Режимы мониторинга файлов |
Общие сведения Монитор файловой системы SpIDer Guard, осуществляющий контроль доступа к файлам, может использовать три режима мониторинга: •Обычный (установлен по умолчанию) — отслеживаются операции по доступу к файлам (создание, открытие, закрытие и запуск). Запрашивается проверка файла, доступ к которому был осуществлен, по результатам проверки к файлу могут быть применены действия по нейтрализации угрозы, если она в нем обнаружена. До окончания проверки доступ к файлу со стороны приложений, запросивших доступ, не ограничивается. •Усиленный контроль исполняемых файлов — для файлов, не считающихся исполняемыми, — так же, как и в обычном режиме. SpIDer Guard блокирует запрошенную операцию доступа к исполняемому файлу до тех пор, пока не станут известны результаты его проверки на наличие угроз.
•«Параноидальный» режим — SpIDer Guard блокирует запрошенную операцию доступа к любому файлу до тех пор, пока не станут известны результаты его проверки на наличие угроз. Сканер в течение определенного времени сохраняет результаты проверки файлов в специальном кеше, поэтому при повторном доступе к тому же файлу, при наличии информации в кеше, повторное сканирование файла не производится, в качестве результата проверки этого файла используется результат, извлеченный из кеша. Несмотря на это, использование «параноидального» режима мониторинга приводит к существенному замедлению работы при доступе к файлам. Изменение режима мониторинга файлов
•Для переключения SpIDer Guard в режим работы FANOTIFY используйте команду:
•Для изменения режима мониторинга используйте команду:
где <режим> определяет режим блокировки: ▫Off — блокировка доступа не производится, SpIDer Guard осуществляет обычный (не блокирующий) режим мониторинга. ▫Executables — производится блокировка доступа к исполняемым файлам, SpIDer Guard осуществляет усиленный контроль исполняемых файлов. ▫All — производится блокировка доступа к любым файлам, SpIDer Guard осуществляет «параноидальный» режим мониторинга. •Для изменения срока актуальности результатов проверки файлов, хранимых Сканером в кеше, используйте команду:
где <период> определяет период актуальности предыдущих результатов проверки, находящихся в кеше. Допустимо значение от 0s до 1m. Если указан период менее 1 секунды, то файл будет проверяться при любом запросе. |