Какой файл архива данных не нужно проверять антивирусом после скачивания

Обновлено: 21.11.2024

Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .

Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .

Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .

Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .

Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .

Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .

Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

ЕС и США согласовывают структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предложат уступки в отношении слежки и новых данных.

Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.

Семь человек арестованы лондонской полицией в связи с кибератаками, совершенными группой Lapsus$, которая несет ответственность за ряд .

Можно развернуть политики защиты от вредоносных программ на наборы клиентских компьютеров Configuration Manager, чтобы указать, как Endpoint Protection защищает их от вредоносных программ и других угроз. Эти политики включают информацию о расписании сканирования, типах файлов и папок для сканирования и действиях, предпринимаемых при обнаружении вредоносных программ. При включении Endpoint Protection к клиентским компьютерам применяется политика защиты от вредоносных программ по умолчанию. Вы также можете использовать один из предоставленных шаблонов политик или создать собственную политику в соответствии с конкретными потребностями вашей среды.

Диспетчер конфигураций предоставляет набор предустановленных шаблонов. Они оптимизированы для различных сценариев и могут быть импортированы в Configuration Manager. Эти шаблоны доступны в папке \AdminConsole\XMLStorage\EPTemplates.

Если вы создаете новую политику защиты от вредоносных программ и развертываете ее в коллекции, эта политика защиты от вредоносных программ переопределяет политику защиты от вредоносных программ по умолчанию.

Используйте процедуры, описанные в этом разделе, для создания или импорта политик защиты от вредоносных программ и назначения их клиентским компьютерам Configuration Manager в вашей иерархии.

Перед выполнением этих процедур убедитесь, что Configuration Manager настроен для Endpoint Protection, как описано в разделе Настройка Endpoint Protection.

Изменить политику защиты от вредоносных программ по умолчанию

В консоли Configuration Manager нажмите «Активы и соответствие».

В рабочей области "Активы и соответствие" разверните Endpoint Protection и нажмите "Политики защиты от вредоносных программ".

Выберите политику защиты от вредоносных программ "Политика защиты клиента по умолчанию", а затем на вкладке "Главная" в группе "Свойства" нажмите "Свойства".

В диалоговом окне "Политика защиты от вредоносных программ по умолчанию" настройте параметры, необходимые для этой политики защиты от вредоносных программ, а затем нажмите "ОК".

Список параметров, которые можно настроить, см. в разделе Список параметров политики защиты от вредоносных программ в этом разделе.

Создайте новую политику защиты от вредоносных программ

В консоли Configuration Manager нажмите «Активы и соответствие».

В рабочей области "Активы и соответствие" разверните Endpoint Protection и нажмите "Политики защиты от вредоносных программ".

На вкладке "Главная" в группе "Создать" нажмите "Создать политику защиты от вредоносных программ".

В разделе «Общие» диалогового окна «Создать политику защиты от вредоносных программ» введите имя и описание политики.

В диалоговом окне «Создать политику защиты от вредоносных программ» настройте параметры, необходимые для этой политики защиты от вредоносных программ, а затем нажмите «ОК». Список параметров, которые можно настроить, см. в разделе Список параметров политики защиты от вредоносных программ.

Убедитесь, что новая политика защиты от вредоносных программ отображается в списке Политики защиты от вредоносных программ.

Импорт политики защиты от вредоносных программ

В консоли Configuration Manager нажмите «Активы и соответствие».

В рабочей области "Активы и соответствие" разверните Endpoint Protection и нажмите "Политики защиты от вредоносных программ".

На вкладке "Главная" в группе "Создать" нажмите "Импорт".

В диалоговом окне "Открыть" найдите файл политики для импорта и нажмите "Открыть".

В диалоговом окне "Создать политику защиты от вредоносных программ" проверьте параметры, которые необходимо использовать, и нажмите "ОК".

Убедитесь, что новая политика защиты от вредоносных программ отображается в списке Политики защиты от вредоносных программ.

Развертывание политики защиты от вредоносных программ на клиентских компьютерах

В консоли Configuration Manager нажмите «Активы и соответствие».

В рабочей области "Активы и соответствие" разверните Endpoint Protection и нажмите "Политики защиты от вредоносных программ".

В списке «Политики защиты от вредоносных программ» выберите политику защиты от вредоносных программ для развертывания. Затем на вкладке "Главная" в группе "Развертывание" нажмите "Развернуть".

Параметр «Развернуть» нельзя использовать с политикой клиента в отношении вредоносного ПО по умолчанию.

В диалоговом окне "Выбрать коллекцию" выберите коллекцию устройств, на которую вы хотите развернуть политику защиты от вредоносных программ, и нажмите "ОК".

Список настроек политики защиты от вредоносных программ

Многие настройки защиты от вредоносных программ говорят сами за себя. Используйте следующие разделы для получения дополнительной информации о параметрах, которые могут потребовать дополнительной информации перед их настройкой.

Настройки сканирования по расписанию

Тип сканирования. Вы можете указать один из двух типов сканирования для запуска на клиентских компьютерах:

Быстрое сканирование. При этом типе сканирования проверяются процессы и папки в памяти, в которых обычно находятся вредоносные программы. Для этого требуется меньше ресурсов, чем для полного сканирования.

Полное сканирование. Этот тип сканирования добавляет полную проверку всех локальных файлов и папок к элементам, сканируемым при быстром сканировании. Это сканирование занимает больше времени, чем быстрое сканирование, и использует больше процессорных ресурсов и ресурсов памяти на клиентских компьютерах.

В большинстве случаев используйте быстрое сканирование, чтобы свести к минимуму использование системных ресурсов на клиентских компьютерах. Если для удаления вредоносных программ требуется полное сканирование, Endpoint Protection создает предупреждение, которое отображается в консоли Configuration Manager. Значение по умолчанию — Быстрое сканирование.

Настройки сканирования

Сканировать электронную почту и вложения электронной почты. Установите значение Да, чтобы включить сканирование электронной почты.

Сканировать съемные носители, такие как USB-накопители. Установите значение Да, чтобы сканировать съемные носители во время полного сканирования.

Сканировать сетевые файлы — установите значение Да, чтобы сканировать сетевые файлы.

Сканировать подключенные сетевые диски при выполнении полной проверки. Установите значение Да, чтобы сканировать все подключенные сетевые диски на клиентских компьютерах. Включение этого параметра может значительно увеличить время сканирования на клиентских компьютерах.

Для того чтобы этот параметр был доступен для настройки, для параметра Сканировать сетевые файлы должно быть установлено значение Да.

По умолчанию для этого параметра установлено значение "Нет", что означает, что при полном сканировании не будет доступа к подключенным сетевым дискам.

Сканировать заархивированные файлы. Установите значение Да, чтобы сканировать заархивированные файлы, такие как файлы .zip или .rar.

Разрешить пользователям настраивать загрузку ЦП во время сканирования. Установите значение Да, чтобы разрешить пользователям указывать максимальный процент использования ЦП во время сканирования. Сканирование не всегда будет использовать максимальную нагрузку, определенную пользователями, но не может превышать ее.

Пользовательский контроль запланированных сканирований — укажите уровень пользовательского контроля. Разрешить пользователям устанавливать только время сканирования или полный контроль над антивирусным сканированием на своих устройствах.

Настройки действий по умолчанию

Выберите действие, которое будет выполняться при обнаружении вредоносного ПО на клиентских компьютерах. В зависимости от уровня опасности обнаруженного вредоносного ПО могут быть применены следующие действия.

Рекомендуется: используйте действие, рекомендованное в файле определения вредоносного ПО.

Поместить вредоносное ПО в карантин, но не удалять его.

Удалить — удалить вредоносное ПО с компьютера.

Разрешить — не удалять вредоносное ПО и не помещать его в карантин.

Настройки защиты в реальном времени

< td>Установите значение Да, чтобы настроить параметры защиты в реальном времени для клиентских компьютеров. Мы рекомендуем вам включить этот параметр.
Имя параметра Описание
Включить защиту в реальном времени
Контролировать активность файлов и программ на вашем компьютере Установите значение Да, если вы хотите, чтобы Endpoint Protection контролировал, когда файлы и программы начинают работать на клиентских компьютерах и предупреждают вас о любых действиях, которые они выполняют, или действиях, предпринятых над ними.
Сканировать системные файлы Этот параметр позволяет вы настраиваете, будут ли входящие, исходящие или входящие и исходящие системные файлы отслеживаться на наличие вредоносных программ.Из соображений производительности вам может потребоваться изменить значение по умолчанию для параметра Сканировать входящие и исходящие файлы, если сервер имеет высокую активность входящих или исходящих файлов.
Включить мониторинг поведения Включите этот параметр, чтобы использовать действия компьютера и данные файлов для обнаружения неизвестных угроз. Если этот параметр включен, это может увеличить время, необходимое для сканирования компьютеров на наличие вредоносных программ.
Включить защиту от сетевых эксплойтов Включите этот параметр, чтобы защищать компьютеры от известных сетевых эксплойтов, проверяя сетевой трафик и блокируя любую подозрительную активность.
Включить сканирование сценариев Только для Configuration Manager без пакета обновлений.< /p>

Microsoft Edge также предоставляет параметры для блокировки потенциально нежелательных приложений. Изучите эти варианты для полной защиты от нежелательных приложений.

Этот параметр политики защиты доступен и по умолчанию имеет значение Включено. Если этот параметр включен, он блокирует PUA во время загрузки и установки. Однако вы можете исключить определенные файлы или папки в соответствии с конкретными потребностями вашего бизнеса или организации.

Настройки исключения

Сведения о папках, файлах и процессах, рекомендуемых для исключения в Configuration Manager 2012 и Current Branch, см. в статье Рекомендуемые антивирусные исключения для Configuration Manager 2012 и серверов сайта, систем сайта и клиентов текущего филиала.

Исключенные файлы и папки:

Нажмите «Установить», чтобы открыть диалоговое окно «Настройка исключений файлов и папок» и укажите имена файлов и папок, которые нужно исключить из сканирования Endpoint Protection.

Если вы хотите исключить файлы и папки, расположенные на подключенном сетевом диске, укажите имя каждой папки на сетевом диске по отдельности. Например, если сетевой диск отображается как F:\MyFolder и содержит вложенные папки с именами Folder1, Folder2 и Folder 3, укажите следующие исключения:

Начиная с версии 1602, существующий параметр «Исключить файлы и папки» в разделе «Параметры исключения» политики защиты от вредоносных программ улучшен, чтобы разрешить исключение устройств. Например, теперь вы можете указать в качестве исключения следующее: \device\mvfs (для многоверсионной файловой системы). Политика не проверяет путь к устройству; политика Endpoint Protection предоставляется механизму защиты от вредоносных программ на клиенте, который должен иметь возможность интерпретировать строку устройства.

Исключенные типы файлов:

Нажмите «Установить», чтобы открыть диалоговое окно «Настроить исключения типов файлов» и указать расширения файлов, которые следует исключить из сканирования Endpoint Protection. Вы можете использовать подстановочные знаки при определении элементов в списке исключений. Дополнительные сведения см. в разделе Использование подстановочных знаков в имени файла и пути к папке или в списках исключений расширений.

Исключенные процессы:

Нажмите «Установить», чтобы открыть диалоговое окно «Настроить исключения процессов» и указать процессы, которые необходимо исключить из сканирования Endpoint Protection. Вы можете использовать подстановочные знаки при определении элементов в списке исключений, однако существуют некоторые ограничения. Дополнительные сведения см. в разделе Использование подстановочных знаков в списке исключений процессов

.

Дополнительные настройки

Включить сканирование точек повторной обработки. Установите значение Да, если вы хотите, чтобы Endpoint Protection сканировала точки повторной обработки NTFS.

Дополнительную информацию о точках повторной обработки см. в разделе Точки повторной обработки в Центре разработки для Windows.

Случайное время начала сканирования по расписанию (в пределах 30 минут). Установите значение Да, чтобы избежать переполнения сети, которое может произойти, если все компьютеры одновременно отправят результаты сканирования на наличие вредоносного ПО в базу данных Configuration Manager. Для антивирусной программы "Защитник Windows" это рандомизирует время начала сканирования на любой интервал от 0 до 4 часов, а для FEP и SCEP - на любой интервал плюс-минус 30 минут. Это может быть полезно при развертывании виртуальных машин или VDI. Этот параметр также полезен при запуске нескольких виртуальных машин на одном хосте. Выберите этот параметр, чтобы уменьшить количество одновременных обращений к диску для сканирования на наличие вредоносных программ.

Начиная с версии 1602 Configuration Manager модуль защиты от вредоносных программ может запрашивать отправку образцов файлов в Microsoft для дальнейшего анализа. По умолчанию он всегда будет запрашивать перед отправкой таких образцов. Администраторы теперь могут управлять следующими параметрами, чтобы настроить это поведение:

Включите автоматическую отправку файлов образцов, чтобы помочь Microsoft определить, являются ли определенные обнаруженные элементы вредоносными. Установите значение «Да», чтобы включить автоматическую отправку файлов образцов. По умолчанию для этого параметра установлено значение «Нет». Это означает, что автоматическая отправка файлов с примерами отключена, а пользователи получают запрос перед отправкой образцов.

Разрешить пользователям изменять параметры автоматической отправки файлов образцов. Этот параметр определяет, может ли пользователь с правами локального администратора на устройстве изменять параметры автоматической отправки файлов образцов в клиентском интерфейсе. По умолчанию этот параметр имеет значение «Нет», что означает, что его можно изменить только из консоли Configuration Manager, и локальные администраторы на устройстве не могут изменить эту конфигурацию.
Например, ниже показано, что этот параметр, установленный администратором как включенный, отображается серым цветом, чтобы пользователь не мог изменить его.

Настройки переопределения угроз

Имя угрозы и действие переопределения. Нажмите «Установить», чтобы настроить действие по исправлению для каждого идентификатора угрозы, обнаруженного во время сканирования.

Список имен угроз может быть недоступен сразу после настройки Endpoint Protection. Подождите, пока точка Endpoint Protection синхронизирует информацию об угрозах, а затем повторите попытку.

Служба облачной защиты

Служба Cloud Protection позволяет собирать информацию об обнаруженных вредоносных программах в управляемых системах и предпринятых действиях. Эта информация отправляется в Microsoft.

Членство в службе Cloud Protection

  • Не присоединяйтесь к службе Cloud Protection — информация не отправляется
  • Базовый — сбор и отправка списков обнаруженных вредоносных программ
  • Дополнительно: базовая информация, а также более полная информация, которая может содержать личную информацию. Например, пути к файлам и частичные дампы памяти.

Разрешить пользователям изменять настройки службы облачной защиты – включает пользовательский контроль над настройками службы облачной защиты.

Уровень блокировки подозрительных файлов. Укажите уровень, на котором служба Endpoint Protection Cloud Protection будет блокировать подозрительные файлы.

  • Обычный – уровень блокировки Защитника Windows по умолчанию.
  • Высокий — активно блокирует неизвестные файлы при оптимизации производительности (больше шансов заблокировать безопасные файлы).
  • Высокий с дополнительной защитой — активно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства).
  • Блокировать неизвестные программы: блокирует все неизвестные программы.

Разрешить блокировку и сканирование расширенной облачной проверкой на срок до (секунд) — указывает количество секунд, в течение которых служба Cloud Protection Service может блокировать файл, пока служба проверяет, не является ли файл вредоносным.

Количество секунд, которое вы выбираете для этого параметра, является дополнением к 10-секундному тайм-ауту по умолчанию. Например, если вы введете 0 секунд, служба облачной защиты заблокирует файл на 10 секунд.

Подробности отчетов службы Cloud Protection

< td>Когда Защитник Windows обновляет защиту от вирусов и программ-шпионов или файлы определений < td>Список запущенных процессов в памяти вашего компьютера
Частота Собранные или отправленные данные Использование данных
- Версия определений вирусов и программ-шпионов - Версия защиты от вирусов и программ-шпионов Microsoft использует эту информацию, чтобы гарантировать шпионские обновления присутствуют на компьютерах. Если он отсутствует, Защитник Windows обновляется автоматически, чтобы защита компьютера оставалась актуальной.
Если Защитник Windows обнаруживает потенциально вредоносное или нежелательное программное обеспечение на компьютерах - Название потенциально опасного или нежелательного программного обеспечения - Как было обнаружено программное обеспечение - Какие действия Защитника Windows предпринял для работы с программным обеспечением - Файлы, затронутые программным обеспечением - Информация о компьютере от производителя (Sysconfig, SysModel, SysMarker) Защитник Windows использует эту информацию для определения типа и серьезности потенциально нежелательного программного обеспечения, а также для принятия наилучших мер. Microsoft также использует эту информацию для повышения точности защиты от вирусов и программ-шпионов.
Раз в месяц — Состояние обновления определений вирусов и программ-шпионов — Состояние мониторинг вирусов и программ-шпионов в режиме реального времени (вкл. или выкл.) Защитник Windows использует эту информацию для проверки наличия на компьютерах последней версии и определений защиты от вирусов и программ-шпионов. Microsoft также хочет убедиться, что мониторинг вирусов и шпионских программ в режиме реального времени включен. Это критически важная часть защиты компьютеров от потенциально опасного или нежелательного программного обеспечения.
Во время установки или всякий раз, когда пользователи вручную выполняют проверку компьютера на наличие вирусов и программ-шпионов Чтобы определить любые процессы, которые могли быть скомпрометированы потенциально опасным программным обеспечением.

Microsoft собирает только имена затронутых файлов, а не содержимое самих файлов. Эта информация помогает определить, какие системы особенно уязвимы для конкретных угроз.

Настройки обновлений определений

Установить источники и порядок обновлений клиента Endpoint Protection. Нажмите «Установить источник», чтобы указать источники для обновлений определения и модуля сканирования. Вы также можете указать порядок использования этих источников.Если в качестве одного из источников указан Configuration Manager, другие источники используются только в том случае, если обновления программного обеспечения не загружают обновления клиента.

Если вы используете любой из следующих методов для обновления определений на клиентских компьютерах, клиентские компьютеры должны иметь доступ к Интернету.

Обновления, распространяемые из Центра обновления Майкрософт

Обновления, распространяемые из Центра защиты от вредоносных программ Microsoft

Клиенты загружают обновления определений с помощью встроенной системной учетной записи. Вы должны настроить прокси-сервер для этой учетной записи, чтобы эти клиенты могли подключаться к Интернету.

Если вы настроили правило автоматического развертывания обновлений программного обеспечения для доставки обновлений определений на клиентские компьютеры, эти обновления будут доставлены независимо от настроек обновлений определений.

Прежде чем ответить на вопрос, может ли антивирус сканировать ZIP-файлы?, мы должны сначала кратко рассмотреть, что такое ZIP-файлы на самом деле. Проще говоря, zip-файлы — это файлы, которые были сжаты для уменьшения места для хранения. Zip-файлы идентифицируются по расширению .zip и легко создаются на рабочем столе. После создания файла .zip для доступа к файлам внутри требуется сначала «распаковать» или извлечь их. Zip-файлы также используются для других целей, таких как шифрование файлов и создание различных типов архивов. Кроме того, есть более вредоносное использование, которое предпочитают киберпреступники, использующие ZIP-файлы для отправки вредоносных файлов.

К счастью, антивирусное программное обеспечение может и сканирует ZIP-файлы, но то, как выполняется сканирование, зависит от антивирусного программного обеспечения. Некоторые антивирусные программы, например, могут сканировать и обнаруживать вирусы внутри заархивированного файла. Они делают это, временно распаковывая заархивированные файлы и сканируя содержимое. Другие сканируют файлы на наличие вирусов после их извлечения, что также является совершенно безопасным методом сканирования, поскольку AV по-прежнему будет очищать, помещать в карантин или удалять (в зависимости от выбранного метода) любые зараженные файлы, прежде чем они смогут заразить вашу систему или другие устройства. файлы. Способность антивирусного программного обеспечения сканировать архивные файлы также зависит от формата архивных файлов. Иногда антивирусное программное обеспечение может обнаружить вирус только в ZIP-файле, но не может предпринять никаких дальнейших действий для его удаления или удаления. В этом случае вам, как правило, придется запускать антивирус непосредственно в зараженном файле после того, как вы его распаковали.

А еще есть Zip-бомбы

Zip-бомбы работают иначе, чем другие вирусы, доставляемые в виде ZIP-файлов, поскольку они созданы таким образом, что для их распаковки требуется огромное количество времени, места и системной памяти. Таким образом, их распаковка затрудняет работу других программ, таких как антивирусное программное обеспечение, которые являются основными целями этих почтовых бомб. Один очень известный пример почтовой бомбы называется «42.zip». Сам файл весит всего несколько килобайт, но в распакованном виде занимает целых 4,5 петабайта дискового пространства!

Поэтому легко понять, как zip-бомбы могут привести к сбою в работе компьютерной системы. По сути, zip-бомбы предназначены для истощения ресурсов вашей системы, что приводит к ее сбою и отключению вашего антивирусного программного обеспечения, что затем создает лазейку для других типов вредоносных программ. К счастью, антивирусное программное обеспечение также может обнаруживать zip-бомбы. Он делает это, ища перекрывающиеся файлы и зная, что нельзя распаковывать слой за слоем рекурсивные данные, что является верным признаком zip-бомбы.

Сканирование в режиме реального времени — одна из важнейших функций любого антивирусного продукта. При ручном сканировании файлы проверяются на наличие вредоносных программ только при запуске сканирования. Вы не обнаружите зараженный файл до тех пор, пока он не будет загружен и не будет выбран запуск сканирования; но, в этот момент, ущерб может быть нанесен! При сканировании в реальном времени ваш антивирус постоянно проверяет файлы по мере доступа к ним.

Если вы попытаетесь загрузить вредоносное ПО, сканирование в режиме реального времени немедленно обнаружит его и не позволит повредить вашу систему. Например, если вы получили электронное письмо с вредоносным вложением или случайно загрузили вредоносный установщик, он обнаружит файл и поместит его в карантин до того, как вы сможете открыть его и потенциально заразить свой Mac вредоносным ПО.

Несмотря на то, насколько полезно сканирование в режиме реального времени для защиты от вредоносных программ, Intego регулярно сталкивается с вопросами об этой функции — очевидно, что для многих пользователей антивирусов Mac она остается загадкой. В этой статье мы попытаемся ответить на некоторые распространенные вопросы пользователей о необходимости сканирования в реальном времени.

Могу ли я просто периодически сканировать свой Mac?

Конечно, можно!Но при сканировании в реальном времени вам нужно запустить полное сканирование системы только один раз, когда вы устанавливаете антивирусный продукт. После завершения полного сканирования системы сканирование в режиме реального времени может отслеживать каждую часть данных, поступающих в вашу систему в будущем. Полное сканирование может занять приличное количество времени и обычно использует все доступные системные ресурсы, что может повлиять на производительность системы, пока оно не будет выполнено.

Помня об этом, многие пользователи откладывают сканирование до тех пор, пока оно не станет более удобным, или отменяют запланированное сканирование, потому что сейчас неподходящее время. Прежде чем вы это узнаете, прошел месяц, а сканирование не проводилось. За это время может произойти многое, что может подвергнуть вашу систему риску.

Сканирование в режиме реального времени требует очень мало системных ресурсов и исключает человеческий фактор из антивирусной защиты, поэтому это предпочтительный способ защиты системы от вредоносных программ.

Замедляет ли сканирование в реальном времени мой Mac?

Раньше. Но это было более десяти лет назад, когда большинство компьютеров Mac имели только один процессор с одним ядром. Иметь всего одно ядро ​​процессора для обработки всего, что происходит в macOS (а также приложений и процессов, которые вы запускаете) — это большая задача! В прошлом сканирование в реальном времени часто прерывало или задерживало эти задачи, что приводило к заметному замедлению работы системы. Ограниченный объем памяти (ОЗУ) и, как правило, более медленный накопитель (жесткий диск) усугубляют это влияние на производительность.

Однако в настоящее время подавляющее большинство используемых компьютеров Mac имеют как минимум два процессорных ядра с частотой в несколько гигагерц и такое же количество виртуальных ядер. Также распространено наличие 4, 8 или 16 ГБ оперативной памяти, а также быстрых жестких дисков или твердотельных накопителей. Это дает типичной системе более чем достаточно ресурсов для обработки всего, что происходит, включая сканирование антивирусного продукта в режиме реального времени.

Почему антивирусное сканирование может выполняться так долго?

Следствием выполнения полного антивирусного сканирования системы (и даже сканирования по расписанию) является то, сколько времени может занять сканирование архивов, то есть процесс извлечения и сканирования большого количества файлов. Иногда при сканировании архивов может показаться, что сканирование «зависло» в файле на длительный период времени. Это может создать впечатление, что сканирование зависло и не может быть завершено, поскольку индикатор выполнения перестает двигаться в течение длительного периода времени, что, несомненно, может разочаровать пользователя.

Благодаря сканированию в реальном времени вы можете безопасно пропустить сканирование архивов. Если в архиве есть вредоносное ПО, оно будет обнаружено при раскрытии архива. Без сканирования в реальном времени оно будет пропущено до следующего запуска сканирования. Таким образом, антивирус без сканирования в реальном времени лучше всего защитит вас, выбрав большую дорогу и просканировав архивы, потому что это единственный способ определить, есть ли в архиве вредоносное ПО. Тем не менее, в наши дни полное сканирование системы технически не требуется, поскольку сканирование выполняется в режиме реального времени.

Например, наши продукты VirusBarrier X9 предлагают модуль сканирования в реальном времени, который включен по умолчанию, поэтому при выполнении полного сканирования можно безопасно пропустить сканирование архивов. Напротив, наш сканер VirusBarrier не включает в себя сканер в реальном времени, и мы считаем, что в интересах вашей безопасности мы должны сканировать архивы по умолчанию, даже если сканирование занимает больше времени. Недостатком является то, что это означает, что сканирование может занять значительно больше времени, но преимущество в том, что мы считаем, что вы лучше защищены!

Как сканирование в режиме реального времени помогает бороться с вредоносными программами?

В среднем человек получает более 120 сообщений в день во всех почтовых службах, которыми он пользуется. это сочетание подписки, работы, личной и спам-почты. В то время как вложения электронной почты раньше были редкостью из-за ограниченной скорости Интернета, размеров почтовых ящиков и ограничений на размер вложений, в наши дни почти каждое электронное письмо имеет вложение. Это может быть изображение, PDF-файл или, что чаще, подпись электронной почты с форматированным текстом и каким-либо логотипом. Маленький значок скрепки в вашем почтовом клиенте сейчас невероятно распространен, поэтому его в основном игнорируют.

Если хотя бы одно из этих вложений является вредоносным, а до следующего запланированного антивирусного сканирования еще 9 часов, скорее всего, вы откроете электронное письмо с вредоносным вложением задолго до начала сканирования. Сканирование в режиме реального времени обнаружит вредоносное вложение, возможно, еще до того, как вы поймете, что получили электронное письмо.

То же самое относится к файлам, которые вы загружаете преднамеренно или непреднамеренно (вспомните всплывающие окна и спам-сайты), а также к файлам, которые попадают на ваш Mac через общий доступ к файлам, передачу данных с флэш-накопителя и т. д.

Что такое сканирование сети в режиме реального времени?

Другой вид сканирования в реальном времени применяется к сетевому трафику. Сканирование в режиме реального времени с помощью антивирусного решения фокусируется на определенных строках данных, которые соответствуют известным вредоносным шаблонам. (Вот как он может перехватить этот вредоносный установщик Flash Player до того, как вы сможете его открыть.) Сканирование сети в режиме реального времени — другими словами, двусторонний брандмауэр, сканирующий входящие и исходящие соединения в режиме реального времени — фокусируется на аналогичных шаблонах. . Он может разрешать или запрещать входящий или исходящий сетевой трафик в зависимости от того, какое приложение отправляет или получает данные и в каком местоположении вы находитесь; например, более строгие правила, когда вы находитесь в общедоступной сети Wi-Fi, и менее строгие правила, когда вы находитесь в надежной домашней сети. (СВЯЗАННО: Зачем вам нужен исходящий брандмауэр.)

Существует также сканирование в режиме реального времени, которое применяется к контенту в вышеупомянутом сетевом трафике. Такие сканеры в режиме реального времени обеспечивают блокировку электронных писем, чатов и веб-сайтов с потенциально опасным содержимым. Это отличный способ защитить детей, когда они используют компьютер.

Сканирование в режиме реального времени — это то, что в конечном итоге защищает ваш Mac от нежелательного кода, будь то вложение электронной почты, вредоносный установщик или сетевой трафик.

Поделиться:

О Джее Вриенгуке

Джей Вриенхук (Jay Vrijenhoek) — ИТ-консультант, увлеченный исследованиями в области безопасности Mac. Просмотреть все сообщения Джея Вриенхука → Эта запись была опубликована в разделе «Рекомендуемые», «Программное обеспечение и приложения» с пометкой «антивирус», «Брандмауэр», «Сканирование в реальном времени». Добавьте постоянную ссылку в закладки.

Читайте также: