Расширенные возможности Emsisoft: исключения из проверки и мониторинга

Расширенные возможности Emsisoft: исключения из проверки и мониторинга

Добавление файлов и программ в исключения из проверки или мониторинга в реальном времени не является чем-то новым для Emsisoft. Однако в последней версии продуктов Emsisoft значительно увеличена гибкость настройки “Исключений” продвинутыми пользователями. Вот несколько примеров типичного использования исключений:

Если Вы откроете программу Emsisoft Anti-Malware или Emsisoft Internet Security и перейдёте через главное меню “Настройки” во вкладку “Исключения”, то Вы увидите диалоговое окно, разделённое на два больших поля:

Диалоговое окно Emsisoft с исключениями

1. Исключение из проверки

Название этой функции говорит само за себя. Вы выбираете определённый файл или целую папку, и при любой проверке на угрозы и проверке файловой защиты этот файл или папка будут пропущены.

Сценарий: Удалённое управление программным обеспечением

Существует несколько инструментов для удалённого управления, которые можно использовать на законных основаниях. Однако и авторы вредоносных программ также часто задействуют их. Если Вам всё же необходимо использовать эти инструменты, Вы можете исключить путь к их файлу из проверки Emsisoft.

Сценарий: Допустимые “нежелательные” (ПНП)

Когда дело доходит до выявления потенциально нежелательных программ, то Emsisoft действует решительно. Однако в некоторых случаях пользователи по-прежнему хотят использовать эти программы (например, панели инструментов). Чтобы избежать выявления нужной Вам ПНП при очередном сканировании, просто добавьте папку её установки в список исключений.

2. Исключение из мониторинга

Вместо того, чтобы определять, какие файлы программы должны быть исключены из проверки, здесь Вы можете задать конкретные программы, действия и поведение которых не должно контролироваться.

Сценарий: Вторая антивирусная программа

Каждое действие сторонней программы, направленное на чтение или запись файла, потенциально запускает проверку файловой защиты. В свою очередь, проверка файла – это тоже операция с файлом, которая может запустить аналогичное действие со стороны второй антивирусной программы, если она установлена на этом же компьютере. Однако если этот сторонний антивирус откроет файл для чтения, то это может опять запустить проверку Emsisoft и т.д. В результате система может быть заблокирована, поскольку все ресурсы будут снова и снова использоваться для сканирования определённого файла. Чтобы прервать этот цикл, всегда необходимо вносить любые сторонние программы, обеспечивающие защиту в реальном времени, в исключения Emsisoft, и наоборот – вносить Emsisoft в исключения в этих программах.

Сценарий: Несовместимость программного обеспечения

Для того чтобы создать защитное решение мирового уровня, модулям защиты реального времени Emsisoft необходимо работать рядом с ядром операционной системы Windows. Используемая технология (“hooks”) означает, что наше программное обеспечение находится между операционной системой и работающими приложениями и в случае необходимости перехватывает любую активность, связанную с безопасностью. Другие программы также используют эту технологию для создания определённого функционала, и именно поэтому иногда создаётся несовместимость, которая приводит к сбоям или неисправностям. Если Вы сталкиваетесь с подобными проблемами, то Вы можете исключить конфликтующую программу (или несколько программ) из мониторинга, чтобы их действия не затрагивались Emsisoft.

Новая функция: специальные подстановочные символы

Некоторые программы используют случайные имена файлов, например, в процессе установки, для временных файлов. Вы можете не исключать из проверки и мониторинга целиком всю папку Temp, а исключить такие шаблоны пути как, например, этот:

c:\windows\temp\inst*.exe

Значок * подменяет произвольную последовательность символов.

Внимание!

И хотя это очень мощная функция, которая добавляет настройкам особую гибкость, она также может быть и весьма опасна в случае её неверного использования. Если Вы случайно создадите исключение для C:\*, то Вы фактически отключите всю функцию защиты на Вашем компьютере, поскольку буквально всё на диске C будет добавлено в исключения. Пожалуйста, всегда проверяйте, что специальный символ используется не в конце пути, а где-то в середине.

Если предполагается, что количество случайных символов будет одним и тем же, то Вам лучше использовать символ ?, который заменяет только один символ. Например, если в названии файла всегда используются 3 случайные буквы или цифры:

c:\windows\temp\inst???.exe

Новое: Переменные среды

Переменные среды Windows обычно используются системными администраторами в сценариях командной строки. Они выступают в роли заменителей обычных путей, которые в различных системам могут отличаться. Вместо того чтобы вручную искать фактический путь на каждом компьютере, Вы можете позволить Windows сделает это за вас.

Обратите внимание, что переменные среды – это не просто заменители для статического пути. Поскольку модули защиты работают на системном уровне, то переменные среды обычно совпадают с одним или несколькими системными путями.   %USERPROFILE% исключает папки профилей всех пользователей, которые обычно находятся на C:\Users\, а не только папку профиля конкретного пользователя, вошедшего в систему.

Сценарий: Исключение определённой установленной программы

Представьте себе, что Вы администратор сети, который управляет 10 компьютерами в Вашем офисе. Некоторые из них всё ещё работают на старой ОС Windows 7 х32, другие – на Windows 8, есть также несколько компьютеров с новой ОС Windows 10 х64. Вы хотите исключить критически важное для бизнеса пользовательское приложение, которое иногда вызывает оповещения со стороны анализа поведения. Однако данная программа установлена в разных местах на всех этих компьютерах. Некоторые используют путь C:\program files\ProgramXY\, другие – C:\program files (x86)\ProgramXY\, а на нескольких машинах все программы установлены вообще на другом диске D:\program files\ProgramXY\. Для того, чтобы исключить все эти пути сразу и без знания точного расположения программы на каждом компьютере, Вы можете просто создать такое исключение:

%PROGRAMS%\ProgramXY\MainFile.exe

Сценарий: Исключение файла на рабочем столе всех пользователей

В корпоративной среде у Вас, вероятно, на каждом компьютере есть учётные записи нескольких пользователей. У каждого пользователя есть файлы его рабочего стола, которые хранятся в разных пользовательских папках, например: C:\Users\MyUserName\Desktop\. Если Вы хотите, чтобы рабочие столы всех пользователей были исключены из сканирования, Вы можете просто создать одно исключение, например:

%DESKTOP%

Это позволит исключить из сканирования все соответствующие пользовательские папки, например:

C:\Users\MyFirstUser\Desktop\
C:\Users\MySecondUser\Desktop\
C:\Users\MyThirdUser\Desktop\

В настоящее время Emsisoft поддерживает 44 переменных среды

Кликните по ссылке “переменные среды” в верхней части окна “Исключения”, чтобы открылся список с названиями всех доступных переменных и их значениями в Вашей системе.

Исключения Emsisoft: переменные среды

Доступные переменные (на начало 2017 года):

  • %ALLUSERSPROFILE%
  • %APPDATA%
  • %CACHE%
  • %CDBURNING%
  • %CHROMEPROFILE%
  • %COMMONAPPDATA%
  • %COMMONDESKTOP%
  • %COMMONDOCUMENTS%
  • %COMMONDOWNLOADS%
  • %COMMONFILESDIR%
  • %COMMONMUSIC%
  • %COMMONMYPICTURES%
  • %COMMONPROGRAMS%
  • %COMMONSTARTMENU%
  • %COMMONSTARTUP%
  • %COMMONTEMPLATES%
  • %COOKIES%
  • %DESKTOP%
  • %DOCUMENTS%
  • %DOWNLOADS%
  • %FAVORITES%
  • %FIREFOXPROFILE%
  • %FONTS%
  • %LOCALAPPDATA%
  • %LOCALAPPDATALOW%
  • %MUSIC%
  • %MYPICTURES%
  • %MYVIDEO%
  • %NETHOOD%
  • %PERSONAL%
  • %PROGRAMFILESDIR%
  • %PROGRAMS%
  • %PUBLIC%
  • %RECENT%
  • %SENDTO%
  • %STARTMENU%
  • %STARTUP%
  • %SYSDIR%
  • %SYSTEMDRIVE%
  • %TASKS%
  • %TEMP%
  • %TEMPLATES%
  • %USERPROFILE%
  • %WINDIR%

Заключение: Используйте “Исключения”, чтобы избежать обнаружения определённых программ или файлов в процессе проверки и чтобы разобраться с несовместимостью программ

Большинству пользователей домашних компьютеров, вероятно, никогда не потребуется создавать сложные исключения с переменными. Однако системным администраторам, которые поддерживают работу большого числа компьютеров, такая универсальность при создании исключений будет очень удобна. Emsisoft Enterprise Console полностью поддерживает все типы исключений, что позволяет опытным пользователям устанавливать их централизованно для всей сети всего в один клик.