ThreatSense is technologie die bestaat uit talloze complexe methoden voor het detecteren van bedreigingen. Deze technologie is proactief. Dit betekent dat ook beveiliging wordt geboden tijdens de vroege verspreiding van een nieuwe bedreiging. Er wordt gebruikgemaakt van een combinatie van codeanalyse, code-emulatie, generieke kenmerken en viruskenmerken, die samenwerken om de systeembeveiliging aanzienlijk te verbeteren. De scanengine is in staat verschillende gegevensstromen tegelijk te controleren voor een maximale efficiëntie en een zo hoog mogelijk detectiepercentage. De ThreatSense-technologie zorgt tevens voor de verwijdering van rootkits.
|
|
zie Opstartscan voor meer informatie over automatische controle van opstartbestanden.
|
Via de instellingsopties van de ThreatSense-engine kunt u verschillende scanparameters opgeven:
•Bestandstypen en extensies die moeten worden gescand
•De combinatie van verschillende detectiemethoden
•Opschoonniveaus, enz.
Klik op Parameters voor ThreatSense-engine instellen in het venster Geavanceerde instellingen(F5) van elke module die gebruikmaakt van de ThreatSense-technologie (zie hieronder). Verschillende beveiligingsscenario's vereisen mogelijk verschillende configuraties. Daarom is ThreatSense afzonderlijk configureerbaar voor de volgende beveiligingsmodules:
•Beveiliging van e-mailtransport
•Beveiliging van postvakdatabase op aanvraag
•Beveiliging van postvakdatabase
•Hyper-V-scan
•Real-timebeveiliging van bestandssysteem
•Malwarescans
•Scannen bij inactieve status
•Opstartscan
•Documentbescherming
•Beveiliging van e-mailclient
•Beveiliging van webtoegang
ThreatSense-parameters zijn in hoge mate geoptimaliseerd voor elke module. Als u de parameters wijzigt, kan dit een aanzienlijke invloed hebben op de werking van het systeem. Als bijvoorbeeld parameters voor het altijd scannen van software voor runtime-compressie worden gewijzigd of als geavanceerde heuristiek wordt ingeschakeld in de module voor Real-timebeveiliging van bestandssysteem, zou dit kunnen resulteren in een vertraging van het systeem (normaliter worden alleen nieuw gemaakte bestanden gescand via deze methoden). Wij adviseren de ThreatSense-standaardparameters ongewijzigd te laten voor alle modules met uitzondering van Computerscan.
In dit gedeelte kunt u opgeven welke computeronderdelen moeten worden gescand op infiltratie.
Werkgeheugen
Hiermee wordt gescand op bedreigingen die zijn gericht op het werkgeheugen van het systeem.
Opstartsectoren/UEFI
Hiermee worden opstartsectoren gescand op de aanwezigheid van virussen in de Master Boot Record (MBR). In het geval van een virtuele Hyper-V-machine wordt de Master Boot Record van de desbetreffende schijf alleen in de modus Alleen-lezen gescand.
WMI-database
Hiermee wordt de hele WMI-database gescand en wordt gezocht naar verwijzingen naar geïnfecteerde bestanden of malware die zijn ingesloten als gegevens.
Systeemregister
Hiermee worden het hele systeemregister en alle sleutels en subsleutels gescand en wordt gezocht naar verwijzingen naar geïnfecteerde bestanden of malware die zijn ingesloten als gegevens.
E-mailbestanden
Het programma ondersteunt de volgende extensies: DBX (Outlook Express) en EML.
Archieven
Het programma ondersteunt de volgende extensies: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE, enzovoort.
Zelfuitpakkende archieven
Zelfuitpakkende archieven (SFX) zijn archieven die kunnen worden uitgepakt zonder gespecialiseerde programma's (archieven) te gebruiken.
Software voor runtime-compressie
Na uitvoering wordt software voor runtime-compressie (in tegenstelling tot standaardarchieftypen) in het geheugen uitgepakt. Dankzij emulatie van de programmacode kan de scanner niet alleen standaardprogramma's voor statische compressie (zoals UPX, yoda, ASPack en FSG), maar ook allerlei andere compressieprogramma's herkennen.
|
|
Voor de functie Beveiliging van postvakdatabase worden bijgevoegde e-mailbestanden (bijvoorbeeld .eml files) gescand, ongeacht de instelling onder Te scannen objecten. De reden hiervoor is dat Exchange Server het bijgevoegde .eml-bestand parseert voordat het door ESET Mail Security voor een scan wordt ingediend. De VSAPI-plug-in krijgt uitgepakte bestanden vanuit de .eml-bijlage en ontvangt niet het oorspronkelijke .eml-bestand.
|
|
Selecteer de methoden die moeten worden gebruikt wanneer het systeem op infiltraties wordt gescand. De volgende opties zijn beschikbaar:
Heuristiek
Een heuristiek is een algoritme dat de (schadelijke) activiteit van programma's analyseert. Het voornaamste voordeel van deze technologie is het vermogen om schadelijke software te identificeren die nog niet bestond of niet bekend was in de vorige detectie-engine.
Geavanceerde heuristiek/DNA-kenmerken
De geavanceerde heuristiek bestaat uit een uniek heuristisch algoritme dat door ESET is ontwikkeld en dat is geoptimaliseerd voor het detecteren van computerwormen en Trojaanse paarden. Het gebruik van geavanceerde heuristiek vergroot de bedreigingsdetectiemogelijkheden van ESET-producten aanzienlijk. Kenmerken (handtekeningen) kunnen virussen op betrouwbare wijze detecteren en identificeren. Dankzij het automatische updatesysteem zijn nieuwe kenmerken binnen enkele uren beschikbaar. Het nadeel van kenmerken is dat ze alleen bekende virussen (of varianten van deze virussen) detecteren.
|
De opschooninstellingen bepalen het gedrag van de scanner tijdens het opschonen van geïnfecteerde bestanden. Realtimebeveiliging en andere beveiligingsmodules hebben de volgende opschoningsniveaus.
Detectie altijd verhelpen
Probeer de detectie te verhelpen tijdens het opschonen van objecten zonder tussenkomst van de gebruiker. Systeembestanden zijn een uitzondering. Dergelijke objecten worden op hun oorspronkelijke locatie achtergelaten als de detectie niet kan worden verholpen.
Detectie verhelpen indien dit veilig is, anders zo houden
Probeer de detectie te verhelpen tijdens het opschonen van objecten zonder tussenkomst van de gebruiker. Als een detectie niet kan worden verholpen voor systeembestanden of archieven (met schone en geïnfecteerde bestanden), wordt het gerapporteerde object op de oorspronkelijke locatie bewaard.
Detectie verhelpen indien dit veilig is, anders vragen
Probeer de detectie te verhelpen tijdens het opschonen van objecten. In sommige gevallen, als ESET Mail Security geen automatische actie kan uitvoeren, wordt u gevraagd een actie te kiezen (verwijderen of negeren). Deze instelling wordt in de meeste gevallen aanbevolen.
Vraag altijd de eindgebruiker
ESET Mail Security probeert geen automatische actie uit te voeren. U wordt gevraagd een actie te kiezen.
|
Een extensie is het onderdeel van een bestandsnaam na de punt. De extensie definieert het type en de inhoud van het bestand. In dit gedeelte van de instellingen voor ThreatSense-parameters kunt u de typen bestanden definiëren die u wilt uitsluiten van scannen.
Overig
Wanneer u de instellingen van de parameters voor de ThreatSense-engine configureert voor een computerscan op aanvraag, zijn ook de volgende opties beschikbaar in het gedeelte Overige:
Alternatieve gegevensstromen (ADS) scannen
Alternatieve gegevensstromen die worden gebruikt door het NTFS-bestandssysteem zijn bestands- en mapkoppelingen die onzichtbaar zijn voor normale scantechnieken. Veel infiltraties proberen detectie te vermijden door zichzelf te vermommen als alternatieve gegevensstromen.
Achtergrondscans uitvoeren met lage prioriteit
Elke scanprocedure neemt een bepaalde hoeveelheid systeembronnen in beslag. Als u werkt met programma's waarbij de systeembronnen zwaar worden belast, kunt u achtergrondscans met een lage prioriteit inschakelen en zo bronnen besparen ten gunste van uw toepassingen.
Alle objecten in logbestand registreren
Als deze optie is geselecteerd, worden in het logbestand alle gescande bestanden weergegeven, zelfs niet-geïnfecteerde bestanden.
Smart-optimalisatie inschakelen
Wanneer Smart-optimalisatie is ingeschakeld, worden de optimale instellingen gebruikt om het efficiëntste scanniveau te garanderen, terwijl ook de hoogste scansnelheden worden behaald. De diverse beveiligingsmodules scannen op intelligente wijze, waarbij gebruik wordt gemaakt van verschillende scanmethoden die op specifieke bestandstypen worden toegepast. Als Smart-optimalisatie is uitgeschakeld, worden alleen de door de gebruiker gedefinieerde instellingen in de ThreatSense-kern van de desbetreffende module toegepast bij het uitvoeren van een scan.
Tijdstempel laatste toegang bewaren
Selecteer deze optie om de oorspronkelijke toegangstijd van gescande bestanden te handhaven in plaats van deze bij te werken (bijvoorbeeld voor gebruik met back-upsystemen).
|
Gebruik het gedeelte Limiet om de maximale grootte op te geven van objecten die moeten worden gescand, evenals het maximale niveau voor het scannen van geneste archieven:
Standaardinstellingen voor objecten
Inschakelen als u standaardinstellingen wilt gebruiken (geen limieten). ESET Mail Security negeert uw aangepaste instellingen.
Maximale objectgrootte
Geeft de maximale grootte aan van objecten die moeten worden gescand. De beveiligingsmodule scant dan alleen objecten die kleiner zijn dan de opgegeven grootte. Deze waarde mag alleen worden gewijzigd door gevorderde gebruikers die een specifieke reden hebben om grotere objecten niet te scannen. Standaardwaarde: onbeperkt.
Maximale scantijd voor object (sec.)
De maximale tijd voor het scannen van een object. Als hier een waarde is ingevoerd, wordt het scannen van een object beëindigd wanneer die tijd is verstreken, ongeacht of de scan is voltooid. Standaardwaarde: onbeperkt.
Instellingen voor archieven scannen
Schakel Standaardinstellingen voor archieven scannen uit als u archiefscaninstellingen wilt wijzigen.
Nestingsniveau voor archieven
Het maximum aantal niveaus waarop archieven moeten worden gescand. Standaardwaarde: 10. Voor objecten die worden gedetecteerd door Beveiliging van postvaktransport is het feitelijke nestingsniveau +1, omdat de archiefbijlage in een e-mail als het eerste niveau wordt beschouwd.
|
|
Als u bijvoorbeeld het nestingsniveau hebt ingesteld op 3, wordt een archiefbestand met nestingsniveau 3 feitelijk alleen gescand bij een transportlaag tot niveau 2. Als u wilt dat archieven door Beveiliging van postvaktransport tot niveau 3 worden gescand, dient u de waarde voor Nestingsniveau voor archieven in te stellen op 4.
|
Maximale grootte van bestand in archief
Met deze optie kunt u de maximale bestandsgrootte opgeven voor bestanden in archieven (wanneer deze worden uitgepakt) die moeten worden gescand. Standaardwaarde: onbeperkt.
|
|
We raden niet aan de standaardwaarden te wijzigen. In de meeste gevallen is het niet nodig de standaardwaarden te wijzigen.
|
|
