Компонент Поведенческий анализ позволяет настроить реакцию Dr.Web на действия сторонних приложений, не являющихся доверенными, которые могут привести к заражению вашего компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные системные ветки реестра. При включении компонента Поведенческий анализ программа запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствует о попытке вредоносного воздействия на операционную систему. Поведенческий анализ защищает систему от ранее неизвестных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами. Для определения вредоносности приложений используются наиболее актуальные данные облачного сервиса Dr.Web.
Чтобы включить или отключить компонент Поведенческий анализ
1.Откройте меню Dr.Web и выберите пункт Центр безопасности.
2.В открывшемся окне нажмите плитку Превентивная защита.
3.Включите или отключите компонент Поведенческий анализ при помощи переключателя .
|
При определенных настройках на стороне вашего провайдера переключатель включает и отключает все компоненты Превентивной защиты одновременно.
|
Рисунок 61. Включение/отключение компонента Поведенческий анализ
В этом разделе:
•Режимы работы компонента
•Создание и изменение отдельных правил для приложений
•Описание защищаемых объектов
Параметры Поведенческого анализа
Настройки программы по умолчанию являются оптимальными в большинстве случаев, их не следует изменять без необходимости.
Чтобы перейти к параметрам компонента Поведенческий анализ
1.Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт» ). В противном случае нажмите на замок .
2.Нажмите плитку Поведенческий анализ. Откроется окно параметров компонента.
|
Изменение параметров компонента возможно, если провайдер дал на это разрешение.
|
Рисунок 62. Параметры Поведенческого анализа
Вы можете задать отдельный уровень защиты для конкретных объектов и процессов и общий уровень, настройки которого будут применяться ко всем остальным процессам. Для задания общего уровня защиты на вкладке Уровень защиты выберите необходимый уровень из выпадающего списка.
Уровни защиты
Уровень защиты
|
Описание
|
Оптимальный (рекомендуется)
|
Используется по умолчанию. Dr.Web запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствуют о попытке вредоносного воздействия на операционную систему. Также запрещаются низкоуровневый доступ к диску и модификация файла HOSTS приложениям, действия которых однозначно определяются как попытка вредоносного воздействия на операционную систему.
|
Блокируются только действия приложений, которые не являются доверенными.
|
|
Средний
|
Этот уровень защиты можно установить при повышенной опасности заражения. В данном режиме дополнительно запрещается доступ к тем критическим объектам, которые могут потенциально использоваться вредоносными программами.
|
В данном режиме защиты возможны конфликты совместимости со сторонним программным обеспечением, использующим защищаемые ветки реестра.
|
|
Параноидальный
|
Этот уровень защиты необходим для полного контроля за доступом к критическим объектам Windows. В данном режиме вам также будет доступен интерактивный контроль за загрузкой драйверов и автоматическим запуском программ.
|
Пользовательский
|
В этом режиме вы можете выбрать уровни защиты для каждого объекта по своему усмотрению.
|
Пользовательский режим
Все изменения в настройках сохраняются в Пользовательском режиме работы. В этом окне вы также можете создать новый уровень защиты для сохранения нужных настроек. При любых настройках компонента защищаемые объекты будут доступны для чтения.
Вы можете выбрать одну из реакций Dr.Web на попытки приложений модифицировать защищаемые объекты:
•Разрешать — доступ к защищаемому объекту будет разрешен для всех приложений.
•Спрашивать — при попытке приложения модифицировать защищаемый объект будет показано уведомление:
Рисунок 63. Пример уведомления с запросом доступа к защищаемому объекту
•Блокировать — при попытке приложения модифицировать защищаемый объект приложению будет отказано в доступе. При этом будет показано уведомление:
Рисунок 64. Пример уведомления о запрете доступа к защищаемому объекту
Чтобы создать новый уровень защиты
1.Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.
2.Нажмите кнопку .
3.В открывшемся окне укажите название для нового профиля.
4.Нажмите OK.
Чтобы удалить уровень защиты
1.Из выпадающего списка выберите созданный уровень защиты, который вы хотите удалить.
2.Нажмите кнопку . Предустановленные профили удалить нельзя.
3.Нажмите OK, чтобы подтвердить удаление.
Получение уведомлений
Вы можете настроить вывод уведомлений о действиях компонента Поведенческий анализ на экран и отправку этих уведомлений на электронную почту.
См. также:
•Уведомления
Доступ приложений
Чтобы задать отдельные параметры доступа для конкретных приложений, перейдите на вкладку Доступ приложений. Здесь вы можете добавить новое правило для приложения, отредактировать уже созданное правило или удалить ненужное.
Рисунок 65. Параметры доступа для приложений
Для работы с объектами в таблице доступны следующие элементы управления:
•Кнопка — добавление набора правил для приложения.
•Кнопка — редактирование существующих наборов правил.
•Кнопка — удаление набора правил.
В столбце (Тип правила) может отображаться три типа правил:
• — задано правило Разрешать все для всех защищаемых объектов.
• — заданы разные правила для защищаемых объектов.
• — задано правило Блокировать все для всех защищаемых объектов.
Чтобы добавить правило для приложения
1.Нажмите кнопку .
2.В открывшемся окне нажмите кнопку Обзор и укажите путь к исполняемому файлу приложения.
Рисунок 66. Добавление набора правил для приложения
3.Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.
4.Нажмите OK.
Защищаемые объекты
Защищаемый объект
|
Описание
|
Целостность запущенных приложений
|
Данная настройка позволяет отслеживать процессы, которые внедряются в запущенные приложения, что является угрозой безопасности компьютера.
|
Файл HOSTS
|
Файл HOSTS используется операционной системой для упрощения доступа к интернету. Изменения этого файла могут быть результатом работы вируса или другой вредоносной программы.
|
Низкоуровневый доступ к диску
|
Данная настройка позволяет запрещать приложениям запись на жесткий диск посекторно, не обращаясь к файловой системе.
|
Загрузка драйверов
|
Данная настройка позволяет запрещать приложениям загрузку новых или неизвестных драйверов.
|
Прочие настройки позволяют защищать от модификации ветки реестра (как в системном профиле, так и в профилях всех пользователей).
Защищаемый объект
|
Описание
|
Параметры запуска приложений (IFEO)
|
•Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options |
Драйверы мультимедийных устройств
|
•Software\Microsoft\Windows NT\CurrentVersion\Drivers32
•Software\Microsoft\Windows NT\CurrentVersion\Userinstallable.drivers |
Параметры оболочки Winlogon
|
•Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL |
Нотификаторы Winlogon
|
•Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Автозапуск оболочки Windows
|
•Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib |
Ассоциации исполняемых файлов
|
•Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (ключи)
•Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (ключи) |
Политики ограничения запуска программ (SRP)
|
•Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\*\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
•Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\*\Software\Policies\Microsoft\Windows\SrpV2
•Software\Policies\Microsoft\Windows\Safer
•Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
•Software\Policies\Microsoft\Windows\SrpV2 |
Плагины Internet Explorer (BHO)
|
•Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Автозапуск программ
|
•Software\Microsoft\Windows\CurrentVersion\Run
•Software\Microsoft\Windows\CurrentVersion\RunOnce
•Software\Microsoft\Windows\CurrentVersion\RunOnceEx
•Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
•Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup
•Software\Microsoft\Windows\CurrentVersion\RunServices
•Software\Microsoft\Windows\CurrentVersion\RunServicesOnce |
Автозапуск политик
|
•Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run |
Конфигурация безопасного режима
|
•SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal
•SYSTEM\ControlSetXXX\Control\SafeBoot\Network |
Параметры Менеджера сессий
|
•System\ControlSetXXX\Control\Session Manager\SubSystems, Windows |
Системные службы
|
•System\CurrentControlXXX\Services |
|
Если при установке важных обновлений от Microsoft или при установке и работе программ (в том числе программ дефрагментации) возникают проблемы, временно отключите Поведенческий анализ.
|
|