功能分析依据的标准可保证最高级别的保护,因此必须在设置功能分析时指定。
在功能分析依据的标准列出的是可用于保护模式的类型。类型的选择取决于您所要求的安全等级和网络的特点。默认所有参数值为停用。
功能分析标准的类型
启动应用程序
为可信任应用列表启用对可启动进程的监控。
•禁止启动使用Doctor Web已知的广告程序证书签名的应用。
阻止启动可传播广告的应用。
•禁止启动使用Doctor Web已知的盗用证书签名的应用。
阻止启动以“灰色”证书签名的应用。此类证书经常被用于非安全应用的签名。
•禁止启动使用Doctor Web已知的黑客工具证书签名的应用。
阻止启动以拨号器所用证书签名的应用。建议启用此标准。
•禁止启动使用仿造/受损证书签名的应用。
阻止启动使用无效证书签名的恶意应用程序(证书已损坏或附加到二进制文件以妨碍识别威胁,例如利用合法软件的证书进行识别)。出现修改合法文件或试图将其感染时这一标准也会发挥作用。 建议启用此标准。
•禁止启动使用Doctor Web已知的恶意软件证书签名的应用。
阻止启动以受损证书签名的应用。建议启用此标准。
•禁止启动使用已召回的证书签名的应用。
阻止启动以被盗或受损证书签名的应用。此标准可以防止潜在恶意软件的启动。
•禁止启动使用自签名证书签名的应用。
阻止启动可能是恶意的盗版软件。 恶意程序可以将名称为人熟知(例如 Microsoft)的虚假签名添加到其二进制文件中和/或将根证书添加到系统中,骗取操作系统将其识别为合法签名的文件。
•禁止启动未签名的应用。
阻止启动来源不明的潜在恶意程序和不可靠的应用程序。
•禁止启动Sysinternals工具。
防止系统被Sysinternals工具损害。
|
如在允许标签勾选了允许启动系统应用和Microsoft公司出品的应用,则Sysinternals工具即使在禁止启动设置下仍会启动。 |
•禁止从NTFS备用数据流(ADS)启动应用。
NTFS备用数据流(ADS)应用大多为恶意应用,因此此标准必须启用。
•禁止从网络和共享资源启动应用。
从网络和共享资源启动应用程序为非典型启动,可能会给系统带来安全风险。 建议启用此标准。
•禁止从移动载体启动应用。
从移动载体启动应用程序为非典型启动,可能会给系统带来安全风险。 建议启用此标准。
•禁止从临时目录启动应用。
阻止从临时目录启动应用。
•禁止启动Windows/Microsoft Store应用(仅限Windows 8和更高版本)。
阻止启动从Windows/Microsoft Store加载的应用。
•禁止启动带有双/非常规扩展名的应用。
禁止启动扩展名特殊的可疑应用(如扩展名为*.jpg.exe)。
•禁止启动bash外环境和WSL应用(仅限Windows 10和更高版本)。
阻止启动Bash shell和WSL应用程序。
上述阻止启动的排除项:
•允许启动系统应用和Microsoft公司出品的应用。
•允许启动Doctor Web已知/信任的应用程序。
如启用则允许以可信任证书签名的应用。
|
如果启用此选项,则允许以可信任证书签名的应用程序运行。 此功能可避免依据Dr.Web已检查过的数据创建多余的规则。是否可信任是基于密码技术,庞大且不断扩展的数据库。 |
加载和执行模块
启用对可启动模块的监控。标准可有两种运行模式:
▫监控所有模块的加载和执行。全面模式,对可信任应用的模块也会进行监控。此模式会占用大量资源,因此建议仅在需要加强监控时使用。
▫监控主机应用模块的加载和执行。
此模式对资源的消耗较少。仅在进程可能危害系统或恶意软件试图假冒系统文件或可信任文件入侵时控制模块的操作。如果不需要特别加强监控,可使用此模式。在此模式下可以:
•禁止加载和执行使用Doctor Web已知的广告程序证书签名的模块。
阻止启动可传播广告的模块。
•禁止加载和执行使用Doctor Web已知的盗用证书签名的模块。
阻止启动以“灰色”证书签名的模块。此类证书经常被用于非安全应用的签名。
•禁止加载和执行使用Doctor Web已知的黑客工具证书签名的模块。
阻止启动以拨号器所用证书签名的模块。建议启用此标准。
•禁止加载和执行使用伪造/受损的证书签名的模块。
阻止启动使用无效证书签名的恶意模块(证书已损坏或附加到二进制文件以妨碍识别威胁,例如利用合法软件的证书进行识别)。出现修改合法文件或试图将其感染时这一标准也会发挥作用。 建议启用此标准。
•禁止加载和执行使用Doctor Web已知的恶意软件证书签名的模块。
阻止启动以受损证书签名的模块。建议启用此标准。
•禁止加载和执行使用已召回证书签名的模块。
阻止启动以被盗或受损证书签名的模块。此标准可以防止潜在恶意软件的启动。
•禁止加载和执行使用自签名证书签名的模块。
阻止启动可能是恶意的盗版软件。 恶意程序可以将名称为人熟知(例如 Microsoft)的虚假签名添加到其二进制文件中和/或将根证书添加到系统中,骗取操作系统将其识别为合法签名的文件。
•禁止加载和执行未签名的模块。
阻止启动来源不明的潜在恶意程序和不可靠的模块。
•禁止从NTFS备用数据流(ADS)加载和执行模块。
NTFS备用数据流(ADS)模块大多为恶意,因此此标准必须启用。
•禁止从网络和共享资源加载和执行模块。
从网络和共享资源启动模块为非典型启动,可能会给系统带来安全风险。 建议启用此标准。
•禁止从移动载体加载和执行模块。
从移动载体启动模块为非典型启动,可能会给系统带来安全风险。 建议启用此标准。
•禁止从临时目录加载和执行模块。
阻止从临时目录启动模块。
•禁止加载和执行带有双/非常规扩展名的模块。
禁止启动扩展名特殊的可疑模块(如扩展名为*.jpg.exe)。
上述阻止启动的排除项:
•允许加载和执行系统模块和Microsoft公司出品的模块。
•允许加载和执行Doctor Web已知/信任的模块。
如启用则允许以可信任证书签名的应用。
启动脚本解释器
为可信任应用列表启用对可启动脚本的监控。
•禁止启动CMD/BAT脚本。
阻止启动扩展名为cmd和bat的文件。
•禁止启动HTA脚本。
阻止启动HTA脚本。此类脚本可以处理恶意脚本并加载可能损害系统的可执行文件。
•禁止启动VBScript/JavaScript。
阻止启动使用VBScript和JavaScript脚本语言编写的应用。此类应用可以处理恶意脚本并加载可能损害系统的可执行文件。
•禁止启动PowerShell脚本。
阻止启动使用PowerShell脚本语言编写的脚本。此类脚本可以处理恶意脚本并加载可能损害系统的可执行文件。
•禁止启动REG脚本。
阻止启动注册表脚本(文件扩展名为reg)。此类文件可用于添加或更改注册表参数。
•禁止从NTFS备用数据流(ADS)启动场景。
NTFS备用数据流(ADS)应用大多为恶意应用,因此此标准必须启用。
•禁止从网络和共享资源启动脚本。
从网络和共享资源启动脚本为非典型启动,可能会给系统带来安全风险。 建议启用此标准。
•禁止从移动载体启动脚本。
从移动载体启动脚本为非典型启动,可能会给系统带来安全风险。 建议启用此标准。
•禁止从临时目录启动脚本。
阻止从临时目录启动脚本。
上述阻止启动的排除项:
•允许启动系统脚本和Microsoft公司出品的脚本。
•允许启动Doctor Web已知/信任的脚本。
如启用则允许启动以可信任证书签名的脚本。
加载驱动程序
为可信任应用列表启用对可加载驱动程序的监控。
•禁止加载使用Doctor Web已知的广告程序证书签名的驱动程序。
阻止启动可传播广告的驱动程序。
•禁止加载使用Doctor Web已知的盗用证书签名的驱动程序。
阻止启动以“灰色”证书签名的驱动程序。此类证书经常被用于非安全应用的签名。
•禁止加载使用Doctor Web已知的黑客工具证书签名的驱动程序。
阻止启动以拨号器所用证书签名的驱动程序。建议启用此标准。
•禁止加载使用伪造/受损的证书签名的驱动程序。
阻止启动使用无效证书签名的恶意驱动程序(证书已损坏或附加到二进制文件以妨碍识别威胁,例如利用合法软件的证书进行识别)。出现修改合法文件或试图将其感染时这一标准也会发挥作用。 建议启用此标准。
•禁止加载使用Doctor Web已知的恶意软件证书签名的驱动程序。
阻止启动以受损证书签名的驱动程序。建议启用此标准。
•禁止加载使用已召回证书签名的驱动程序。
阻止启动以被盗或受损证书签名的驱动程序。此标准可以防止潜在恶意软件的启动。
•禁止加载使用自签名证书签名的驱动程序。
阻止启动可能是恶意的盗版软件。 恶意程序可以将名称为人熟知(例如 Microsoft)的虚假签名添加到其二进制文件中和/或将根证书添加到系统中,骗取操作系统将其识别为合法签名的文件。
•禁止加载未签名的驱动程序。
阻止启动来源不明的潜在恶意程序和不可靠的驱动程序。
•禁止从NTFS备用数据流(ADS)加载驱动程序。
NTFS备用数据流(ADS)应用大多为恶意应用,因此此标准必须启用。
•禁止从网络和共享资源加载驱动程序。
从网络和共享资源加载驱动程序为非典型操作,可能会给系统带来安全风险。 建议启用此标准。
•禁止从移动载体加载驱动程序。
从移动载体加载驱动程序为非典型操作,可能会给系统带来安全风险。 建议启用此标准。
•禁止从临时目录加载驱动程序。
阻止从临时目录启动驱动程序。
•禁止加载常用软件有漏洞的驱动程序版本。
阻止加载常用软件驱动程序的不安全版本。合法软件,如VirtualBox、Asus等软件的驱动程序可被用于通过RDP入侵系统。启用此选项后阻止加载这些驱动程序的非安全版本。
|
对于常用软件驱动程序易受攻击版本的加载禁令不会被排除项覆盖。 |
•禁止启动双扩展名/非典型扩展名的驱动程序。
禁止启动扩展名特殊的可疑驱动程序(如扩展名为*.jpg.exe)。
上述阻止启动的排除项:
•允许加载系统驱动程序和Microsoft公司出品的驱动程序。
•允许加载Doctor Web已知/信任的驱动程序。
如启用则允许加载以可信任证书签名的驱动程序。
安装MSI数据包
为可信任应用列表启用对可启动MSI数据包的监控。
•禁止安装使用Doctor Web已知的广告程序证书签名的数据包。
阻止启动可传播广告的数据包。
•禁止安装使用Doctor Web已知的盗用证书签名的数据包。
阻止启动以“灰色”证书签名的数据包。此类证书经常被用于非安全应用的签名。
•禁止安装使用Doctor Web已知的黑客工具证书签名的数据包。
阻止启动以拨号器所用证书签名的数据包。建议启用此标准。
•禁止安装使用伪造/受损的证书签名的数据包。
阻止启动使用无效证书签名的恶意数据包(证书已损坏或附加到二进制文件以妨碍识别威胁,例如利用合法软件的证书进行识别)。出现修改合法文件或试图将其感染时这一标准也会发挥作用。 建议启用此标准。
•禁止安装使用Doctor Web已知的恶意软件证书签名的数据包。
阻止启动以受损证书签名的数据包。建议启用此标准。
•禁止安装使用已召回的证书签名的数据包。
阻止启动以被盗或受损证书签名的数据包。此标准可以防止潜在恶意软件的启动。
•禁止安装使用自签名证书签名的数据包。
阻止启动可能是恶意的盗版软件。 恶意程序可以将名称为人熟知(例如 Microsoft)的虚假签名添加到其二进制文件中和/或将根证书添加到系统中,骗取操作系统将其识别为合法签名的文件。
•禁止安装未签名的数据包。
阻止启动来源不明的潜在恶意程序和不可靠的数据包。
•禁止从NTFS备用数据流(ADS)安装数据包。
NTFS备用数据流(ADS)应用大多为恶意应用,因此此标准必须启用。
•禁止从网络和共享资源安装数据包。
从网络和共享资源安装数据包为非典型操作,可能会给系统带来安全风险。 建议启用此标准。
•禁止从移动载体安装数据包。
从移动载体安装数据包为非典型操作,可能会给系统带来安全风险。 建议启用此标准。
•禁止从临时目录安装数据包。
阻止从临时目录安装数据包。
上述阻止启动的排除项:
•允许安装系统数据包和Microsoft公司出品的数据包。
•允许安装Doctor Web已知/信任的数据包。
如启用则允许安装以可信任证书签名的数据包。
可执行程序完整性
启用对可执行文件的完整性的监控。可执行文件的完整性这一标准仅用于在可信任环境模式下运行的系统。此类系统中的所有进程均由管理员控制(例如,ATM和其他系统)。 在其他系统中使用可执行文件的完整性标准时后果不可预测,可能导致工作站故障。
•禁止创建新的可执行文件。
阻止在磁盘创建新的可执行文件的企图。
•禁止更改可执行文件。
阻止在磁盘更改现有可执行文件的企图。
上述阻止启动的排除项:
•允许创建和更改由系统应用和Microsoft公司出品的应用签名的可执行文件。
•允许创建和更改由Doctor Web公司已知/信任的应用签名的可执行文件。
如启用则允许安装以可信任证书签名的数据包。
|
可执行文件的完整性标准不可被允许性/禁止性规则覆盖。 |