Criterios de análisis funcional

Los criterios de análisis funcional le permiten crear la máxima protección, por lo que deben configurarse al configurar el análisis funcional.

En la sección Criterios de análisis funcional se indican las categorías que puede utilizar para proteger su perfil. La elección de la categoría depende del nivel de seguridad que requiera y de las características del sistema. El valor predeterminado de todas las opciones - Desactivado.

Categorías de criterios de análisis funcional

Inicio de las aplicaciones

Permite el control de los procesos en ejecución para la lista de aplicaciones confiables.

•Prohibir el inicio de aplicaciones firmadas con certificados, conocidas en Doctor Web como certificados para adware.
Bloquea el inicio de aplicaciones que puedan distribuir publicidad.

•Prohibir el inicio de aplicaciones firmadas con certificados, conocidas en Doctor Web como ilegales.
Bloquea el inicio de aplicaciones firmadas con certificados grises. Estos certificados se utilizan a menudo para firmar aplicaciones no seguras.

•Prohibir el inicio de aplicaciones firmadas con certificados, conocidas en Doctor Web como certificados para hacktools.
Bloquea el inicio de aplicaciones firmadas con certificados utilizados para descifrar programas. Se recomienda el uso de este criterio.

•Prohibir el inicio de aplicaciones firmadas con certificados falsificados/dañados.
Bloquea el inicio de aplicaciones maliciosas firmadas con certificados no válidos (dañados o adjuntos a un archivo binario para evitar la detección de la amenaza, por ejemplo, certificados de software legítimo). Esto también puede ayudar al intentar modificar un archivo legítimo o infectarlo con un virus. Se recomienda el uso de este criterio.

•Prohibir el inicio de aplicaciones firmadas con certificados, conocidas en Doctor Web como certificados para programas maliciosos.
Bloquea el inicio de aplicaciones firmadas con certificados comprometidos. Se recomienda el uso de este criterio.

•Prohibir el inicio de aplicaciones firmadas con certificados revocados.
Bloquea el lanzamiento de aplicaciones firmados con certificados robados o comprometidos. Se recomienda el uso de este criterio, ya que permite evitar el inicio de aplicaciones potencialmente maliciosas.

•Prohibir el inicio de aplicaciones firmadas con certificados autofirmados.
Bloquea software sin licencia que pueda ser malicioso. Los programas maliciosos pueden agregar una firma falsa con un nombre conocido (por ejemplo, Microsoft) a sus archivos binarios y/o agregar un certificado raíz al sistema para que el sistema operativo muestre y reconozca este archivo como legalmente firmado.

•Prohibir el inicio de las aplicaciones no firmadas.
Bloquea el inicio de aplicaciones potencialmente maliciosas y no confiables cuyo origen se desconoce.

•Prohibir el inicio de utilidades de Sysinternals.
Protege contra el compromiso del sistema a través de las utilidades Sysinternals.

•Prohibir el inicio de las aplicaciones desde flujos alternativos NTFS (ADS).
Las aplicaciones de transmisiones alternativase NTFS (ADS) suelen ser maliciosas, por lo que es obligatorio utilizar este criterio.

•Prohibir el inicio de aplicaciones desde la red y recursos comunes.
Ejecutar aplicaciones desde la red y recursos compartidos es un escenario inusual y representa una amenaza para la seguridad del sistema. Este criterio se recomienda para su uso.

•Prohibir el inicio de aplicaciones desde los dispositivos extraíbles.
Ejecutar aplicaciones desde medios extraíbles es un escenario atípico y representa una amenaza para la seguridad del sistema. Se recomienda utilizar este criterio.

•Prohibir el inicio de las aplicaciones desde directorios temporales.
Prohibir el inicio de las aplicaciones desde directorios temporales.

•Prohibir el inicio de aplicaciones Windows/Microsoft Store (solo para Windows 8 y superior).
Bloquea la ejecución de aplicaciones descargadas de Windows/Microsoft Store.

•Prohibir el inicio de las aplicaciones con extensión doble/atípica.
Bloquea el inicio de archivos sospechosos con una extensión no estándar (por ejemplo, *.jpg.exe).

•Prohibir el inicio de shells bash y aplicaciones WSL (solo para Windows 10 y superior).
Bloquea el inicio de shells Bash y aplicaciones WSL.

Excepciones al bloqueo anterior:

•Permitir el inicio de aplicaciones de sistema y de aplicaciones de la empresa Microsoft.

•Permitir el inicio de las aplicaciones conocidas/de confianza para Doctor Web.
Si está habilitado, se permite el funcionamiento de las aplicaciones firmadas con un certificado confiable.

Carga y ejecución de módulos

Permite el control de los módulos cargados. Los criterios pueden funcionar de dos modos:

▫Monitorear la carga y ejecución de todos módulos. Una opción global que permite el control de módulos para aplicaciones confiables. Este modo consume muchos recursos, por lo que se recomienda usarlo solo cuando se necesita un mayor control.

▫Monitorear la carga y ejecución de los módulos en los applicaciones host.
Este modo requiere menos recursos. Controla el funcionamiento de los módulos solo en procesos que se utilizan para comprometer el sistema o para penetrar malware bajo la apariencia de un sistema o un archivo confiable. Si no es necesario un mayor control, se debe utilizar este modo. En este modo puedes:

•Prohibir la carga y la ejecución de los módulos firmados con certificados, conocidos en Doctor Web como certificados para adware.
Bloquea el lanzamiento de módulos que puedan distribuir publicidad.

•Prohibir la carga y la ejecución de los módulos firmados con certificados, conocidos en “Doctor Web” como ilegales.
Bloquea el lanzamiento de módulos firmados con certificados "grises". Estos certificados se utilizan a menudo para firmar aplicaciones no seguras.

•Prohibir la carga y la ejecución de los módulos firmados con certificados, conocidos en Doctor Web como certificados para hacktools.
Bloquea el lanzamiento de módulos firmados con certificados utilizados para descifrar programas. Se recomienda el uso de este criterio.

•Prohibir la carga y la ejecución de los módulos firmados con certificados falsificados/dañados.
Bloquea el inicio de módulos maliciosos firmados con certificados no válidos (dañados o adjuntos a un archivo binario para evitar la detección de la amenaza, por ejemplo, certificados de software legítimo). Esto también puede ayudar al intentar modificar un archivo legítimo o infectarlo con un virus. Se recomienda el uso de este criterio.

•Prohibir la carga y la ejecución de los módulos firmados con certificados, conocidos en Doctor Web como certificados para programas maliciosos.
Bloquea el lanzamiento de módulos firmados con certificados comprometidos. Se recomienda el uso de este criterio.

•Prohibir la carga y la ejecución de los módulos firmados con certificados revocados.
Bloquea el lanzamiento de módulos firmados con certificados robados o comprometidos. Se recomienda el uso de este criterio, ya que permite evitar el inicio de aplicaciones potencialmente maliciosas.

•Prohibir la carga y la ejecución de los módulos firmados con certificados autofirmados.
Bloquea software sin licencia que pueda ser malicioso. Los programas maliciosos pueden agregar una firma falsa con un nombre conocido (por ejemplo, Microsoft) a sus archivos binarios y/o agregar un certificado raíz al sistema para que el sistema operativo muestre y reconozca este archivo como legalmente firmado.

•Prohibir la carga y la ejecución de los módulos no firmados.
Bloquea el inicio de módulos potencialmente maliciosas y no confiables cuyo origen se desconoce.

•Prohibir la carga y la ejecución de los módulos de los flujos alternativos NTFS (ADS).
Los módulos de transmisiones alternativase NTFS (ADS) suelen ser maliciosas, por lo que es obligatorio utilizar este criterio.

•Prohibir la carga y la ejecución de los módulos de la red y recursos comunes.
La ejecución de módulos desde la red y recursos compartidos es un escenario inusual y representa una amenaza para la seguridad del sistema. Este criterio se recomienda para su uso.

•Prohibir la carga y la ejecución de los módulos desde los dispositivos extraíbles.
La ejecución de módulos desde medios extraíbles es un escenario atípico y representa una amenaza para la seguridad del sistema. Se recomienda utilizar este criterio.

•Prohibir la carga y la ejecución de los módulos de los directorios temporales.
Bloquea la ejecución de módulos desde directorios temporales.

•Prohibir la carga y la ejecución de los módulos con extensión no estándar/atípica.
Bloquea el inicio de módulos sospechosos con una extensión no estándar (por ejemplo, *.jpg.exe).

Excepciones al bloqueo anterior:

•Permitir la carga y ejecución de módulos del sistema y módulos de Microsoft.

•Permitir la carga y ejecución de módulos, conocidos/confiables por Doctor Web.
Si está habilitado, los módulos firmados con un certificado confiable pueden funcionar.

Inicio de los intérpretes de script

Habilita el control de la ejecución de scripts para la lista de aplicaciones confiables.

•Prohibir el inicio de los scripts CMD/BAT.
Bloquea el lanzamiento de archivos con extensiones cmd y bat.

•Prohibir el inicio de los scripts HTA.
Bloquea el lanzamiento de scripts HTA. Dichos scripts pueden procesar scripts maliciosos y descargar archivos ejecutables a la computadora que pueden dañar el sistema.

•Prohibir el inicio de VBScript/JavaScript.
Bloquea el inicio de aplicaciones escritas en lenguajes de programación VBScript y JavaScript. Estas aplicaciones pueden procesar scripts maliciosos y descargar archivos ejecutables a su computadora que pueden dañar el sistema.

•Prohibir el inicio de scripts PowerShell.
Bloquea la ejecución de scripts escritos en el lenguaje de scripting de PowerShell. Dichos scripts pueden procesar scripts maliciosos y descargar archivos ejecutables a la computadora que pueden dañar el sistema.

•Prohibir el inicio de los scripts REG.
Bloquea el inicio de scripts de registro (archivos con la extensión reg). Estos archivos se pueden utilizar para agregar o cambiar valores en el registro.

•Prohibir el inicio de los scripts desde flujos alternativos NTFS (ADS).
Las aplicaciones de transmisiones alternativase NTFS (ADS) suelen ser maliciosas, por lo que es obligatorio utilizar este criterio.

•Prohibir el inicio de los scripts de la red y recursos comunes.
La ejecución de scripts desde la red y recursos compartidos es un escenario inusual y representa una amenaza para la seguridad del sistema. Se recomienda utilizar este criterio.

•Prohibir el inicio de los scripts desde los dispositivos extraíbles.
La ejecución de scripts desde medios extraíbles es un escenario atípico y representa una amenaza para la seguridad del sistema. Se recomienda utilizar este criterio.

•Prohibir el inicio de los scripts desde directorios temporales.
Bloquea el inicio de los scripts desde directorios temporales.

Excepciones al bloqueo anterior:

•Permitir el inicio de los scripts del sistema y de los scripts de Microsoft.

•Permitir el inicio de los scripts conocidos/de confianza para Doctor Web.
Si está habilitado, se permite la ejecución de scripts firmados con un certificado confiable.

Cargando controladores

Permite el control de los controladores descargados para la lista de aplicaciones confiables.

•Prohibir la carga de los controladores firmados con certificados, conocidos en Doctor Web como certificados para adware.
Bloquea el lanzamiento de controladores que puedan distribuir publicidad.

•Prohibir la carga de los controladores firmados con certificados, conocidos en “Doctor Web” como ilegales.
Bloquea el lanzamiento de controladores firmados con certificados "grises". Estos certificados se utilizan a menudo para firmar aplicaciones inseguras.

•Prohibir la carga de los controladores firmados con certificados, conocidos en Doctor Web como certificados para hacktools.
Bloquea el inicio de controladores firmados con certificados utilizados para descifrar programas. Se recomienda el uso de este criterio.

•Prohibir la carga de los controladores firmados con certificados falsificados/dañados.
Bloquea el inicio de controladores maliciosos firmados con certificados no válidos (dañados o adjuntos al archivo binario para evitar la detección de la amenaza; por ejemplo, certificados de software legítimo). Esto también puede ayudar al intentar modificar un archivo legítimo o infectarlo con un virus. Se recomienda el uso de este criterio.

•Prohibir la carga de los controladores firmados con certificados, conocidos en Doctor Web como certificados para programas maliciosos.
Bloquea el inicio de controladores firmados con certificados comprometidos. Se recomienda el uso de este criterio.

•Prohibir la carga de los controladores firmados con certificados revocados.
Bloquea el lanzamiento de controladores firmados con certificados robados o comprometidos. Se recomienda el uso de este criterio, ya que permite evitar el inicio de aplicaciones potencialmente maliciosas.

•Prohibir la carga de los controladores firmados con certificados autofirmados.
Bloquea software sin licencia que pueda ser malicioso. Los programas maliciosos pueden agregar una firma falsa con un nombre conocido (por ejemplo, Microsoft) a sus archivos binarios y/o agregar un certificado raíz al sistema para que el sistema operativo muestre y reconozca este archivo como legalmente firmado.

•Prohibir la carga de los controladores no firmados.
Bloquea el inicio de controladores potencialmente maliciosas y no confiables cuyo origen se desconoce.

•Prohibir la carga de los controladores de los flujos alternativos NTFS (ADS).
Las aplicaciones de transmisiones alternativase NTFS (ADS) suelen ser maliciosas, por lo que es obligatorio utilizar este criterio.

•Prohibir la carga de los controladores de la red y recursos comunes.
Ejecutar controladores desde la red y recursos compartidos es un escenario inusual y representa una amenaza para la seguridad del sistema. Este criterio se recomienda para su uso.

•Prohibir la carga de los controladores de dispositivos extraíbles.
Ejecutar controladores desde medios extraíbles es un escenario atípico y representa una amenaza para la seguridad del sistema. Se recomienda utilizar este criterio.

•Prohibir la carga de los controladores de los directorios temporales.
Bloquea la ejecución de controladores desde directorios temporales.

•Prohibir la carga de las versiones vulnerables de controladores del software popular.
Bloquea la carga de versiones no seguras de controladores de software popular. Se pueden utilizar controladores de software legítimos, como VirtualBox, Asus, etc., para penetrar en el sistema a través de RDP. Habilitar esta opción bloqueará las versiones no seguras de estos controladores en el arranque.

•Evitar que se ejecuten controladores con extensión doble / atípica.
Bloquea el inicio de controladores sospechosos con una extensión no estándar (por ejemplo, *.jpg.exe).

Excepciones al bloqueo anterior:

•Permitir la carga de controladores del sistema y controladores de Microsoft.

•Permitir la carga de los controladores, conocidos/confiables por Doctor Web
Si está habilitado, se permite el funcionamiento de los controladores firmados con un certificado confiable.

Instalación de los paquetes MSI

Habilita el control de los paquetes MSI lanzados para la lista de aplicaciones confiables.

•Prohibir la instalación de los paquetes firmados con certificados, conocidos en Doctor Web como programas adware.
Bloquea el lanzamiento de paquetes que puedan distribuir publicidad.

•Prohibir la instalación de los paquetes firmados con certificados, conocidos en “Doctor Web” como ilegales.
Bloquea el lanzamiento de paquetes firmados con certificados "grises". Estos certificados se utilizan a menudo para firmar aplicaciones no seguras.

•Prohibir la instalación de los paquetes firmados con certificados, conocidos en Doctor Web como hacktools.
Bloquea el lanzamiento de paquetes firmados con certificados utilizados para descifrar programas. Se recomienda el uso de este criterio.

•Prohibir la instalación de los paquetes firmados con certificados falsificados/dañados.
Bloquea la ejecución de paquetes maliciosos firmados con certificados no válidos (dañados o adjuntos al archivo binario para evitar la detección de la amenaza; por ejemplo, certificados de software legítimo). Esto también puede ayudar al intentar modificar un archivo legítimo o infectarlo con un virus. Se recomienda el uso de este criterio.

•Prohibir la instalación de los paquetes firmados con certificados, conocidos en Doctor Web como programas maliciosos.
Bloquea el inicio de paquetes firmados con certificados comprometidos. Se recomienda el uso de este criterio.

•Prohibir la instalación de paquetes firmados con certificados revocados.
Bloquea el lanzamiento de paquetes firmados con certificados robados o comprometidos. Se recomienda el uso de este criterio, ya que permite evitar el inicio de aplicaciones potencialmente maliciosas.

•Prohibir la instalación de los paquetes firmados con certificados autofirmados.
Bloquea software sin licencia que pueda ser malicioso. Los programas maliciosos pueden agregar una firma falsa con un nombre conocido (por ejemplo, Microsoft) a sus archivos binarios y/o agregar un certificado raíz al sistema para que el sistema operativo muestre y reconozca este archivo como legalmente firmado.

•Prohibir la instalación de paquetes no firmados.
Bloquea el inicio de paquetes potencialmente maliciosas y no confiables cuyo origen se desconoce.

•Prohibir la instalación de los paquetes de los flujos alternativos NTFS (ADS).
Las aplicaciones de transmisiones alternativase NTFS (ADS) suelen ser maliciosas, por lo que es obligatorio utilizar este criterio.

•Prohibir la instalación de los paquetes de la red y recursos comunes.
La instalación de paquetes desde la red y recursos compartidos es un escenario inusual y representa un riesgo de seguridad para el sistema. Se recomienda utilizar este criterio.

•Prohibir la instalación de los paquetes de dispositivos extraíbles.
La instalación de paquetes desde medios extraíbles es un escenario atípico y representa una amenaza para la seguridad del sistema. Se recomienda utilizar este criterio.

•Prohibir la instalación de los paquetes de directorios temporales.
Bloquea la instalación de paquetes desde directorios temporales.

Excepciones al bloqueo anterior:

•Permitir la instalación de los paquetes del sistema y paquetes de Microsoft.

•Prohibir la instalación de los paquetes conocidos/confiables por Doctor Web.
Si está habilitado, se permite el funcionamiento de los paquetes firmados con un certificado confiable.

Integridad de archivos ejecutables

Incluye integridad de archivos ejecutables. Los criterios Integridad de archivos ejecutables solo se utilizan en sistemas que se ejecutan en modo de entorno confiable. En dichos sistemas, todos los procesos están controlados por el administrador (por ejemplo, cajeros automáticos y otros sistemas). Al utilizar criterios Integridad de archivos ejecutables en otros sistemas, el comportamiento es impredecible, hasta el fallo de la estación.

•Prohibir la creación de nuevos archivos ejecutables.
Bloquea los intentos de crear nuevos archivos ejecutables en el disco.

•Prohibir la modificación de los archivos ejecutables.
Bloquea los intentos de modificar archivos ejecutables que existen en el disco.

Excepciones al bloqueo anterior:

•Permitir la creación y modificación de archivos ejecutables para las aplicaciones de sistema firmadas y aplicaciones de Microsoft.

•Permitir la creación y modificación de archivos ejecutables para las aplicaciones firmadas, conocidas/confiables por Doctor Web.
Si está habilitado, se permite el funcionamiento de los paquetes firmados con un certificado confiable.