Configuración de Protección frente a amenazas en archivos
Configurar Protección frente a amenazas en archivos, exige contar con los permisos de administrador IS.
Para configurar el componente:
- En la sección Policies → Runtime policies → Container runtime profiles, haga clic en el botón Settings.
Se abrirá la ventana de configuración de Protección frente a amenazas en archivos.
- En File interceptor mode, elija uno de los siguientes modos de análisis de objetos:
- En el modo Audit, la solución analiza y registra el contenido de los objetos.
- En el modo Enforce, la solución bloquea todos los objetos que no cumplen con las reglas ni los criterios establecidos.
- En Scan mode, elija el modo de Protección frente a amenazas en archivos:
- Smart mode (predeterminado): se analiza un archivo cuando se intenta abrirlo y luego se vuelve a analizar cuando se intenta cerrarlo si el archivo se ha modificado. Si un proceso accede a un objeto muchas veces durante su funcionamiento y lo modifica, la solución vuelve a analizar el objeto solo cuando el proceso lo cierra por última vez.
- Open and modify: se analiza un archivo cuando se intenta abrirlo y luego se vuelve a analizar cuando se intenta cerrarlo si el archivo se ha modificado.
- Open: se analiza un archivo cuando se intenta abrirlo para tareas de lectura, ejecución o modificación.
- En Actions on detected objects, elija las siguientes acciones a partir de las listas desplegables:
- First action: acción que el componente Protección frente a amenazas en archivos realizará sobre un objeto infectado que se ha detectado:
- La opción Perform recommended action dependerá del nivel de gravedad del riesgo detectado en el archivo y la posibilidad de desinfección (predeterminado).
Por ejemplo, los troyanos se eliminan de inmediato dado que no infectan otros archivos y no es posible desinfectarlos.
- Disinfect objeto. Una copia del objeto infectado se moverá a Copias de seguridad.
- Block acceso al objeto.
- Remove un objeto. Una copia del objeto infectado se moverá a Copias de seguridad.
- La opción Perform recommended action dependerá del nivel de gravedad del riesgo detectado en el archivo y la posibilidad de desinfección (predeterminado).
- Second action: acción que el componente Protección frente a amenazas en archivos realizará sobre un objeto infectado que se ha detectado si la primera acción falla:
- La opción Perform recommended action dependerá del nivel de gravedad del riesgo detectado en el archivo y la posibilidad de desinfección (predeterminado).
- Disinfect objeto. Una copia del objeto infectado se moverá a Copias de seguridad.
- Block acceso al objeto.
- Remove un objeto. Una copia del objeto infectado se moverá a Copias de seguridad.
Recomendamos determinar ambas acciones para la detección de objetos.
Considere lo siguiente al elegir las acciones que se realizarán sobre los objetos detectados:
- Si se eligen las opciones Block o Remove como primera acción, no es necesario determinar la segunda acción.
- Si no se elige una segunda acción, la acción predeterminada será Block.
- Si el modo pertinente de la directiva referente a la ejecución es Audit, no se realizará ninguna acción sobre los objetos detectados.
- First action: acción que el componente Protección frente a amenazas en archivos realizará sobre un objeto infectado que se ha detectado:
- En Scan settings, use las casillas de verificación para definir los objetos que contienen archivos y los directorios que se analizarán. Si se elige una casilla de verificación, se analizarán dichos objetos. En la siguiente lista, puede elegir uno o varios parámetros del análisis:
- Scan archives para activar o desactivar el análisis de archivos comprimidos. De forma predeterminada, la casilla no está seleccionada y la solución no analiza archivos comprimidos.
La solución puede analizar archivos comprimidos en los siguientes formatos .ZIP, .7Z *, .7-Z, .RAR, .ISO, .CAB, .JAR, .BZ, .BZ2, .TBZ, .TBZ2, .GZ, .TGZ, .ARJ y archivos comprimidos autoextraíbles como .SFX. Los formatos de los archivos comprimidos compatibles dependen de las bases de datos usadas.
Si el análisis de archivos comprimidos está activado y Perform recommended action es la primera acción que se realizará sobre un objeto detectado, la solución elimina el objeto detectado o todo el archivo comprimido que contiene la amenaza, según el tipo de archivo comprimido.
Al elegir Self-extracting archives o All archives, puede definir el alcance del análisis de archivos comprimidos. Si opta por analizar archivos comprimidos autoextraíbles, la solución solo analizará los archivos que contengan un desempaquetador ejecutable.
Para iniciar el análisis, la solución primero desempaqueta el archivo comprimido, lo que podría demorar el análisis. Si activa y configura los parámetros Skip object if scan takes longer than (sec) y Skip objects larger than (MB), puede reducir la duración del análisis de archivos comprimidos.
- Scan mail databases para activar o desactivar el análisis de bases de datos de Microsoft Outlook, Outlook Express, The Bat! y otras aplicaciones de correo electrónico. De forma predeterminada, la casilla no está seleccionada y la solución no analiza archivos de bases de datos de correos electrónicos.
- Scan plain mail para activar o desactivar el análisis de archivos de mensajes de correo electrónico en texto plano. De forma predeterminada, la casilla no está seleccionada y la solución no analiza mensajes en texto plano.
- Skip text files para activar o desactivar al análisis de archivos en texto plano si el mismo proceso los reutiliza en los 10 minutos posteriores al último análisis. De esta forma, podrá optimizar el análisis de los registros de aplicaciones. De forma predeterminada, la casilla no está seleccionada y la solución no analiza archivos en texto plano.
- Skip object larger than (MB) para activar o desactivar el análisis de los objetos que tengan el tamaño máximo especificado (en megabytes). Si el tamaño de un objeto para analizar supera el valor especificado, la solución omite el análisis de dicho objeto.
Valores posibles: 0-999999. Si el valor es 0, la solución analizará archivos de cualquier tamaño.
Valor predeterminado: 0.
- Skip object if scan takes longer than (sec) para activar o desactivar el límite de tiempo (en segundos) para analizar un objeto. Cuando este tiempo finalice, la solución detiene el análisis del archivo.
Valores posibles: 0-9999. Si el valor es 0, el tiempo de análisis es ilimitado.
Valor predeterminado: 60.
- Scan archives para activar o desactivar el análisis de archivos comprimidos. De forma predeterminada, la casilla no está seleccionada y la solución no analiza archivos comprimidos.
- En la sección Technologies, elija las casillas de verificación para definir la tecnología que usará la solución a fin de analizar los objetos. Puede elegir una de las siguientes opciones:
- Use iChecker para activar o desactivar el análisis de solo archivos nuevos o archivos que se han modificado desde el último análisis. iChecker es un método de análisis que reduce el tiempo general de análisis al omitir los archivos analizados anteriormente que no se han modificado desde el último análisis.
Si se elige esta casilla de verificación, la solución analiza solo los nuevos archivos y aquellos que se han modificado desde el último análisis. Si no se elige la casilla de verificación, la solución analiza los archivos sin importar su fecha de modificación o creación.
La casilla de verificación está seleccionada de forma predeterminada.
- Use heuristic analysis para activar o desactivar el uso del análisis heurístico al analizar objetos. Con el análisis heurístico, la solución puede identificar amenazas de seguridad desconocidas para los analistas de malware.
La casilla de verificación está seleccionada de forma predeterminada.
Si elige la casilla de verificación Use heuristic analysis, puede determinar el nivel del análisis heurístico. El nivel de un análisis heurístico compensa el rigor del análisis de las amenazas de seguridad, la carga del sistema operativo y la duración del análisis. Cuanto más alto sea el nivel, más recursos exigirá el análisis y mayor será su duración. Puede elegir una de las siguientes opciones:
- Recommended (predeterminado): nivel óptimo que recomienda el equipo de especialistas de Kaspersky. Esto representa la mejor combinación de calidad de protección e impacto en el rendimiento de los servidores protegidos.
- Light: mínimo nivel de detalle del análisis, mínima carga para el sistema.
- Medium: intermedio nivel de detalle del análisis, equilibrada carga para el sistema.
- Deep: máximo nivel de detalle del análisis, máxima carga para el sistema.
- Use iChecker para activar o desactivar el análisis de solo archivos nuevos o archivos que se han modificado desde el último análisis. iChecker es un método de análisis que reduce el tiempo general de análisis al omitir los archivos analizados anteriormente que no se han modificado desde el último análisis.
- En Event logging, puede elegir las casillas de verificación para determinar si el evento se anotará en el registro de eventos de seguridad. Puede elegir una o varias opciones para el registro de eventos:
- Log clean objects para activar o desactivar el registro de información sobre los objetos analizados que la solución reconoció como sin infección.
- Log unprocessed objects para activar o desactivar el registro de información sobre los objetos analizados que no se han procesado por algún motivo.
- Log packed objects para activar o desactivar el registro de información sobre los objetos analizados que forman parte de objetos compuestos, como archivos comprimidos.
Si la casilla de verificación está seleccionada, la solución registra los eventos de todos los objetos. Si la casilla no está seleccionada, no se registran los eventos. La casilla de verificación está desactivada de forma predeterminada.
- Haga clic en Save.