Критерии функционального анализа

Критерии функционального анализа позволяют выстроить максимальную защиту, поэтому их необходимо задавать при настройке функционального анализа.

В разделе Критерии функционального анализа указаны категории, которые вы можете использовать для защиты профиля. Выбор категории зависит от необходимого вам уровня безопасности и особенностей системы.

Категории критериев функционального анализа

1.Запуск приложений:

Запрещать запуск приложений, подписанных сертификатами, известными в "Доктор Веб" как сертификаты для рекламных программ.
Блокирует запуск приложений, которые могут распространять рекламу.

Запрещать запуск приложений, подписанных сертификатами, известными в "Доктор Веб" как серые.
Блокирует запуск приложений, которые подписаны "серыми" сертификатами. Такие сертификаты часто используются для подписи небезопасных приложений.

Запрещать запуск приложений, подписанных сертификатами, известными в "Доктор Веб" как сертификаты для взлома программ.
Блокирует запуск приложений, которые подписаны сертификатами, использующимися для взлома программ. Использование данного критерия рекомендовано.

Запрещать запуск приложений, подписанных поддельными/поврежденными сертификатами.
Блокирует запуск вредоносных приложений, которые подписаны недействительными сертификаты. Использование данного критерия рекомендовано.

Запрещать запуск приложений, подписанных сертификатами, известными в "Доктор Веб" как сертификаты для вредоносных программ.
Блокирует запуск приложений, которые подписаны скомпрометированными сертификатами. Использование данного критерия рекомендовано.

Запрещать запуск приложений, подписанных отозванными сертификатами.
Блокирует запуск приложений, которые подписаны украденными или скомпрометированными сертификатами. Использование данного критерия рекомендовано, так как он позволяет превентивно пресекать запуск потенциально вредоносных приложений.

Запрещать запуск приложений, подписанными самоподписными сертификатами.
Блокирует нелицензионное ПО, которое может оказаться вредоносным.

Запрещать запуск неподписанных приложений.
Блокирует запуск потенциально вредоносных и ненадежных приложений, источник происхождения которых неизвестен.

Запрещать запуск утилит от Sysinternals.
Защищает от компрометации системы через утилиты Sysinternals.

Если на вкладке Разрешения стоит флаг Разрешать запуск системных приложений и приложений от компании Microsoft, утилиты Sysinternals будут запускаться даже при запрете за запуск.

Запрещать запуск приложений из альтернативных потоков NTFS (ADS).
Приложения из альтернативных потоков NTFS (ADS) зачастую являются вредоносными, поэтому использование данного критерия является обязательным.

Запрещать запуск приложений из сети и общих ресурсов.
Запуск приложений из сети и общих ресурсов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

Запрещать запуск приложений со сменных носителей.
Запуск приложений со сменных носителей является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

Запрещать запуск приложений из временных каталогов.
Блокирует запуск приложений из временных каталогов.

Запрещать запуск Windows/Microsoft Store приложений (только для Windows 8 и выше).
Блокирует запуск приложений, загруженных из Windows/Microsoft Store.

Запрещать запуск приложений с двойным/нетипичным расширением.
Блокирует запуск подозрительных файлов с нестандартным расширением (например, *.jpg.exe).

Запрещать запуск bash-оболочек и WSL-приложений (только для Windows 10 и выше).
Блокирует запуск командных оболочек Bash и WSL-приложений.

2.Загрузка и исполнение модулей. Критерии могут работать в двух режимах:

Загрузка всех модулей.
Данный режим является ресурсозатратным, поэтому его рекомендуется использовать только при необходимости повышенного контроля.

Контролировать загрузку и исполнение модулей в хост-приложениях.
Данный режим является менее ресурсозатратным. Контролирует работу модулей только в процессах, которые используются для компроментации системы или для проникновения вредоносного ПО под видом системного или доверенного файла. При отсутствии необходимости повышенного контроля следует использовать данный режим.

Рекомендации по использованию критериев Загрузка и исполнение модулей аналогичны рекомендациям по использованию критериев Запуска приложений.

3.Запуск скриптовых интерпретаторов:

Запрещать запуск CMD/BAT-сценариев.
Блокирует запуск файлов с расширениями cmd и bat.

Запрещать запуск HTA-сценариев.
Блокирует запуск HTA-сценариев. Такие сценарии могут обрабатывать вредоносные скрипты и скачивать на компьютер исполняемые файлы, которые могут нанести вред системе.

Запрещать запуск VBScript/JavaScript.
Блокирует запуск приложений, написанных на скриптовых языках VBScript и JavaScript. Такие приложения могут обрабатывать вредоносные скрипты и скачивать на компьютер исполняемые файлы, которые могут нанести вред системе.

Запрещать запуск PowerShell-сценариев.
Блокирует запуск сценариев, написанных на скриптовом языке PowerShell. Такие сценарии могут обрабатывать вредоносные скрипты и скачивать на компьютер исполняемые файлы, которые могут нанести вред системе.

Запрещать запуск REG-сценариев.
Блокирует запуск реестровых скриптов (файлов с расширением reg). Такие файлы могут быть использованы для добавления или изменения значений в реестре.

Запрещать запуск сценариев из альтернативных потоков NTFS (ADS).
Блокирует запуск сценариев из альтернативных потоков NTFS (ADS). Такие сценарии зачастую являются вредоносными, поэтому данный критерий рекомендован к использованию.

Запрещать запуск сценариев из сети и общих ресурсов.
Запуск сценариев из сети и общих ресурсов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

Запрещать запуск сценариев со сменных носителей.
Запуск сценариев со сменных носителей является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

Запускать запуск сценариев из временных каталогов.
Запуск сценариев из временных каталогов является нетипичным сценарием и несет угрозу безопасности системы. Данный критерий рекомендован к использованию.

4.Загрузка драйверов.

Запрещать загрузку неподписанных драйверов.
Блокирует загрузку руткитов и буткитов. Блокирует использование уязвимостей ПО и ОС.
Данный режим рекомендовано использовать на 64-разрядных версиях ОС. Использование режима также допустимо на 32-разрядных версиях ОС при отсутствии в системе неподписанных драйверов.

Запрещать загрузку уязвимых версий драйверов популярного ПО.
Блокирует загрузку небезопасных версий драйверов популярного ПО.

Запрет на загрузку уязвимых версий драйверов популярного ПО не может быть перекрыт исключениями.

Остальные рекомендации по использованию критериев Загрузка драйверов аналогичны рекомендациям по использованию критериев Запуска приложений.

5.Установка MSI-пакетов.

Рекомендации по использованию критериев Установка MSI-пакетов аналогичны рекомендациям по использованию критериев Запуска приложений.

6.Целостность исполняемых файлов.

Запрещать создание новых исполняемых файлов.
Блокирует попытки создания новых исполняемых файлов.

Запрещать модификацию исполняемых файлов.
Блокирует попытки изменения исполняемых файлов.

Критерии Целостность исполняемых файлов используются только в системах, работающих в режиме доверенной среды. В подобных системах все процессы контролируются администратором (например, банкоматы и иные системы).

При использовании критериев Целостность исполняемых файлов в других системах поведение непредсказуемо, вплоть до выхода станции из строя.

Критерии Целостность исполняемых файлов не могут быть перекрыты правилами.