Detecção de Comportamento

O componente Detecção de Comportamento recebe dados sobre as ações dos aplicativos em seu computador e fornece essas informações a outros componentes de proteção para melhorar o desempenho. O componente Detecção de Comportamento utiliza Assinaturas de Fluxos de Comportamentos (BSS, Behavior Stream Signatures) para aplicativos. Se a atividade de um aplicativo corresponder a um padrão de atividades perigosas, o Kaspersky Endpoint Security executará a ação de resposta selecionada. A funcionalidade do Kaspersky Endpoint Security com base em padrões de atividades perigosas fornece Defesa Proativa ao computador.

Além disso, o componente Detecção de Comportamento monitora as portas de rede quanto a processos de aplicativos que possam ameaçar a segurança do computador. O aplicativo obtém informações sobre esses processos em bancos de dados de antivírus.

Configurações do componente de Detecção de Comportamento

Parâmetro

Descrição

Ação ao detectar atividade de malware

Excluir. Se esta opção for selecionada, ao detectar uma atividade maliciosa, o Kaspersky Endpoint Security excluirá o arquivo executável do aplicativo malicioso e criará uma cópia do arquivo no Backup.

Bloquear. Se esta opção for selecionada, ao detectar atividade maliciosa, o Kaspersky Endpoint Security encerrará este aplicativo.

Informar. Se essa opção for selecionada e a atividade maliciosa de um aplicativo for detectada, o Kaspersky Endpoint Security não encerrará esse aplicativo, mas adicionará informações sobre a atividade maliciosa à lista de ameaças ativas.

Proteger pastas compartilhadas

Se o botão de alternância estiver ativado, o Kaspersky Endpoint Security analisará a atividade nas pastas compartilhadas. Se esta atividade combinar com uma assinatura de fluxo de comportamento que é típica para a criptografia externa, o Kaspersky Endpoint Security executa a ação selecionada.

O Kaspersky Endpoint Security evita a criptografia externa somente de arquivos localizados na mídia com o sistema de arquivo NTFS e que não são criptografados pelo sistema EFS.

  • Informar. Se essa opção estiver selecionada, ao detectar uma tentativa de modificar arquivos em pastas compartilhadas, o Kaspersky Endpoint Security adiciona informações sobre a tentativa à lista de ameaças ativas; adiciona uma entrada nos relatórios da interface do aplicativo local e envia informações sobre a atividade maliciosa detectada ao Kaspersky Security Center.
  • Bloquear conexão por N min. Caso esta opção seja selecionada, ao detectar uma tentativa de modificação dos arquivos em pastas compartilhadas, o Kaspersky Endpoint Security bloqueia o acesso à modificação de arquivo para a sessão que iniciou a atividade maliciosa e cria cópias de backup dos arquivos modificados.

Caso o componente Mecanismo de Remediação seja ativado e a opção Bloquear conexão por N min seja selecionada, os arquivos modificados são restaurados a partir das cópias de backup.

Escopo de proteção

O escopo de proteção é uma lista de caminhos para pastas compartilhadas nas quais o Kaspersky Endpoint Security monitora a atividade do arquivo. O Kaspersky Endpoint Security oferece suporte a variáveis de ambiente e aos caracteres * e ? ao inserir uma máscara. Por padrão, o aplicativo identifica automaticamente as pastas compartilhadas e monitora a atividade de arquivos em todas as pastas.

Exclusões por nome ou endereço IP

Exclusões por nome ou endereço IP. Lista de computadores dos quais tentativas de criptografar pastas compartilhadas não serão monitoradas.

Para aplicar a lista de exclusões de computadores da proteção de pastas compartilhadas contra criptografia externa, você deve ativar a auditoria de logon na política de auditoria de segurança do Windows. A auditoria de logon está desativada por padrão. Para obter mais informações sobre a política de auditoria de segurança, visite o Site da Microsoft.

Exclusões por máscara. Exclusões do escopo de proteção. Excluir uma pasta do escopo de proteção pode reduzir a quantidade de falsos positivos se a sua organização usar criptografia de dados ao trocar arquivos usando pastas compartilhadas. Por exemplo, a Detecção de Comportamento pode gerar falsos positivos quando o usuário trabalhar com arquivos com a extensão ENC em uma pasta compartilhada. Essa atividade corresponde a um padrão comportamental típico da criptografia externa. Se houver dados criptografados em uma pasta compartilhada, adicione essa pasta às exclusões.

Usar máscaras:

  • O caractere * (asterisco) substitui qualquer conjunto de caracteres, exceto pelos caracteres \ e / (delimitadores dos nomes de arquivos e pastas em caminhos para arquivos e pastas). Por exemplo, a máscara C:\*\*.txt incluirá todos os caminhos a arquivos com a extensão TXT localizados em pastas na unidade C:, mas não em subpastas.
  • Dois caracteres * consecutivos substituem qualquer conjunto de caracteres (incluindo um conjunto vazio) no nome do arquivo ou da pasta, incluindo os caracteres \ e / (delimitadores dos nomes de arquivos e pastas em caminhos para arquivos e pastas). Por exemplo, a máscara C:\Folder\**\*.txt incluirá todos os caminhos de arquivos com a extensão TXT localizados nas pastas dentro da Folder exceto para a Folder em si. A máscara deve incluir pelo menos um nível de aninhamento. A máscara C:\**\*.txt não é uma máscara válida.
  • ? (ponto de interrogação) substitui qualquer caractere único, exceto pelos caracteres \ e /(delimitadores dos nomes de arquivos e pastas em caminhos para arquivos e pastas). Por exemplo, a máscara C:\Folder\???.txt incluirá caminhos para todos os arquivos localizados na pasta denominada Folder que tenham a extensão TXT e um nome composto por três caracteres.

Consulte também: Gerenciar o aplicativo por meio da interface local

Ativar e desativar a Detecção de Comportamento

Proteção de pastas compartilhadas contra criptografia externa
Início da página