Criteri di analisi funzionale

I criteri di analisi funzionale consentono di costruire la massima protezione, pertanto, dovrebbero essere impostati quando si configura l'analisi funzionale.

Nella sezione Criteri di analisi funzionale sono indicate le categorie che possono essere utilizzate per la protezione del profilo. La scelta della categoria dipende dal livello di sicurezza richiesto e dalle caratteristiche del sistema. Il valore di tutti i parametri di default è Disattivato.

Attiva il controllo di processi avviati per la lista delle applicazioni affidabili.

•Proibisci l'avvio di applicazioni firmate con certificati conosciuti in Doctor Web come certificati per adware.
Blocca l'avvio di applicazioni che possono distribuire pubblicità.

•Proibisci l'avvio di applicazioni firmate con certificati conosciuti in Doctor Web come grigi.
Blocca l'avvio di applicazioni firmate con certificati "grigi". Tali certificati vengono spesso utilizzati per firmare applicazioni non sicure.

•Proibisci l'avvio di applicazioni firmate con certificati conosciuti in Doctor Web come certificati per hacktool.
Blocca l'avvio di applicazioni firmate con certificati utilizzati per l'hacking di programmi. L'uso di questo criterio è consigliato.

•Proibisci l'avvio di applicazioni firmate con certificati falsi/danneggiati.
Blocca l'avvio di applicazioni malevole che sono firmate con certificati non validi (danneggiati o attaccati a un file binario per impedire l'identificazione della minaccia — per esempio, certificati di software legittimi). Può anche aiutare ai tentativi di modificare un file legittimo o infettarlo con un virus. L'uso di questo criterio è consigliato.

•Proibisci l'avvio di applicazioni firmate con certificati conosciuti in Doctor Web come certificati per programmi malevoli.
Blocca l'avvio di applicazioni firmate con certificati compromessi. L'uso di questo criterio è consigliato.

•Proibisci l'avvio di applicazioni firmate con certificati revocati.
Blocca l'avvio di applicazioni firmate con certificati rubati o compromessi. L'uso di questo criterio è consigliato in quanto consente di impedire preventivamente l'avvio di applicazioni potenzialmente malevole.

•Proibisci l'avvio di applicazioni firmate con certificati autofirmati.
Blocca software senza licenza che potrebbero risultare malevoli. I programmi malevoli possono aggiungere ai propri file binari una firma falsa con un nome noto (per esempio, Microsoft) e/o aggiungere al sistema un certificato radice in modo che tale file venga mostrato e riconosciuto dal sistema operativo come recante una firma legittima.

•Proibisci l'avvio di applicazioni non firmate.
Blocca l'avvio di applicazioni potenzialmente malevole e inaffidabili la cui origine è sconosciuta.

•Proibisci l'avvio di utility da Sysinternals.
Protegge dalla compromissione del sistema tramite le utility Sysinternals.

Se nella scheda Permessi è selezionato il flag Consenti l'avvio di applicazioni di sistema e applicazioni da Microsoft, le utility Sysinternals verranno avviate anche se l'avvio è vietato.

•Proibisci l'avvio di applicazioni da flussi alternativi NTFS (ADS).
Le applicazioni da flussi alternativi NTFS (ADS) sono spesso malevole, pertanto, l'uso di questo criterio è obbligatorio.

•Proibisci l'avvio di applicazioni dalla rete e risorse condivise.
L'avvio di applicazioni dalla rete e da risorse condivise è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci l'avvio di applicazioni da supporti rimovibili.
L'avvio di applicazioni da supporti rimovibili è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci l'avvio di applicazioni da directory temporanee.
Blocca l'avvio di applicazioni da directory temporanee.

•Proibisci l'avvio di applicazioni Windows/Microsoft Store (solo per Windows 8 e superiori).
Blocca l'avvio di applicazioni caricate da Windows/Microsoft Store.

•Proibisci l'avvio di applicazioni con estensione doppia/atipica.
Blocca l'avvio di file sospetti con estensione non standard (per esempio, *.jpg.exe).

•Proibisci l'avvio di shell bash e applicazioni WSL (solo per Windows 10 e superiori).
Blocca l'avvio di shell di comandi Bash e applicazioni WSL.

•Consenti l'avvio di applicazioni conosciute/ritenute affidabili da Doctor Web.
Se è attivata, è consentito il funzionamento di applicazioni firmate con un certificato affidabile.

Se questa opzione è attivata, è consentito il funzionamento di applicazioni firmate con un certificato affidabile. Questa funzionalità consente di non creare un numero eccessivo di regole basandosi su dati già verificati da Dr.Web. L'affidabilità in questo caso si basa sulla crittografia, un database esteso e in costante crescita.

Attiva il controllo di moduli caricati. I criteri possono funzionare in due modalità:

▫Controlla il caricamento e l'esecuzione di tutti i moduli. Opzione globale che attiva il controllo di moduli per le applicazioni affidabili. Questa modalità consuma molte risorse, pertanto, si consiglia di utilizzarla solo quando è necessario un controllo aumentato.

▫Controlla il caricamento e l'esecuzione di moduli in applicazioni host.
Questa modalità consuma meno risorse. Controlla il funzionamento di moduli solo in processi utilizzati per la compromissione del sistema o per l'infiltrazione di software malevoli sotto le sembianze di un file di sistema o affidabile. Se non è necessario un controllo aumentato, utilizzare questa modalità. In questa modalità è possibile:

•Proibisci il caricamento e l'esecuzione di moduli firmati con certificati conosciuti in Doctor Web come certificati per adware.
Blocca l'avvio di moduli che possono diffondere pubblicità.

•Proibisci il caricamento e l'esecuzione di moduli firmati con certificati conosciuti in Doctor Web come grigi.
Blocca l'avvio di moduli firmati con certificati "grigi". Tali certificati vengono spesso utilizzati per firmare applicazioni non sicure.

•Proibisci il caricamento e l'esecuzione di moduli firmati con certificati conosciuti in Doctor Web come certificati per hacktool.
Blocca l'avvio di moduli firmati con certificati utilizzati per l'hacking di programmi. L'uso di questo criterio è consigliato.

•Proibisci il caricamento e l'esecuzione di moduli firmati con certificati falsi/danneggiati.
Blocca l'avvio di moduli malevoli che sono firmati con certificati non validi (danneggiati o attaccati a un file binario per impedire l'identificazione della minaccia — per esempio, certificati di software legittimi). Può anche aiutare ai tentativi di modificare un file legittimo o infettarlo con un virus. L'uso di questo criterio è consigliato.

•Proibisci il caricamento e l'esecuzione di moduli firmati con certificati conosciuti in Doctor Web come certificati per programmi malevoli.
Blocca l'avvio di moduli firmati con certificati compromessi. L'uso di questo criterio è consigliato.

•Proibisci il caricamento e l'esecuzione di moduli firmati con certificati revocati.
Blocca l'avvio di moduli firmati con certificati rubati o compromessi. L'uso di questo criterio è consigliato in quanto consente di impedire preventivamente l'avvio di applicazioni potenzialmente malevole.

•Proibisci il caricamento e l'esecuzione di moduli firmati con certificati autofirmati.
Blocca software senza licenza che potrebbero risultare malevoli. I programmi malevoli possono aggiungere ai propri file binari una firma falsa con un nome noto (per esempio, Microsoft) e/o aggiungere al sistema un certificato radice in modo che tale file venga mostrato e riconosciuto dal sistema operativo come recante una firma legittima.

•Proibisci il caricamento e l'esecuzione di moduli non firmati.
Blocca l'avvio di moduli potenzialmente malevoli e inaffidabili la cui origine è sconosciuta.

•Proibisci il caricamento e l'esecuzione di moduli da flussi alternativi NTFS (ADS).
I moduli da flussi alternativi NTFS (ADS) sono spesso malevoli, pertanto, l'uso di questo criterio è obbligatorio.

•Proibisci il caricamento e l'esecuzione di moduli dalla rete e risorse condivise.
L'avvio di moduli dalla rete e da risorse condivise è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci il caricamento e l'esecuzione di moduli da supporti rimovibili.
L'avvio di moduli da supporti rimovibili è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci il caricamento e l'esecuzione di moduli da directory temporanee.
Blocca l'avvio di moduli da directory temporanee.

•Proibisci il caricamento e l'esecuzione di moduli con estensione doppia/atipica.
Blocca l'avvio di moduli sospetti con estensione non standard (per esempio, *.jpg.exe).

•Consenti il caricamento e l'esecuzione di moduli di sistema e di moduli da Microsoft.

•Consenti il caricamento e l'esecuzione di moduli conosciuti/ritenuti affidabili da Doctor Web.
Se è attivata, è consentito il funzionamento di moduli firmati con un certificato affidabile.

Attiva il controllo di script avviati per la lista delle applicazioni affidabili.

•Proibisci l'avvio di script CMD/BAT.
Blocca l'avvio di file con estensioni cmd e bat.

•Proibisci l'avvio di script HTA.
Blocca l'avvio di script HTA. Tali script possono elaborare script malevoli e scaricare sul computer file eseguibili che possono arrecare danno al sistema.

•Proibisci l'avvio di VBScript/JavaScript.
Blocca l'avvio di applicazioni scritte nei linguaggi di scripting VBScript e JavaScript. Tali applicazioni possono elaborare script malevoli e scaricare sul computer file eseguibili che possono arrecare danno al sistema.

•Proibisci l'avvio di script PowerShell.
Blocca l'avvio di script scritti nel linguaggio di scripting PowerShell. Tali script possono elaborare script malevoli e scaricare sul computer file eseguibili che possono arrecare danno al sistema.

•Proibisci l'avvio di script REG.
Blocca l'avvio di script di registro (file con estensione reg). Tali file possono essere utilizzati per l'aggiunta o la modifica di valori nel registro.

•Proibisci l'avvio di script da flussi alternativi NTFS (ADS).
Le applicazioni da flussi alternativi NTFS (ADS) sono spesso malevole, pertanto, l'uso di questo criterio è obbligatorio.

•Proibisci l'avvio di script dalla rete e risorse condivise.
L'avvio di script dalla rete e da risorse condivise è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci l'avvio di script da supporti rimovibili.
L'avvio di script da supporti rimovibili è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci l'avvio di script da directory temporanee.
Blocca l'avvio di script da directory temporanee.

•Consenti l'avvio di script conosciuti/ritenuti affidabili da Doctor Web.
Se è attivata, è consentito l'avvio di script firmati con un certificato affidabile.

Attiva il controllo di driver caricati per la lista delle applicazioni affidabili.

•Proibisci il caricamento di driver firmati con certificati conosciuti in Doctor Web come certificati per adware.
Blocca l'avvio di driver che possono diffondere pubblicità.

•Proibisci il caricamento di driver firmati con certificati conosciuti in Doctor Web come grigi.
Blocca l'avvio di driver firmati con certificati "grigi". Tali certificati vengono spesso utilizzati per firmare applicazioni non sicure.

•Proibisci il caricamento di driver firmati con certificati conosciuti in Doctor Web come certificati per hacktool.
Blocca l'avvio di driver firmati con certificati utilizzati per l'hacking di programmi. L'uso di questo criterio è consigliato.

•Proibisci il caricamento di driver firmati con certificati falsi/danneggiati.
Blocca l'avvio di driver malevoli che sono firmati con certificati non validi (danneggiati o attaccati a un file binario per impedire l'identificazione della minaccia — per esempio, certificati di software legittimi). Può anche aiutare ai tentativi di modificare un file legittimo o infettarlo con un virus. L'uso di questo criterio è consigliato.

•Proibisci il caricamento di driver firmati con certificati conosciuti in Doctor Web come certificati per programmi malevoli.
Blocca l'avvio di driver firmati con certificati compromessi. L'uso di questo criterio è consigliato.

•Proibisci il caricamento di driver firmati con certificati revocati.
Blocca l'avvio di driver firmati con certificati rubati o compromessi. L'uso di questo criterio è consigliato in quanto consente di impedire preventivamente l'avvio di applicazioni potenzialmente malevole.

•Proibisci il caricamento di driver firmati con certificati autofirmati.
Blocca software senza licenza che potrebbero risultare malevoli. I programmi malevoli possono aggiungere ai propri file binari una firma falsa con un nome noto (per esempio, Microsoft) e/o aggiungere al sistema un certificato radice in modo che tale file venga mostrato e riconosciuto dal sistema operativo come recante una firma legittima.

•Proibisci il caricamento di driver non firmati.
Blocca l'avvio di driver potenzialmente malevoli e inaffidabili la cui origine è sconosciuta.

•Proibisci il caricamento di driver da flussi alternativi NTFS (ADS).
Le applicazioni da flussi alternativi NTFS (ADS) sono spesso malevole, pertanto, l'uso di questo criterio è obbligatorio.

•Proibisci il caricamento di driver dalla rete e risorse condivise.
Il caricamento di driver dalla rete e da risorse condivise è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci il caricamento di driver da supporti rimovibili.
Il caricamento di driver da supporti rimovibili è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci il caricamento di driver da directory temporanee.
Blocca il caricamento di driver da directory temporanee.

•Proibisci il caricamento di versioni di driver vulnerabili dei software popolari.
Blocca il caricamento di versioni non sicure dei driver di software popolari. I driver di software legittimi, come per esempio, VirtualBox, Asus ecc. possono essere utilizzati per l'intrusione nel sistema tramite RDP. Se questa opzione è attivata, le versioni non sicure di questi driver verranno bloccate al caricamento.

Il divieto di caricare versioni vulnerabili dei driver di software popolari non può essere sovrapposto da eccezioni.

•Proibisci il caricamento di driver con estensione doppia / atipica.
Blocca l'avvio di driver sospetti con estensione non standard (per esempio, *.jpg.exe).

•Consenti il caricamento di driver conosciuti/ritenuti affidabili da Doctor Web.
Se è attivata, è consentito il caricamento di driver firmati con un certificato affidabile.

Attiva il controllo di pacchetti MSI avviati per la lista delle applicazioni affidabili.

•Proibisci l'installazione di pacchetti firmati con certificati conosciuti in Doctor Web come certificati per adware.
Blocca l'avvio di pacchetti che possono diffondere pubblicità.

•Proibisci l'installazione di pacchetti firmati con certificati conosciuti in Doctor Web come grigi.
Blocca l'avvio di pacchetti firmati con certificati "grigi". Tali certificati vengono spesso utilizzati per firmare applicazioni non sicure.

•Proibisci l'installazione di pacchetti firmati con certificati conosciuti in Doctor Web come certificati per hacktool.
Blocca l'avvio di pacchetti firmati con certificati utilizzati per l'hacking di programmi. L'uso di questo criterio è consigliato.

•Proibisci l'installazione di pacchetti firmati con certificati falsi/danneggiati.
Blocca l'avvio di pacchetti malevoli che sono firmati con certificati non validi (danneggiati o attaccati a un file binario per impedire l'identificazione della minaccia — per esempio, certificati di software legittimi). Può anche aiutare ai tentativi di modificare un file legittimo o infettarlo con un virus. L'uso di questo criterio è consigliato.

•Proibisci l'installazione di pacchetti firmati con certificati conosciuti in Doctor Web come certificati per programmi malevoli.
Blocca l'avvio di pacchetti firmati con certificati compromessi. L'uso di questo criterio è consigliato.

•Proibisci l'installazione di pacchetti firmati con certificati revocati.
Blocca l'avvio di pacchetti firmati con certificati rubati o compromessi. L'uso di questo criterio è consigliato in quanto consente di impedire preventivamente l'avvio di applicazioni potenzialmente malevole.

•Proibisci l'installazione di pacchetti firmati con certificati autofirmati.
Blocca software senza licenza che potrebbero risultare malevoli. I programmi malevoli possono aggiungere ai propri file binari una firma falsa con un nome noto (per esempio, Microsoft) e/o aggiungere al sistema un certificato radice in modo che tale file venga mostrato e riconosciuto dal sistema operativo come recante una firma legittima.

•Proibisci l'installazione di pacchetti non firmati.
Blocca l'avvio di pacchetti potenzialmente malevoli e inaffidabili la cui origine è sconosciuta.

•Proibisci l'installazione di pacchetti da flussi alternativi NTFS (ADS).
Le applicazioni da flussi alternativi NTFS (ADS) sono spesso malevole, pertanto, l'uso di questo criterio è obbligatorio.

•Proibisci l'installazione di pacchetti dalla rete e risorse condivise.
L'installazione di pacchetti dalla rete e da risorse condivise è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci l'installazione di pacchetti da supporti rimovibili.
L'installazione di pacchetti da supporti rimovibili è scenario atipico e rappresenta un rischio per la sicurezza del sistema. Questo criterio è consigliato per l'uso.

•Proibisci l'installazione di pacchetti da directory temporanee.
Blocca l'installazione di pacchetti da directory temporanee.

•Consenti l'installazione di pacchetti di sistema e di pacchetti da Microsoft.

•Consenti l'installazione di pacchetti conosciuti/ritenuti affidabili da Doctor Web.
Se è attivata, è consentita l'installazione di pacchetti firmati con un certificato affidabile.

Attiva il controllo dell'integrità di file eseguibili. I criteri Integrità di file eseguibili sono utilizzati solo su sistemi che funzionano in modalità ambiente affidabile. In tali sistemi tutti i processi vengono controllati dall'amministratore (per esempio, sportelli automatici e altri sistemi). Nel caso di utilizzo dei criteri Integrità di file eseguibili in altri sistemi il comportamento è imprevedibile fino al guasto alla postazione.

•Proibisci la creazione di nuovi file eseguibili.
Blocca i tentativi di creazione di nuovi file eseguibili sul disco.

•Proibisci la modifica di file eseguibili.
Blocca i tentativi di modifica dei file eseguibili esistenti sul disco.

•Consenti la creazione e la modifica di file eseguibili alle applicazioni di sistema firmate e alle applicazioni da Microsoft.

•Consenti la creazione e la modifica di file eseguibili alle applicazioni firmate che sono conosciute/ritenute affidabili da Doctor Web.
Se è attivata, è consentita l'installazione di pacchetti firmati con un certificato affidabile.

I criteri Integrità di file eseguibili non possono essere sovrapposti da regole di permesso/di divieto.