Il componente Analisi comportamentale consente di configurare la reazione di Dr.Web alle azioni di applicazioni di terzi non incluse tra quelle affidabili, che possono portare all'infezione del computer, per esempio, i tentativi di modifica del file HOSTS o dei rami critici del registro di sistema. Quando è attivato il componente Analisi comportamentale, il programma proibisce la modifica automatica degli oggetti di sistema, la cui modifica indica chiaramente un tentativo di impatto malevolo sul sistema operativo. L'analisi comportamentale protegge il sistema dai programmi malevoli precedentemente sconosciuti che sono capaci di evitare il rilevamento tramite i maccanismi tradizionali di firme antivirali e analisi euristica. Per determinare se le applicazioni sono malevole, vengono utilizzati i dati più recenti del servizio cloud Dr.Web.
Per attivare o disattivare il componente Analisi comportamentale
1.Aprire il menu Dr.Web 
e selezionare la voce Centro sicurezza.
2.Nella finestra che si è aperta fare clic sulla piastrella Protezione preventiva.
3.Attivare o disattivare il componente Analisi comportamentale utilizzando l'interruttore 
.
Immagine 68. Attivazione/disattivazione del componente Analisi comportamentale
In questa sezione:
•Modalità di funzionamento del componente
•Creazione e modifica di singole regole per applicazioni
•Descrizione degli oggetti protetti
Parametri di Analisi comportamentale
Le impostazioni predefinite del programma sono ottimali nella maggior parte dei casi, non dovrebbero essere modificate senza necessità.
Per andare ai parametri del componente Analisi comportamentale
1.Assicurarsi che Dr.Web funzioni in modalità amministratore (il lucchetto nella parte inferiore del programma è "aperto" 
). Altrimenti, cliccare sul lucchetto 
.
2.Fare clic sulla piastrella Analisi comportamentale. Si aprirà la finestra dei parametri del componente.
Immagine 69. Parametri di Analisi comportamentale
È possibile impostare un livello di protezione separato per oggetti e processi specifici e un livello generale le cui impostazioni verranno applicate a tutti gli altri processi. Per impostare il livello di protezione generale, nella scheda Livello di protezione selezionare il livello richiesto dalla lista a cascata.
Livello di protezione |
Descrizione |
||
|---|---|---|---|
Ottimale (consigliato) |
Viene utilizzata di default. Dr.Web proibisce la modifica automatica degli oggetti di sistema la cui modifica indica chiaramente un tentativo di impatto malevolo sul sistema operativo. Inoltre, vengono proibiti l'accesso al disco a basso livello e la modifica del file HOSTS da parte di applicazioni le cui attività vengono inequivocabilmente definite come tentativo di impatto malevolo sul sistema operativo.
|
||
Medio |
Questo livello di protezione può essere impostato nel caso di aumentato rischio di infezione. In questa modalità viene proibito addizionalmente l'accesso agli oggetti critici che possono potenzialmente essere utilizzati dai programmi malevoli.
|
||
Paranoicale |
Questo livello di protezione è necessario per il pieno controllo degli accessi agli oggetti critici di Windows. In questo modalità sarà inoltre disponibile il controllo interattivo del caricamento dei driver e dell'esecuzione automatica dei programmi. |
||
Personalizzato |
In questa modalità di operazione è possibile selezionare a propria discrezione i livelli di protezione per ciascun oggetto. |
Modalità personalizzata
Tutte le modifiche alle impostazioni vengono salvate in modalità di funzionamento Personalizzato. In questa finestra è inoltre possibile creare un nuovo livello di protezione per salvare le impostazioni richieste. Con tutte le impostazioni del componente gli oggetti protetti saranno disponibili per la lettura.
È possibile selezionare una delle reazioni Dr.Web ai tentativi di modifica degli oggetti protetti da parte delle applicazioni:
•Consenti — l'accesso all'oggetto protetto sarà consentito per tutte le applicazioni.
•Chiedi — quando un'applicazione tenta di modificare un oggetto protetto, verrà visualizzato un avviso:
Immagine 70. Esempio di avviso con la richiesta di accesso all'oggetto protetto
•Blocca — quando un'applicazione tenta di modificare un oggetto protetto, l'accesso dell'applicazione sarà negato. Verrà visualizzato un avviso:
Immagine 71. Esempio di avviso sul divieto di accesso all'oggetto protetto
Per creare un nuovo livello di protezione
1.Visualizzare le impostazioni di protezione di default e, se necessario, modificarle.
2.Premere il pulsante 
.
3.Nella finestra che si è aperta indicare il nome per il nuovo profilo.
4.Premere OK.
Per rimuovere un livello di protezione
1.Dalla lista a cascata selezionare il livello di protezione creato che si vuole rimuovere.
2.Premere il pulsante 
. I profili predefiniti non possono essere rimossi.
3.Premere OK per confermare la rimozione.
Ricezione degli avvisi
È possibile configurare la visualizzazione sullo schermo degli avvisi sulle attività del componente Analisi comportamentale e l'invio di questi avvisi via email.
Vedi inoltre:
Per configurare i singoli parametri di accesso per applicazioni specifiche, andare alla scheda Accesso delle applicazioni. Qui è possibile aggiungere una nuova regola per un'applicazione, modificare una regola già creata o rimuoverne una non richiesta.
Immagine 72. Parametri di accesso delle applicazioni
Per la gestione degli oggetti nella tabella, sono disponibili i seguenti elementi di gestione:
•Pulsante — aggiunta di un set di regole per un'applicazione.
•Pulsante 
— modifica dei set di regole esistenti.
•Pulsante — rimozione di un set di regole.
Nella colonna 
(Tipo di regola) possono essere visualizzati tre tipi di regole:
•
— è impostata la regola Consenti tutto per tutti gli oggetti protetti.
•
— sono impostate regole diverse per oggetti protetti.
•
— è impostata la regola Blocca tutto per tutti gli oggetti protetti.
Per aggiungere una regola per un'applicazione
1.Premere il pulsante .
2.Nella finestra che si è aperta premere il pulsante Sfoglia e indicare il percorso del file eseguibile dell'applicazione.
Immagine 73. Aggiunta di un set di regole per un'applicazione
3.Visualizzare le impostazioni di protezione di default e, se necessario, modificarle.
4.Premere OK.
Oggetto protetto |
Descrizione |
|---|---|
Integrità delle applicazioni in esecuzione |
Questa impostazione consente di monitorare i processi che si incorporano nelle applicazioni in esecuzione, il che costituisce una minaccia per la sicurezza del computer. |
File HOSTS |
Il file HOSTS viene utilizzato dal sistema operativo per semplificare l'accesso a internet. Modifiche a questo file possono essere risultato del funzionamento di un virus o di un altro programma malevolo. |
Accesso al disco a basso livello |
Questa impostazione consente di proibire alle applicazioni di registrare informazioni su disco settore per settore senza utilizzare il file system. |
Caricamento dei driver |
Questa impostazione consente di proibire alle applicazioni di caricare driver nuovi o sconosciuti. |
Aree critiche di Windows |
Le altre impostazioni consentono di proteggere i rami di registro contro le modifiche (sia nel profilo di sistema che nei profili di tutti gli utenti). Accesso ai parametri di avvio applicazioni (IFEO): •Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Driver di dispositivi multimediali: •Software\Microsoft\Windows NT\CurrentVersion\Drivers32 •Software\Microsoft\Windows NT\CurrentVersion\Userinstallable.drivers Parametri della shell Winlogon: •Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL Notifiche di Winlogon: •Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Avvio automatico della shell di Windows: •Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib Associazione dei file eseguibili: •Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (chiavi) •Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (chiavi) Criteri restrizione software (SRP): •Software\Policies\Microsoft\Windows\Safer Plugin di Internet Explorer (BHO): •Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Esecuzione automatica programmi: •Software\Microsoft\Windows\CurrentVersion\Run •Software\Microsoft\Windows\CurrentVersion\RunOnce •Software\Microsoft\Windows\CurrentVersion\RunOnceEx •Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup •Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup •Software\Microsoft\Windows\CurrentVersion\RunServices •Software\Microsoft\Windows\CurrentVersion\RunServicesOnce Esecuzione automatica criteri: •Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Configurazione della modalità provvisoria: •SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal •SYSTEM\ControlSetXXX\Control\SafeBoot\Network Parametri di Gestione sessioni: •System\ControlSetXXX\Control\Session Manager\SubSystems, Windows Servizi di sistema: •System\CurrentControlXXX\Services |
|
Se si riscontrano problemi durante l'installazione di aggiornamenti importanti Microsoft o l'installazione e il funzionamento di programmi (compresi i programmi di deframmentazione), disattivare temporaneamente Analisi comportamentale. |