ThreatSense è una tecnologia che prevede numerosi metodi di rilevamento di minacce complesse. Questa tecnologia è proattiva, ovvero fornisce protezione anche durante le prime ore di diffusione di una nuova minaccia. Il programma utilizza una combinazione di analisi del codice, emulazione del codice, firme generiche e firme antivirali che operano in modo integrato per potenziare enormemente la protezione del sistema. Il motore di controllo è in grado di controllare contemporaneamente diversi flussi di dati, ottimizzando l'efficienza e la percentuale di rilevamento. La tecnologia ThreatSense è inoltre in grado di eliminare i rootkit.
|
|
Per ulteriori informazioni relative al controllo automatico del file di avvio, consultare Controllo all'avvio.
|
Le opzioni di configurazione del motore ThreatSense consentono all'utente di specificare vari parametri di controllo:
•Tipi ed estensioni dei file da controllare
•Combinazione di diversi metodi di rilevamento
•Livelli di pulizia e così via.
Per accedere alla finestra di configurazione, fare clic su Configurazione parametri motore ThreatSense nella finestra Configurazione avanzata (F5) di qualsiasi modulo che utilizza la tecnologia ThreatSense (vedere sezione sottostante). Scenari di protezione diversi potrebbero richiedere configurazioni diverse. Partendo da questo presupposto, ThreatSense è configurabile singolarmente per i seguenti moduli di protezione:
•Protezione trasporto posta
•Protezione database casella di posta su richiesta
•Protezione database casella di posta
•Controllo Hyper-V
•Protezione file system in tempo reale
•Controlli malware
•Controllo stato di inattività
•Controllo all'avvio
•Protezione documenti
•Protezione client di posta
•Protezione accesso Web
I parametri di ThreatSense vengono ottimizzati per ciascun modulo e la relativa modifica può influire in modo significativo sul funzionamento del sistema. Ad esempio, la modifica dei parametri per il controllo degli eseguibili compressi o per consentire l'euristica avanzata nel modulo della protezione file system in tempo reale potrebbe causare un rallentamento del sistema (questi metodi di controllo vengono applicati generalmente solo ai file di nuova creazione). È quindi consigliabile non modificare i parametri predefiniti di ThreatSense per tutti i moduli, ad eccezione di Controllo computer.
Questa sezione consente all’utente di definire i componenti e i file del computer nei quali verranno ricercate le infiltrazioni.
Memoria operativa
Controlla le minacce che attaccano la memoria operativa del sistema.
Settori di avvio/UEFI
Consente all’utente di controllare i settori di avvio alla ricerca di virus nel record di avvio principale ("Master Boot Record", MBR). In caso di una macchina virtuale Hyper-V, il disco MBR viene controllato in modalità di sola lettura.
Database WMI
Consente di eseguire il controllo dell’intero database WMI ricercando riferimenti a file infetti o malware incorporati come dati.
Registro di sistema
Consente di eseguire il controllo del registro di sistema, di tutte le chiavi e le sottochiavi ricercando riferimenti a file infetti o malware incorporati come dati.
File di e-mail
Il programma supporta le seguenti estensioni: DBX (Outlook Express) ed EML.
Archivi
Il programma supporta le seguenti estensioni: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE e molte altre ancora.
Archivi autoestraenti
Gli archivi autoestraenti (SFX) sono archivi che non necessitano di programmi speciali, ovvero archivi, per decomprimersi.
Eseguibili compressi
Dopo essere stati eseguiti, gli eseguibili compressi (diversamente dai tipi di archivi standard) si decomprimono nella memoria. Oltre agli eseguibili compressi statici standard (UPS, yoda, ASPack, FSG e così via), lo scanner è in grado di riconoscere numerosi altri tipi di programmi di compressione grazie all'utilizzo dell'emulazione del codice.
|
|
Per la funzione della protezione database casella di posta, i file allegati alle e-mail (ad esempio .eml files) vengono controllati indipendentemente dall’impostazione definita in Oggetti da controllare. Ciò dipende dal fatto che il Server Exchange analizza il file .eml in allegato prima di inviarlo a ESET Mail Security per il controllo. Il plug-in VSAPI recupera i file estratti dall’allegato .eml anziché ricevere il file .eml originale.
|
|
Selezionare i metodi utilizzati durante la ricerca di infiltrazioni nel sistema. Sono disponibili le seguenti opzioni:
Euristica
L'euristica è un algoritmo che analizza l'attività (dannosa) dei programmi. Il vantaggio principale offerto da questa tecnologia consiste nella capacità di identificare software dannosi precedentemente inesistenti o non conosciuti dal database del motore di rilevamento precedente.
Euristica avanzata/DNA smart
L'euristica avanzata si basa su un algoritmo di euristica esclusivo sviluppato da ESET, ottimizzato per il rilevamento dei worm e dei trojan horse e scritto in linguaggi di programmazione di alto livello. L'utilizzo dell'euristica avanzata determina un aumento esponenziale delle capacità di rilevamento delle minacce dei prodotti ESET. Le firme sono in grado di rilevare e identificare i virus in modo affidabile. Grazie al sistema di aggiornamento automatico, le nuove firme sono disponibili entro poche ore dal rilevamento di una minaccia. Lo svantaggio delle firme consiste nel fatto che tali strumenti rilevano solo i virus conosciuti (o versioni leggermente diverse di questi virus).
|
Le impostazioni di pulizia determinano il comportamento dello scanner durante la pulizia di file infetti. La protezione in tempo reale e altri moduli di protezione dispongono dei seguenti livelli di correzione (per es. pulizia).
Correggi sempre il rilevamento
Tentativo di correzione del rilevamento durante la pulizia degli oggetti senza alcun intervento da parte dell’utente. I file di sistema sono un’eccezione. Se non è possibile correggere il rilevamento, tali oggetti vengono lasciati nella posizione originale.
Correggi il rilevamento se sicuro; mantienilo in caso contrario
Tentativo di correzione del rilevamento durante la pulizia degli oggetti senza alcun intervento da parte dell’utente. Se non è possibile correggere un rilevamento per i file o gli archivi di sistema (con file puliti e infetti), l’oggetto segnalato viene mantenuto nella posizione originale.
Correggi il rilevamento se sicuro; chiedi in caso contrario
Tentativo di correzione del rilevamento durante la pulizia degli oggetti. In alcuni casi, se ESET Mail Security non è in grado di eseguire un’azione automatica, all’utente verrà richiesto di scegliere un’azione (rimuovi o ignora). Questa impostazione è consigliata nella maggior parte dei casi.
Chiedi sempre all'utente finale
Non verrà tentata alcuna azione automatica da parte di ESET Mail Security. All’utente verrà richiesto di scegliere un’azione.
|
Un'estensione è la parte del nome di un file delimitata da un punto. Un'estensione definisce il tipo e il contenuto di un file. Questa sezione della configurazione dei parametri di ThreatSense consente all'utente di definire i tipi di file da escludere dal controllo.
Altro
Quando si configurano i parametri del motore ThreatSense per l'esecuzione di un Controllo computer su richiesta, nella sezione Altro sono disponibili anche le seguenti opzioni:
Controllo flussi di dati alternativi (ADS)
I flussi di dati alternativi utilizzati dal file system NTFS sono associazioni di file e cartelle invisibili alle normali tecniche di controllo. Molte infiltrazioni tentano di eludere il rilevamento camuffandosi in flussi di dati alternativi.
Esegui controlli in background con priorità bassa
Ogni sequenza di controllo utilizza una determinata quantità di risorse del sistema. Se si utilizzano programmi che necessitano di molte risorse di sistema, è possibile attivare il controllo in background con priorità bassa e risparmiare risorse per le applicazioni.
Registra tutti gli oggetti
In caso di selezione di questa opzione, il file del rapporto consentirà di visualizzare tutti i file controllati, anche quelli non infetti.
Attiva ottimizzazione intelligente
Al fine di garantire un livello di controllo ottimale, l'attivazione dell'ottimizzazione intelligente consente l'utilizzo delle impostazioni più efficienti mantenendo nel contempo la velocità di controllo più elevata. I vari moduli di protezione eseguono il controllo in modo intelligente, utilizzando metodi di controllo differenti e applicandoli a tipi di file specifici. Se l'opzione Ottimizzazione intelligente non è attivata, durante il controllo vengono applicate solo le impostazioni definite dall'utente di moduli specifici nell'architettura di ThreatSense.
Mantieni indicatore data e ora dell'ultimo accesso
Selezionare questa opzione per mantenere l'ora di accesso originale ai file controllati anziché aggiornarli (ad esempio, per l'utilizzo con sistemi di backup di dati).
|
La sezione Limiti consente all'utente di specificare la dimensione massima degli oggetti e i livelli di nidificazione degli archivi sui quali eseguire il controllo:
Impostazioni predefinite oggetti
Attivare questa opzione per utilizzare le impostazioni predefinite (nessun limite). ESET Mail Security ignorerà le impostazioni personalizzate dell'utente.
Dimensione massima oggetto
Definisce la dimensione massima degli oggetti su cui eseguire il controllo. Il modulo di protezione specifico eseguirà unicamente il controllo degli oggetti di dimensioni inferiori rispetto a quelle specificate. Questa opzione dovrebbe essere modificata solo da utenti esperti con motivi particolari per escludere oggetti di maggiori dimensioni dal controllo. Il valore predefinito è: illimitato.
Durata massima controllo dell'oggetto (sec.)
Definisce il valore temporale massimo per il controllo di un oggetto. Se è stato immesso un valore definito dall'utente, il modulo di protezione interromperà il controllo dell'oggetto una volta raggiunto tale valore, indipendentemente dal fatto che il controllo sia stato completato. Il valore predefinito è: illimitato.
Configurazione controllo degli archivi
Per modificare le impostazioni del controllo degli archivi, deselezionare Impostazioni predefinite controllo degli archivi.
Livello di nidificazione degli archivi
Consente all’utente di specificare il livello massimo di controllo degli archivi. Valore predefinito: 10. Per gli oggetti rilevati dalla protezione trasporto posta, il livello di annidamento effettivo è +1 in quanto l'archivio allegato in un'e-mail è considerato di primo livello.
|
|
Se il livello di annidamento è impostato su 3, un file di archivio con livello di annidamento 3 sarà controllato solo a livello di trasporto fino al livello effettivo 2. Di conseguenza, se si desidera controllare gli archivi mediante la protezione trasporto posta fino al livello 3, è necessario impostare il valore del Livello di annidamento degli archivi su 4.
|
Dimensione massima file in archivio
Questa opzione consente all'utente di specificare le dimensioni massime dei file contenuti all'interno degli archivi, i quali, una volta estratti, saranno sottoposti a controllo. Il valore predefinito è: illimitato.
|
|
Si consiglia di non modificare i valori predefiniti. In circostanze normali, non vi sono motivi particolari per eseguire tale operazione.
|
|
