Какой файл архива данных не нужно проверять антивирусом после скачивания

Microsoft Edge также предоставляет параметры для блокировки потенциально нежелательных приложений. Изучите эти варианты для полной защиты от нежелательных приложений.

Этот параметр политики защиты доступен и по умолчанию имеет значение Включено. Если этот параметр включен, он блокирует PUA во время загрузки и установки. Однако вы можете исключить определенные файлы или папки в соответствии с конкретными потребностями вашего бизнеса или организации.

Настройки исключения

Сведения о папках, файлах и процессах, рекомендуемых для исключения в Configuration Manager 2012 и Current Branch, см. в статье Рекомендуемые антивирусные исключения для Configuration Manager 2012 и серверов сайта, систем сайта и клиентов текущего филиала.

Исключенные файлы и папки:

Нажмите «Установить», чтобы открыть диалоговое окно «Настройка исключений файлов и папок» и укажите имена файлов и папок, которые нужно исключить из сканирования Endpoint Protection.

Если вы хотите исключить файлы и папки, расположенные на подключенном сетевом диске, укажите имя каждой папки на сетевом диске по отдельности. Например, если сетевой диск отображается как F:\MyFolder и содержит вложенные папки с именами Folder1, Folder2 и Folder 3, укажите следующие исключения:

Начиная с версии 1602, существующий параметр «Исключить файлы и папки» в разделе «Параметры исключения» политики защиты от вредоносных программ улучшен, чтобы разрешить исключение устройств. Например, теперь вы можете указать в качестве исключения следующее: \device\mvfs (для многоверсионной файловой системы). Политика не проверяет путь к устройству; политика Endpoint Protection предоставляется механизму защиты от вредоносных программ на клиенте, который должен иметь возможность интерпретировать строку устройства.

Исключенные типы файлов:

Нажмите «Установить», чтобы открыть диалоговое окно «Настроить исключения типов файлов» и указать расширения файлов, которые следует исключить из сканирования Endpoint Protection. Вы можете использовать подстановочные знаки при определении элементов в списке исключений. Дополнительные сведения см. в разделе Использование подстановочных знаков в имени файла и пути к папке или в списках исключений расширений.

Исключенные процессы:

Нажмите «Установить», чтобы открыть диалоговое окно «Настроить исключения процессов» и указать процессы, которые необходимо исключить из сканирования Endpoint Protection. Вы можете использовать подстановочные знаки при определении элементов в списке исключений, однако существуют некоторые ограничения. Дополнительные сведения см. в разделе Использование подстановочных знаков в списке исключений процессов

Дополнительные настройки

Включить сканирование точек повторной обработки. Установите значение Да, если вы хотите, чтобы Endpoint Protection сканировала точки повторной обработки NTFS.

Дополнительную информацию о точках повторной обработки см. в разделе Точки повторной обработки в Центре разработки для Windows.

Случайное время начала сканирования по расписанию (в пределах 30 минут). Установите значение Да, чтобы избежать переполнения сети, которое может произойти, если все компьютеры одновременно отправят результаты сканирования на наличие вредоносного ПО в базу данных Configuration Manager. Для антивирусной программы "Защитник Windows" это рандомизирует время начала сканирования на любой интервал от 0 до 4 часов, а для FEP и SCEP - на любой интервал плюс-минус 30 минут. Это может быть полезно при развертывании виртуальных машин или VDI. Этот параметр также полезен при запуске нескольких виртуальных машин на одном хосте. Выберите этот параметр, чтобы уменьшить количество одновременных обращений к диску для сканирования на наличие вредоносных программ.

Начиная с версии 1602 Configuration Manager модуль защиты от вредоносных программ может запрашивать отправку образцов файлов в Microsoft для дальнейшего анализа. По умолчанию он всегда будет запрашивать перед отправкой таких образцов. Администраторы теперь могут управлять следующими параметрами, чтобы настроить это поведение:

Включите автоматическую отправку файлов образцов, чтобы помочь Microsoft определить, являются ли определенные обнаруженные элементы вредоносными. Установите значение «Да», чтобы включить автоматическую отправку файлов образцов. По умолчанию для этого параметра установлено значение «Нет». Это означает, что автоматическая отправка файлов с примерами отключена, а пользователи получают запрос перед отправкой образцов.

Разрешить пользователям изменять параметры автоматической отправки файлов образцов. Этот параметр определяет, может ли пользователь с правами локального администратора на устройстве изменять параметры автоматической отправки файлов образцов в клиентском интерфейсе. По умолчанию этот параметр имеет значение «Нет», что означает, что его можно изменить только из консоли Configuration Manager, и локальные администраторы на устройстве не могут изменить эту конфигурацию.
Например, ниже показано, что этот параметр, установленный администратором как включенный, отображается серым цветом, чтобы пользователь не мог изменить его.

Настройки переопределения угроз

Имя угрозы и действие переопределения. Нажмите «Установить», чтобы настроить действие по исправлению для каждого идентификатора угрозы, обнаруженного во время сканирования.

Список имен угроз может быть недоступен сразу после настройки Endpoint Protection. Подождите, пока точка Endpoint Protection синхронизирует информацию об угрозах, а затем повторите попытку.

Служба облачной защиты

Служба Cloud Protection позволяет собирать информацию об обнаруженных вредоносных программах в управляемых системах и предпринятых действиях. Эта информация отправляется в Microsoft.

Членство в службе Cloud Protection

• Не присоединяйтесь к службе Cloud Protection — информация не отправляется
• Базовый — сбор и отправка списков обнаруженных вредоносных программ
• Дополнительно: базовая информация, а также более полная информация, которая может содержать личную информацию. Например, пути к файлам и частичные дампы памяти.

Разрешить пользователям изменять настройки службы облачной защиты – включает пользовательский контроль над настройками службы облачной защиты.

Уровень блокировки подозрительных файлов. Укажите уровень, на котором служба Endpoint Protection Cloud Protection будет блокировать подозрительные файлы.

• Обычный – уровень блокировки Защитника Windows по умолчанию.
• Высокий — активно блокирует неизвестные файлы при оптимизации производительности (больше шансов заблокировать безопасные файлы).
• Высокий с дополнительной защитой — активно блокирует неизвестные файлы и применяет дополнительные меры защиты (может повлиять на производительность клиентского устройства).
• Блокировать неизвестные программы: блокирует все неизвестные программы.

Разрешить блокировку и сканирование расширенной облачной проверкой на срок до (секунд) — указывает количество секунд, в течение которых служба Cloud Protection Service может блокировать файл, пока служба проверяет, не является ли файл вредоносным.

Количество секунд, которое вы выбираете для этого параметра, является дополнением к 10-секундному тайм-ауту по умолчанию. Например, если вы введете 0 секунд, служба облачной защиты заблокирует файл на 10 секунд.

Подробности отчетов службы Cloud Protection

Microsoft собирает только имена затронутых файлов, а не содержимое самих файлов. Эта информация помогает определить, какие системы особенно уязвимы для конкретных угроз.

Настройки обновлений определений

Установить источники и порядок обновлений клиента Endpoint Protection. Нажмите «Установить источник», чтобы указать источники для обновлений определения и модуля сканирования. Вы также можете указать порядок использования этих источников.Если в качестве одного из источников указан Configuration Manager, другие источники используются только в том случае, если обновления программного обеспечения не загружают обновления клиента.

Если вы используете любой из следующих методов для обновления определений на клиентских компьютерах, клиентские компьютеры должны иметь доступ к Интернету.

Обновления, распространяемые из Центра обновления Майкрософт

Обновления, распространяемые из Центра защиты от вредоносных программ Microsoft

Клиенты загружают обновления определений с помощью встроенной системной учетной записи. Вы должны настроить прокси-сервер для этой учетной записи, чтобы эти клиенты могли подключаться к Интернету.

Если вы настроили правило автоматического развертывания обновлений программного обеспечения для доставки обновлений определений на клиентские компьютеры, эти обновления будут доставлены независимо от настроек обновлений определений.

Прежде чем ответить на вопрос, может ли антивирус сканировать ZIP-файлы?, мы должны сначала кратко рассмотреть, что такое ZIP-файлы на самом деле. Проще говоря, zip-файлы — это файлы, которые были сжаты для уменьшения места для хранения. Zip-файлы идентифицируются по расширению .zip и легко создаются на рабочем столе. После создания файла .zip для доступа к файлам внутри требуется сначала «распаковать» или извлечь их. Zip-файлы также используются для других целей, таких как шифрование файлов и создание различных типов архивов. Кроме того, есть более вредоносное использование, которое предпочитают киберпреступники, использующие ZIP-файлы для отправки вредоносных файлов.

К счастью, антивирусное программное обеспечение может и сканирует ZIP-файлы, но то, как выполняется сканирование, зависит от антивирусного программного обеспечения. Некоторые антивирусные программы, например, могут сканировать и обнаруживать вирусы внутри заархивированного файла. Они делают это, временно распаковывая заархивированные файлы и сканируя содержимое. Другие сканируют файлы на наличие вирусов после их извлечения, что также является совершенно безопасным методом сканирования, поскольку AV по-прежнему будет очищать, помещать в карантин или удалять (в зависимости от выбранного метода) любые зараженные файлы, прежде чем они смогут заразить вашу систему или другие устройства. файлы. Способность антивирусного программного обеспечения сканировать архивные файлы также зависит от формата архивных файлов. Иногда антивирусное программное обеспечение может обнаружить вирус только в ZIP-файле, но не может предпринять никаких дальнейших действий для его удаления или удаления. В этом случае вам, как правило, придется запускать антивирус непосредственно в зараженном файле после того, как вы его распаковали.

А еще есть Zip-бомбы

Zip-бомбы работают иначе, чем другие вирусы, доставляемые в виде ZIP-файлов, поскольку они созданы таким образом, что для их распаковки требуется огромное количество времени, места и системной памяти. Таким образом, их распаковка затрудняет работу других программ, таких как антивирусное программное обеспечение, которые являются основными целями этих почтовых бомб. Один очень известный пример почтовой бомбы называется «42.zip». Сам файл весит всего несколько килобайт, но в распакованном виде занимает целых 4,5 петабайта дискового пространства!

Поэтому легко понять, как zip-бомбы могут привести к сбою в работе компьютерной системы. По сути, zip-бомбы предназначены для истощения ресурсов вашей системы, что приводит к ее сбою и отключению вашего антивирусного программного обеспечения, что затем создает лазейку для других типов вредоносных программ. К счастью, антивирусное программное обеспечение также может обнаруживать zip-бомбы. Он делает это, ища перекрывающиеся файлы и зная, что нельзя распаковывать слой за слоем рекурсивные данные, что является верным признаком zip-бомбы.

Сканирование в режиме реального времени — одна из важнейших функций любого антивирусного продукта. При ручном сканировании файлы проверяются на наличие вредоносных программ только при запуске сканирования. Вы не обнаружите зараженный файл до тех пор, пока он не будет загружен и не будет выбран запуск сканирования; но, в этот момент, ущерб может быть нанесен! При сканировании в реальном времени ваш антивирус постоянно проверяет файлы по мере доступа к ним.

Если вы попытаетесь загрузить вредоносное ПО, сканирование в режиме реального времени немедленно обнаружит его и не позволит повредить вашу систему. Например, если вы получили электронное письмо с вредоносным вложением или случайно загрузили вредоносный установщик, он обнаружит файл и поместит его в карантин до того, как вы сможете открыть его и потенциально заразить свой Mac вредоносным ПО.

Несмотря на то, насколько полезно сканирование в режиме реального времени для защиты от вредоносных программ, Intego регулярно сталкивается с вопросами об этой функции — очевидно, что для многих пользователей антивирусов Mac она остается загадкой. В этой статье мы попытаемся ответить на некоторые распространенные вопросы пользователей о необходимости сканирования в реальном времени.

Могу ли я просто периодически сканировать свой Mac?

Конечно, можно!Но при сканировании в реальном времени вам нужно запустить полное сканирование системы только один раз, когда вы устанавливаете антивирусный продукт. После завершения полного сканирования системы сканирование в режиме реального времени может отслеживать каждую часть данных, поступающих в вашу систему в будущем. Полное сканирование может занять приличное количество времени и обычно использует все доступные системные ресурсы, что может повлиять на производительность системы, пока оно не будет выполнено.

Помня об этом, многие пользователи откладывают сканирование до тех пор, пока оно не станет более удобным, или отменяют запланированное сканирование, потому что сейчас неподходящее время. Прежде чем вы это узнаете, прошел месяц, а сканирование не проводилось. За это время может произойти многое, что может подвергнуть вашу систему риску.

Сканирование в режиме реального времени требует очень мало системных ресурсов и исключает человеческий фактор из антивирусной защиты, поэтому это предпочтительный способ защиты системы от вредоносных программ.

Замедляет ли сканирование в реальном времени мой Mac?

Раньше. Но это было более десяти лет назад, когда большинство компьютеров Mac имели только один процессор с одним ядром. Иметь всего одно ядро ​​процессора для обработки всего, что происходит в macOS (а также приложений и процессов, которые вы запускаете) — это большая задача! В прошлом сканирование в реальном времени часто прерывало или задерживало эти задачи, что приводило к заметному замедлению работы системы. Ограниченный объем памяти (ОЗУ) и, как правило, более медленный накопитель (жесткий диск) усугубляют это влияние на производительность.

Однако в настоящее время подавляющее большинство используемых компьютеров Mac имеют как минимум два процессорных ядра с частотой в несколько гигагерц и такое же количество виртуальных ядер. Также распространено наличие 4, 8 или 16 ГБ оперативной памяти, а также быстрых жестких дисков или твердотельных накопителей. Это дает типичной системе более чем достаточно ресурсов для обработки всего, что происходит, включая сканирование антивирусного продукта в режиме реального времени.

Почему антивирусное сканирование может выполняться так долго?

Следствием выполнения полного антивирусного сканирования системы (и даже сканирования по расписанию) является то, сколько времени может занять сканирование архивов, то есть процесс извлечения и сканирования большого количества файлов. Иногда при сканировании архивов может показаться, что сканирование «зависло» в файле на длительный период времени. Это может создать впечатление, что сканирование зависло и не может быть завершено, поскольку индикатор выполнения перестает двигаться в течение длительного периода времени, что, несомненно, может разочаровать пользователя.

Благодаря сканированию в реальном времени вы можете безопасно пропустить сканирование архивов. Если в архиве есть вредоносное ПО, оно будет обнаружено при раскрытии архива. Без сканирования в реальном времени оно будет пропущено до следующего запуска сканирования. Таким образом, антивирус без сканирования в реальном времени лучше всего защитит вас, выбрав большую дорогу и просканировав архивы, потому что это единственный способ определить, есть ли в архиве вредоносное ПО. Тем не менее, в наши дни полное сканирование системы технически не требуется, поскольку сканирование выполняется в режиме реального времени.

Например, наши продукты VirusBarrier X9 предлагают модуль сканирования в реальном времени, который включен по умолчанию, поэтому при выполнении полного сканирования можно безопасно пропустить сканирование архивов. Напротив, наш сканер VirusBarrier не включает в себя сканер в реальном времени, и мы считаем, что в интересах вашей безопасности мы должны сканировать архивы по умолчанию, даже если сканирование занимает больше времени. Недостатком является то, что это означает, что сканирование может занять значительно больше времени, но преимущество в том, что мы считаем, что вы лучше защищены!

Как сканирование в режиме реального времени помогает бороться с вредоносными программами?

В среднем человек получает более 120 сообщений в день во всех почтовых службах, которыми он пользуется. это сочетание подписки, работы, личной и спам-почты. В то время как вложения электронной почты раньше были редкостью из-за ограниченной скорости Интернета, размеров почтовых ящиков и ограничений на размер вложений, в наши дни почти каждое электронное письмо имеет вложение. Это может быть изображение, PDF-файл или, что чаще, подпись электронной почты с форматированным текстом и каким-либо логотипом. Маленький значок скрепки в вашем почтовом клиенте сейчас невероятно распространен, поэтому его в основном игнорируют.

Если хотя бы одно из этих вложений является вредоносным, а до следующего запланированного антивирусного сканирования еще 9 часов, скорее всего, вы откроете электронное письмо с вредоносным вложением задолго до начала сканирования. Сканирование в режиме реального времени обнаружит вредоносное вложение, возможно, еще до того, как вы поймете, что получили электронное письмо.

То же самое относится к файлам, которые вы загружаете преднамеренно или непреднамеренно (вспомните всплывающие окна и спам-сайты), а также к файлам, которые попадают на ваш Mac через общий доступ к файлам, передачу данных с флэш-накопителя и т. д.

Что такое сканирование сети в режиме реального времени?

Другой вид сканирования в реальном времени применяется к сетевому трафику. Сканирование в режиме реального времени с помощью антивирусного решения фокусируется на определенных строках данных, которые соответствуют известным вредоносным шаблонам. (Вот как он может перехватить этот вредоносный установщик Flash Player до того, как вы сможете его открыть.) Сканирование сети в режиме реального времени — другими словами, двусторонний брандмауэр, сканирующий входящие и исходящие соединения в режиме реального времени — фокусируется на аналогичных шаблонах. . Он может разрешать или запрещать входящий или исходящий сетевой трафик в зависимости от того, какое приложение отправляет или получает данные и в каком местоположении вы находитесь; например, более строгие правила, когда вы находитесь в общедоступной сети Wi-Fi, и менее строгие правила, когда вы находитесь в надежной домашней сети. (СВЯЗАННО: Зачем вам нужен исходящий брандмауэр.)

Существует также сканирование в режиме реального времени, которое применяется к контенту в вышеупомянутом сетевом трафике. Такие сканеры в режиме реального времени обеспечивают блокировку электронных писем, чатов и веб-сайтов с потенциально опасным содержимым. Это отличный способ защитить детей, когда они используют компьютер.

Сканирование в режиме реального времени — это то, что в конечном итоге защищает ваш Mac от нежелательного кода, будь то вложение электронной почты, вредоносный установщик или сетевой трафик.

Поделиться:

О Джее Вриенгуке

Джей Вриенхук (Jay Vrijenhoek) — ИТ-консультант, увлеченный исследованиями в области безопасности Mac. Просмотреть все сообщения Джея Вриенхука → Эта запись была опубликована в разделе «Рекомендуемые», «Программное обеспечение и приложения» с пометкой «антивирус», «Брандмауэр», «Сканирование в реальном времени». Добавьте постоянную ссылку в закладки.

Читайте также:

  
• Как подключить планшет к компьютеру через usb
  
• Под установкой аппаратного брандмауэра понимается
  
• Как разблокировать сайт на ПК
  
• Дата Winmail открывается
  
• Как сделать корневой проводник устройства