovrebbe essere modificata solo da utenti esperti che abbiano ragioni particolari per escludere oggetti di maggiori dimensioni dal controllo. Valore predefinito: illimitato.
Durata massima del controllo dell’oggetto (sec.): definisce il valore temporale massimo per il controllo dei file in un oggetto contenitore (ad esempio, un archivio RAR/ZIP o un’e-mail con allegati multipli). Questa impostazione non si applica ai file indipendenti. Se è stato inserito un valore definito dall’utente e il tempo è trascorso, il controllo di ciascun file in un oggetto contenitore si interrompe il prima possibile, indipendentemente dal fatto che sia stato completato. Nel caso di un archivio con file di grandi dimensioni, il controllo si interrompe non prima dell’estrazione di un file dall’archivio (ad esempio, se una variabile definita dall’utente è 3 secondi, ma l’estrazione di un file richiede 5 secondi). Al termine di tale intervallo di tempo, non verrà eseguito il controllo degli altri file presenti nell’archivio. Per limitare la durata del controllo, anche relativamente ad archivi di maggiori dimensioni, utilizzare Dimensioni massime dell’oggetto e Dimensioni massime del file in archivio (scelta non consigliata a causa di possibili rischi per la protezione). Valore predefinito: illimitato.
Configurazione controllo degli archivi
Livello di nidificazione degli archivi: specifica il livello massimo di controllo degli archivi. Valore predefinito: 10.
Dimensioni massime del file in archivio: questa opzione consente all’utente di specificare le dimensioni massime dei file contenuti all'interno degli archivi, i quali, una volta estratti, saranno sottoposti a controllo. Il valore predefinito è 3 GB.
Si consiglia di non modificare i valori predefiniti. In circostanze normali, non vi sono motivi particolari per eseguire tale operazione. |