Критерии функционального анализа

Критерии функционального анализа позволяют выстроить максимальную защиту, поэтому их необходимо задавать при настройке функционального анализа.

В разделе Критерии функционального анализа указаны категории, которые вы можете использовать для защиты профиля. Выбор категории зависит от необходимого вам уровня безопасности и особенностей системы. Значение всех параметров по умолчанию - Отключено.

Категории критериев функционального анализа

Запуск приложений

Включает контроль запускаемых процессов для списка доверенных приложений.

•Запрещать запуск приложений, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для рекламных программ.
Блокирует запуск приложений, которые могут распространять рекламу.

•Запрещать запуск приложений, подписанных сертификатами, известными в «Доктор Веб» как серые.
Блокирует запуск приложений, которые подписаны "серыми" сертификатами. Такие сертификаты часто используются для подписи небезопасных приложений.

•Запрещать запуск приложений, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для программ взлома.
Блокирует запуск приложений, которые подписаны сертификатами, использующимися для взлома программ. Использование данного критерия рекомендовано.

•Запрещать запуск приложений, подписанных поддельными/поврежденными сертификатами.
Блокирует запуск вредоносных приложений, которые подписаны недействительными сертификатами (поврежденными или прикрепленными к бинарному файлу, чтобы не дать определить угрозу - например, сертификатами легального ПО). Также это может помочь при попытках модифицировать легальный файл или заразить вирусом. Использование данного критерия рекомендовано.

•Запрещать запуск приложений, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для вредоносных программ.
Блокирует запуск приложений, которые подписаны скомпрометированными сертификатами. Использование данного критерия рекомендовано.

•Запрещать запуск приложений, подписанных отозванными сертификатами.
Блокирует запуск приложений, которые подписаны украденными или скомпрометированными сертификатами. Использование данного критерия рекомендовано, так как он позволяет превентивно пресекать запуск потенциально вредоносных приложений.

•Запрещать запуск приложений, подписанными самоподписанными сертификатами.
Блокирует нелицензионное ПО, которое может оказаться вредоносным. Вредоносные программы могут добавлять к своим бинарным файлам поддельную подпись с известным именем (например, Microsoft) и/или добавлять в систему корневой сертификат, чтобы данный файл показывался и распознавался ОС как легально подписанный.

•Запрещать запуск неподписанных приложений.
Блокирует запуск потенциально вредоносных и ненадежных приложений, источник происхождения которых неизвестен.

•Запрещать запуск утилит от Sysinternals.
Защищает от компрометации системы через утилиты Sysinternals.

•Запрещать запуск приложений из альтернативных потоков NTFS (ADS).
Приложения из альтернативных потоков NTFS (ADS) зачастую являются вредоносными, поэтому использование данного критерия является обязательным.

•Запрещать запуск приложений из сети и общих ресурсов.
Запуск приложений из сети и общих ресурсов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать запуск приложений со сменных носителей.
Запуск приложений со сменных носителей является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать запуск приложений из временных каталогов.
Блокирует запуск приложений из временных каталогов.

•Запрещать запуск Windows/Microsoft Store приложений (только для Windows 8 и выше).
Блокирует запуск приложений, загруженных из Windows/Microsoft Store.

•Запрещать запуск приложений с двойным/нетипичным расширением.
Блокирует запуск подозрительных файлов с нестандартным расширением (например, *.jpg.exe).

•Запрещать запуск bash-оболочек и WSL-приложений (только для Windows 10 и выше).
Блокирует запуск командных оболочек Bash и WSL-приложений.

Исключения из блокировок выше:

•Разрешать запуск системных приложений и приложений от компании Microsoft.

•Разрешать запуск приложений, известных/доверенных «Доктор Веб».
Если включено, то разрешена работа приложений, которые подписаны доверенным сертификатом.

Загрузка и исполнение модулей

Включает контроль загружаемых модулей. Критерии могут работать в двух режимах:

▫Контролировать загрузку и исполнение всех модулей. Глобальная опция, которая включает контроль модулей для доверенных приложений. Данный режим является ресурсозатратным, поэтому его рекомендуется использовать только при необходимости повышенного контроля.

▫Контролировать загрузку и исполнение модулей в хост-приложениях.
Данный режим является менее ресурсозатратным. Контролирует работу модулей только в процессах, которые используются для компроментации системы или для проникновения вредоносного ПО под видом системного или доверенного файла. При отсутствии необходимости повышенного контроля следует использовать данный режим. В данном режиме вы можете:

•Запрещать загрузку и исполнение модулей, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для рекламных программ.
Блокирует запуск модулей, которые могут распространять рекламу.

•Запрещать загрузку и исполнение модулей, подписанных сертификатами, известными в «Доктор Веб» как серые.
Блокирует запуск модулей, которые подписаны "серыми" сертификатами. Такие сертификаты часто используются для подписи небезопасных приложений.

•Запрещать загрузку и исполнение модулей, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для программ взлома.
Блокирует запуск модулей, которые подписаны сертификатами, использующимися для взлома программ. Использование данного критерия рекомендовано.

•Запрещать загрузку и исполнение модулей, подписанных поддельными/поврежденными сертификатами.
Блокирует запуск вредоносных модулей, которые подписаны недействительными сертификатами (поврежденными или прикрепленными к бинарному файлу, чтобы не дать определить угрозу - например, сертификатами легального ПО). Также это может помочь при попытках модифицировать легальный файл или заразить вирусом. Использование данного критерия рекомендовано.

•Запрещать загрузку и исполнение модулей, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для вредоносных программ.
Блокирует запуск модулей, которые подписаны скомпрометированными сертификатами. Использование данного критерия рекомендовано.

•Запрещать загрузку и исполнение модулей, подписанных отозванными сертификатами.
Блокирует запуск модулей, которые подписаны украденными или скомпрометированными сертификатами. Использование данного критерия рекомендовано, так как он позволяет превентивно пресекать запуск потенциально вредоносных приложений.

•Запрещать загрузку и исполнение модулей, подписанных самоподписанными сертификатами.
Блокирует нелицензионное ПО, которое может оказаться вредоносным. Вредоносные программы могут добавлять к своим бинарным файлам поддельную подпись с известным именем (например, Microsoft) и/или добавлять в систему корневой сертификат, чтобы данный файл показывался и распознавался ОС как легально подписанный.

•Запрещать загрузку и исполнение неподписанных модулей.
Блокирует запуск потенциально вредоносных и ненадежных модулей, источник происхождения которых неизвестен.

•Запрещать загрузку и исполнение модулей из альтернативных потоков NTFS (ADS).
Модули из альтернативных потоков NTFS (ADS) зачастую являются вредоносными, поэтому использование данного критерия является обязательным.

•Запрещать загрузку и исполнение модулей из сети и общих ресурсов.
Запуск модулей из сети и общих ресурсов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать загрузку и исполнение модулей со сменных носителей.
Запуск модулей со сменных носителей является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать загрузку и исполнение модулей из временных каталогов.
Блокирует запуск модулей из временных каталогов.

•Запрещать загрузку и исполнение модулей с двойным/нетипичным расширением.
Блокирует запуск подозрительных модулей с нестандартным расширением (например, *.jpg.exe).

Исключения из блокировок выше:

•Разрешать загрузку и исполнение системных модулей и модулей от компании Microsoft.

•Разрешать загрузку и исполнение модулей, известных/доверенных «Доктор Веб».
Если включено, разрешена работа модулей, подписанных доверенным сертификатом.

Запуск скриптовых интерпретаторов

Включает контроль запускаемых скриптовых сценариев для списка доверенных приложений.

•Запрещать запуск CMD/BAT-сценариев.
Блокирует запуск файлов с расширениями cmd и bat.

•Запрещать запуск HTA-сценариев.
Блокирует запуск HTA-сценариев. Такие сценарии могут обрабатывать вредоносные скрипты и скачивать на компьютер исполняемые файлы, которые могут нанести вред системе.

•Запрещать запуск VBScript/JavaScript.
Блокирует запуск приложений, написанных на скриптовых языках VBScript и JavaScript. Такие приложения могут обрабатывать вредоносные скрипты и скачивать на компьютер исполняемые файлы, которые могут нанести вред системе.

•Запрещать запуск PowerShell-сценариев.
Блокирует запуск сценариев, написанных на скриптовом языке PowerShell. Такие сценарии могут обрабатывать вредоносные скрипты и скачивать на компьютер исполняемые файлы, которые могут нанести вред системе.

•Запрещать запуск REG-сценариев.
Блокирует запуск реестровых скриптов (файлов с расширением reg). Такие файлы могут быть использованы для добавления или изменения значений в реестре.

•Запрещать запуск сценариев из альтернативных потоков NTFS (ADS).
Приложения из альтернативных потоков NTFS (ADS) зачастую являются вредоносными, поэтому использование данного критерия является обязательным.

•Запрещать запуск сценариев из сети и общих ресурсов.
Запуск сценариев из сети и общих ресурсов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать запуск сценариев со сменных носителей.
Запуск сценариев со сменных носителей является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать запуск сценариев из временных каталогов.
Блокирует запуск сценариев из временных каталогов.

Исключения из блокировок выше:

•Разрешать запуск системных сценариев и сценариев от компании Microsoft.

•Разрешать запуск сценариев, известных/доверенных «Доктор Веб».
Если включено, разрешен запуск сценариев, подписанных доверенным сертификатом.

Загрузка драйверов

Включает контроль загружаемых драйверов для списка доверенных приложений.

•Запрещать загрузку драйверов, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для рекламных программ.
Блокирует запуск драйверов, которые могут распространять рекламу.

•Запрещать загрузку драйверов, подписанных сертификатами, известными в «Доктор Веб» как серые.
Блокирует запуск драйверов, которые подписаны "серыми" сертификатами. Такие сертификаты часто используются для подписи небезопасных приложений.

•Запрещать загрузку драйверов, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для программ взлома.
Блокирует запуск драйверов, которые подписаны сертификатами, использующимися для взлома программ. Использование данного критерия рекомендовано.

•Запрещать загрузку драйверов, подписанных поддельными/поврежденными сертификатами.
Блокирует запуск вредоносных драйверов, которые подписаны недействительными сертификатами (поврежденными или прикрепленными к бинарному файлу, чтобы не дать определить угрозу - например, сертификатами легального ПО). Также это может помочь при попытках модифицировать легальный файл или заразить вирусом. Использование данного критерия рекомендовано.

•Запрещать загрузку драйверов, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для вредоносных программ.
Блокирует запуск драйверов, которые подписаны скомпрометированными сертификатами. Использование данного критерия рекомендовано.

•Запрещать загрузку драйверов, подписанных отозванными сертификатами.
Блокирует запуск драйверов, которые подписаны украденными или скомпрометированными сертификатами. Использование данного критерия рекомендовано, так как он позволяет превентивно пресекать запуск потенциально вредоносных приложений.

•Запрещать загрузку драйверов, подписанных самоподписанными сертификатами.
Блокирует нелицензионное ПО, которое может оказаться вредоносным. Вредоносные программы могут добавлять к своим бинарным файлам поддельную подпись с известным именем (например, Microsoft) и/или добавлять в систему корневой сертификат, чтобы данный файл показывался и распознавался ОС как легально подписанный.

•Запрещать загрузку неподписанных драйверов.
Блокирует запуск потенциально вредоносных и ненадежных драйверов, источник происхождения которых неизвестен.

•Запрещать загрузку драйверов из альтернативных потоков NTFS (ADS).
Приложения из альтернативных потоков NTFS (ADS) зачастую являются вредоносными, поэтому использование данного критерия является обязательным.

•Запрещать загрузку драйверов из сети и общих ресурсов.
Загрузка драйверов из сети и общих ресурсов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать загрузку драйверов со сменных носителей.
Загрузка драйверов со сменных носителей является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать загрузку драйверов из временных каталогов.
Блокирует запуск драйверов из временных каталогов.

•Запрещать загрузку уязвимых версий драйверов популярного ПО.
Блокирует загрузку небезопасных версий драйверов популярного ПО. Драйвера легального ПО, например, VirtualBox, Asus и т.п., могут быть использованы для проникновения в систему через RDP. При включении этой опции небезопасные версии этих драйверов будут блокироваться при загрузке.

•Запрещать запуск драйверов с двойным / не типичным расширением.
Блокирует запуск подозрительных драйверов с нестандартным расширением (например, *.jpg.exe).

Исключения из блокировок выше:

•Разрешать загрузку системных драйверов и драйверов от компании Microsoft.

•Разрешать загрузку драйверов, известных/доверенных «Доктор Веб».
Если включено, то разрешена загрузка драйверов, которые подписаны доверенным сертификатом.

Установка MSI-пакетов

Включает контроль запускаемых MSI-пакетов для списка доверенных приложений.

•Запрещать установку пакетов, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для рекламных программ.
Блокирует запуск пакетов, которые могут распространять рекламу.

•Запрещать установку пакетов, подписанных сертификатами, известными в «Доктор Веб» как серые.
Блокирует запуск пакетов, которые подписаны "серыми" сертификатами. Такие сертификаты часто используются для подписи небезопасных приложений.

•Запрещать установку пакетов, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для программ взлома.
Блокирует запуск пакетов, которые подписаны сертификатами, использующимися для взлома программ. Использование данного критерия рекомендовано.

•Запрещать установку пакетов, подписанных поддельными/поврежденными сертификатами.
Блокирует запуск вредоносных пакетов, которые подписаны недействительными сертификатами (поврежденными или прикрепленными к бинарному файлу, чтобы не дать определить угрозу - например, сертификатами легального ПО). Также это может помочь при попытках модифицировать легальный файл или заразить вирусом. Использование данного критерия рекомендовано.

•Запрещать установку пакетов, подписанных сертификатами, известными в «Доктор Веб» как сертификаты для вредоносных программ.
Блокирует запуск пакетов, которые подписаны скомпрометированными сертификатами. Использование данного критерия рекомендовано.

•Запрещать установку пакетов, подписанных отозванными сертификатами.
Блокирует запуск пакетов, которые подписаны украденными или скомпрометированными сертификатами. Использование данного критерия рекомендовано, так как он позволяет превентивно пресекать запуск потенциально вредоносных приложений.

•Запрещать установку пакетов, подписанных самоподписанными сертификатами.
Блокирует нелицензионное ПО, которое может оказаться вредоносным. Вредоносные программы могут добавлять к своим бинарным файлам поддельную подпись с известным именем (например, Microsoft) и/или добавлять в систему корневой сертификат, чтобы данный файл показывался и распознавался ОС как легально подписанный.

•Запрещать установку неподписанных пакетов.
Блокирует запуск потенциально вредоносных и ненадежных пакетов, источник происхождения которых неизвестен.

•Запрещать установку пакетов из альтернативных потоков NTFS (ADS).
Приложения из альтернативных потоков NTFS (ADS) зачастую являются вредоносными, поэтому использование данного критерия является обязательным.

•Запрещать установку пакетов из сети и общих ресурсов.
Установка пакетов из сети и общих ресурсов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать установку пакетов со сменных носителей.
Установка пакетов со сменных носителей является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

•Запрещать установку пакетов из временных каталогов.
Блокирует установку пакетов из временных каталогов.

Исключения из блокировок выше:

•Разрешать установку системных пакетов и пакетов от компании Microsoft.

•Разрешать установку пакетов, известных/доверенных «Доктор Веб».
Если включено, то разрешена установка пакетов, которые подписаны доверенным сертификатом.

Целостность исполняемых файлов

Включает контроль целостности исполняемых файлов. Критерии Целостность исполняемых файлов используются только в системах, работающих в режиме доверенной среды. В подобных системах все процессы контролируются администратором (например, банкоматы и иные системы). При использовании критериев Целостность исполняемых файлов в других системах поведение непредсказуемо, вплоть до выхода станции из строя.

•Запрещать создание новых исполняемых файлов.
Блокирует попытки создания новых исполняемых файлов на диске.

•Запрещать модификацию исполняемых файлов.
Блокирует попытки изменения существующих исполняемых файлов на диске.

Исключения из блокировок выше:

•Разрешать создание и модификацию исполняемых файлов подписанным системным приложениям и приложениям от компании Microsoft.

•Разрешать создание и модификацию исполняемых файлов подписанным приложениям, известным/доверенным «Доктор Веб».
Если включено, то разрешена установка пакетов, которые подписаны доверенным сертификатом.