KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente Eset? Diventa Partner CoreTech e visita il nostro configuratore prezzi

ESET - File Security - Protezione file system in tempo reale

ESET File Security - Protezione file system in tempo reale

La funzione di Protezione file system in tempo reale consente di controllare tutti gli eventi correlati all'antivirus nel sistema. Su tutti i file vengono ricercati codici dannosi al momento dell'apertura, creazione o esecuzione sul computer. La funzione Protezione file system in tempo reale viene avviata all'avvio del sistema.

Per impostazione predefinita, la protezione file system in tempo reale viene avviata all'avvio del sistema e fornisce un controllo ininterrotto. In casi particolari (ad esempio, in caso di conflitto con un altro scanner in tempo reale), la protezione in tempo reale può essere disattivata deselezionando Avvia automaticamente la protezione file system in tempo reale in Configurazione avanzata sotto a Protezione file system in tempo reale> Standard.

Supporti da controllare

Per impostazione predefinita, vengono controllati tutti i tipi di supporto alla ricerca di eventuali minacce:

  • Dischi locali: controlla tutti gli hard disk del sistema;
  • Supporti rimovibili: controlla CD/DVD, supporti di archiviazione USB, dispositivi Bluetooth e così via;
  • Dischi di rete: esegue il controllo di tutte le unità mappate.

Si consiglia di utilizzare le impostazioni predefinite e di modificarle solo in casi specifici, ad esempio quando il controllo di alcuni supporti rallenta notevolmente il trasferimento dei dati.

Controlla

Per impostazione predefinita, tutti i file vengono controllati al momento dell'apertura, creazione o esecuzione; è consigliabile mantenere le seguenti impostazioni predefinite per garantire il massimo livello di protezione in tempo reale per il computer in uso:

  • Apertura dei file: attiva o disattiva il controllo al momento dell'apertura dei file;
  • Creazione dei file: attiva o disattiva il controllo al momento della creazione dei file;
  • Esecuzione dei file: attiva o disattiva il controllo al momento dell'esecuzione dei file;
  • Accesso supporti rimovibili: attiva o disattiva il controllo attivato dall'accesso a determinati supporti rimovibili dotati di uno spazio di archiviazione;
  • Arresto computer: attiva o disattiva il controllo attivato dall'arresto del computer.

La Protezione file system in tempo reale, che viene attivata da vari eventi di sistema, tra cui l'accesso a un file, controlla tutti i tipi di supporti; grazie ai metodi di rilevamento della tecnologia ThreatSense (descritti nella sezione Parametri ThreatSense), è possibile configurare la Protezione file system in tempo reale allo scopo di gestire i file di nuova creazione in base a modalità diverse rispetto a quelle utilizzate per i file esistenti. Ad esempio, la Protezione file system in tempo reale può essere configurata in modo da monitorare più da vicino i file di nuova creazione.

Per ridurre al minimo l'impatto sul sistema della protezione in tempo reale, i file che sono già stati controllati verranno ignorati, eccetto nel caso in cui siano state apportate modifiche. I file vengono controllati nuovamente subito dopo ogni aggiornamento del database delle firme antivirali; questo comportamento viene controllato mediante l'utilizzo dell'Ottimizzazione intelligente. Se l'ottimizzazione intelligente è disattivata, tutti i file verranno controllati a ogni accesso. Per modificare questa impostazione, premete il tasto F5 per aprire la Configurazione avanzata ed espandere Antivirus > Protezione file system in tempo reale. Fare clic su Parametri ThreatSense > Altro e selezionare o deselezionare Attiva ottimizzazione intelligente.

Banner

Parametri di ThreatSense

ThreatSense è una tecnologia che prevede numerosi metodi di rilevamento di minacce complesse. Questa tecnologia è proattiva, ovvero fornisce protezione anche durante le prime ore di diffusione di una nuova minaccia. Il programma utilizza una combinazione di analisi del codice, emulazione del codice, firme generiche e firme antivirali che operano in modo integrato per potenziare enormemente la protezione del sistema. Il motore di controllo è in grado di controllare contemporaneamente diversi flussi di dati, ottimizzando l'efficienza e la percentuale di rilevamento. La tecnologia ThreatSense è inoltre in grado di eliminare i rootkit.

Le opzioni di configurazione del motore ThreatSense consentono all'utente di specificare vari parametri di controllo:

  • Tipi ed estensioni dei file da controllare
  • Combinazione di diversi metodi di rilevamento
  • Livelli di pulizia e così via.

Per accedere alla finestra di configurazione, fare clic su Configurazione parametri motore ThreatSense nella finestra Configurazione avanzata di qualsiasi modulo che utilizza la tecnologia ThreatSense (vedere sezione sottostante). Scenari di protezione diversi potrebbero richiedere configurazioni diverse. Partendo da questo presupposto, ThreatSense è configurabile singolarmente per i seguenti moduli di protezione:

  • Controllo Hyper-V;
  • Protezione file system in tempo reale;
  • Controllo stato di inattività;
  • Controllo all'avvio;
  • Protezione documenti;
  • Protezione client di posta;
  • Protezione accesso Web.

I parametri di ThreatSense vengono ottimizzati per ciascun modulo e la relativa modifica può influire in modo significativo sul funzionamento del sistema. Ad esempio, la modifica dei parametri per il controllo degli eseguibili compressi o per consentire l'euristica avanzata nel modulo della protezione file system in tempo reale potrebbe causare un rallentamento del sistema (questi metodi di controllo vengono applicati generalmente solo ai file di nuova creazione). È quindi consigliabile non modificare i parametri predefiniti di ThreatSense per tutti i moduli, ad eccezione di “Controllo computer”.

Oggetti da controllare

Questa sezione vi consente di definire i componenti e i file del computer nei quali verranno ricercate le infiltrazioni; gli oggetti da controllare sono quelli descritti qui di seguito.

  • Memoria operativa: ricerca le minacce che attaccano la memoria operativa del sistema.
  • Settori di avvio: controlla i settori di avvio andando alla ricerca di virus nel record di avvio principale ("Master Boot Record", MBR). In caso di una macchina virtuale Hyper-V, il disco MBR viene controllato in modalità di sola lettura.
  • File di e-mail: il programma supporta le seguenti estensioni: DBX (Outlook Express) ed EML.
  • Archivi: il programma supporta le seguenti estensioni: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE e molte altri ancora.
  • Archivi autoestraenti: gli archivi autoestraenti (SFX) sono archivi che non necessitano di programmi speciali, ovvero archivi, per decomprimersi.
  • Eseguibili compressi: dopo essere stati eseguiti, gli eseguibili compressi (diversamente dai tipi di archivi standard) si decomprimono nella memoria. Oltre agli eseguibili compressi statici standard (UPS, yoda, ASPack, FSG e così via), lo scanner è in grado di riconoscere numerosi altri tipi di programmi di compressione grazie all'utilizzo dell'emulazione del codice.

Opzioni di controllo

Da questa sezione è possibile selezionare i metodi utilizzati durante la ricerca di infiltrazioni nel sistema. Sono disponibili le opzioni descritte qui di seguito.

  • Euristica: l'euristica è un algoritmo che analizza l'attività (dannosa) dei programmi. Il vantaggio principale offerto da questa tecnologia consiste nella capacità di identificare software dannosi precedentemente inesistenti o non conosciuti dal database delle firme antivirali precedente.
  • Euristica avanzata/Firme DNA: l'euristica avanzata si basa su un algoritmo di euristica esclusivo sviluppato da ESET, ottimizzato per il rilevamento dei worm e dei trojan horse e scritto in linguaggi di programmazione di alto livello. L'utilizzo dell'euristica avanzata determina un aumento esponenziale delle capacità di rilevamento delle minacce dei prodotti ESET. Le firme sono in grado di rilevare e identificare i virus in modo affidabile. Grazie al sistema di aggiornamento automatico, le nuove firme sono disponibili entro poche ore dal rilevamento di una minaccia. Lo svantaggio delle firme consiste nel fatto che tali strumenti rilevano solo i virus conosciuti (o versioni leggermente diverse di questi virus).

Pulizia

Le impostazioni di pulizia determinano il comportamento dello scanner durante la pulizia di file infetti. Sono disponibili i tre livelli di pulizia qui di seguito descritti.

Banner

  • Nessuna pulizia: i file infetti non vengono puliti automaticamente. Verrà visualizzata una finestra di avviso per consentire all'utente di scegliere un'azione. Questo livello è indicato per utenti più esperti in grado di eseguire le azioni appropriate in caso di infiltrazione.
  • Pulizia normale: il programma tenterà di pulire o eliminare automaticamente un file infetto in base a un'azione predefinita (a seconda del tipo di infiltrazione). Una notifica nell'angolo in basso a destra della schermata segnalerà il rilevamento e l'eliminazione di un file infetto. Se non è possibile selezionare automaticamente l'azione corretta, il programma offre altre azioni di follow-up. Lo stesso si verifica se non è stato possibile completare un'azione predefinita.
  • Massima pulizia: il programma pulirà o eliminerà tutti i file infetti. Le uniche eccezioni sono costituite dai file di sistema. Se non è possibile pulire un file, all'utente verrà richiesta l'azione da intraprendere.

Fate attenzione che se un archivio contiene uno o più file infetti, sono disponibili due opzioni per gestire tale archivio. Nella modalità predefinita Pulizia normale, l'intero archivio verrà eliminato se tutti i file in esso contenuti sono infetti. In modalità Massima pulizia, l'archivio verrà eliminato se contiene almeno un file infetto, indipendentemente dallo stato degli altri file contenuti nell'archivio.

Notate altresì che in caso di esecuzione di un host Hyper-V su Windows Server 2008 R2, Pulizia normale e Massima pulizia non sono supportate. Il controllo dei dischi delle macchine virtuali viene eseguito in modalità di sola lettura e non verrà eseguita alcuna pulizia. Indipendentemente dal livello di pulizia selezionato, il controllo viene sempre eseguito in modalità di sola lettura.

Esclusioni

Un'estensione è la parte del nome di un file delimitata da un punto. Un'estensione definisce il tipo e il contenuto di un file. Questa sezione della configurazione dei parametri di ThreatSense consente all'utente di definire i tipi di file da escludere dal controllo.

Altro

Quando si configurano i parametri del motore ThreatSense per l'esecuzione di un Controllo computer su richiesta, nella sezione Altro sono disponibili anche le seguenti opzioni:

  • Flussi di dati alternativi (ADS): i flussi di dati alternativi utilizzati dal file system NTFS sono associazioni di file e cartelle invisibili alle normali tecniche di controllo. Molte infiltrazioni tentano di eludere il rilevamento camuffandosi in flussi di dati alternativi.
  • Esegui controlli in background con priorità bassa: ogni sequenza di controllo utilizza una determinata quantità di risorse del sistema. Se si utilizzano programmi che necessitano di molte risorse di sistema, è possibile attivare il controllo in background con priorità bassa e risparmiare risorse per le applicazioni.
  • Registra tutti gli oggetti: se questa opzione è selezionata, il file di rapporto riporta tutti i file sottoposti a controllo, anche quelli non infetti. Se, ad esempio, all'interno di un archivio viene individuata un'infiltrazione, nel rapporto verranno elencati anche i file puliti.
  • Attiva ottimizzazione intelligente: al fine di garantire un livello di controllo ottimale, l'attivazione dell'ottimizzazione intelligente consente l'utilizzo delle impostazioni più efficienti mantenendo nel contempo la velocità di controllo più elevata. I vari moduli di protezione eseguono il controllo in modo intelligente, utilizzando metodi di controllo differenti e applicandoli a tipi di file specifici. Se l'opzione Ottimizzazione intelligente non è attivata, durante il controllo vengono applicate solo le impostazioni definite dall'utente di moduli specifici nell'architettura di ThreatSense.
  • Mantieni indicatore data e ora dell'ultimo accesso: selezionare questa opzione per mantenere l'ora di accesso originale ai file controllati anziché aggiornarli (ad esempio, per l'utilizzo con sistemi di backup di dati).

Limiti

La sezione Limiti vi consente di specificare la dimensione massima degli oggetti e i livelli di nidificazione degli archivi sui quali eseguire il controllo; al suo interno vi sono le sotto-sezioni “Impostazioni oggetti” e “Configurazione controllo degli archivi”.

Impostazioni oggetti

Impostazioni predefinite oggetti: attivate questa opzione per utilizzare le impostazioni predefinite (nessun limite). ESET File Security ignorerà le impostazioni personalizzate dell'utente.

  • Dimensione massima oggetto: definisce la dimensione massima degli oggetti su cui eseguire il controllo. Il modulo antivirus specifico eseguirà unicamente il controllo degli oggetti di dimensioni inferiori rispetto a quelle specificate. Questa opzione dovrebbe essere modificata solo da utenti esperti che abbiano ragioni particolari per escludere oggetti di maggiori dimensioni dal controllo. Il valore predefinito è: illimitato.
  • Durata massima controllo dell'oggetto (sec.): definisce il valore temporale massimo per il controllo di un oggetto. Se è stato immesso un valore definito dall'utente, il modulo antivirus interromperà il controllo dell'oggetto una volta raggiunto tale valore, indipendentemente dal fatto che il controllo sia stato completato. Il valore predefinito è: illimitato.

Configurazione controllo degli archivi

Livello di nidificazione degli archivi: specifica il livello massimo di controllo degli archivi. Il valore predefinito è: 10. Per gli oggetti rilevati dalla protezione trasporto posta, il livello di nidificazione effettivo è +1 in quanto l'archivio allegato in un'e-mail è considerato di primo livello. Ad esempio, se il livello di annidamento è impostato su 3, un file di archivio con livello di nidificazione 3 sarà controllato solo a livello di trasporto fino al livello effettivo 2; pertanto, se desiderate controllare gli archivi mediante la protezione trasporto posta fino al livello 3, dovete impostare il valore del Livello di annidamento degli archivi su 4.

Dimensione massima file in archivio: questa opzione consente all'utente di specificare le dimensioni massime dei file contenuti all'interno degli archivi, i quali, una volta estratti, saranno sottoposti a controllo. Il valore predefinito è: illimitato.

Si consiglia di non modificare i valori predefiniti, che nella gran parte delle situazioni sono più che adeguati.