Característica destacada de Emsisoft: Exclusiones para escaneo y monitoreo

La inclusión en listas blancas de archivos y programas a través de escáneres y exclusiones de protección en tiempo real no es nada nuevo realmente en Emsisoft. Pero la última versión de la serie de productos de protección Emsisoft mejora significativamente la flexibilidad para los usuarios avanzados.Una muestra rápida de casos de uso típicos para exclusiones:
Si abre Emsisoft Anti-Malware y navega a "Configuración" -> "Exclusiones", verá un diálogo recientemente presentado que se divide en dos áreas principales:

Cuadro de diálogo Emsisoft Exclusions

1. Exclusiones de escaneo

Esta característica es casi autodescriptiva. Selecciona un archivo específico o una carpeta completa, y las detecciones de malware durante los escaneos bajo demanda y los escaneos de File Guard se omitirán en esos lugares.

Escenario: software de control remoto

Hay algunas herramientas de control remoto disponibles que se pueden usar legítimamente, pero los autores de malware a menudo también las agrupan. Si aún necesita usar estas herramientas, puede excluir su ruta de archivo del escaneo con el escáner Emsisoft.

Escenario: el "programa no deseado" deseado (PUP)

Las firmas de detección de Emsisoft son bastante agresivas cuando se trata de detectar programas potencialmente no deseados. En ocasiones, los usuarios aún pueden querer usar estos programas, como las barras de herramientas del navegador. Para evitar la detección en futuros escaneos de disco, simplemente agregue su carpeta de instalación a la lista de exclusiones.

2. Monitoreo de exclusiones

En lugar de tener control sobre qué archivos de programa se excluyen del escaneo, aquí puede definir que las acciones y el comportamiento de los programas específicos no se deben supervisar.

Escenario: un segundo programa antivirus

Cada operación de lectura o escritura de archivos realizada por un programa puede desencadenar un escaneo por parte de File Guard. Pero escanear un archivo también es una operación de archivo que puede desencadenar lo mismo con un segundo programa antivirus que puede instalarse. Sin embargo, si ese otro antivirus abre un archivo para leer, puede volver a desencadenar otro escaneo con Emsisoft, y así sucesivamente. El resultado puede ser un bloqueo del sistema porque todos los recursos se utilizan para escanear un archivo específico una y otra vez. Para romper ese ciclo, siempre debe excluir cualquier programa de protección adicional en tiempo real en Emsisoft, y viceversa.

Escenario: incompatibilidad de software

Para crear una protección de clase mundial, los módulos de protección en tiempo real de Emsisoft deben trabajar estrechamente con el núcleo del sistema operativo Windows. Esa tecnología se denomina "ganchos" y básicamente significa que nuestro software se ubica entre el sistema operativo y los programas en ejecución, para interceptar cualquier operación relevante de seguridad si es necesario. Otro software también usa ganchos para crear ciertas funcionalidades y, a veces, esto crea incompatibilidades que conducen a fallas o mal funcionamiento. Si experimenta problemas como ese, puede poner el otro programa en la lista de Exclusiones de supervisión, para evitar que estos programas sean afectados por el código de Emsisoft.

Nueva función: comodines

Algunos programas usan nombres de archivo aleatorios, por ejemplo, en el momento de la instalación, para archivos temporales. Es posible que no desee excluir toda la carpeta temporal del escaneo y la supervisión, por lo que puede excluir patrones de ruta como este:
c: windowstempinst * .exe
El signo * reemplaza una secuencia aleatoria de caracteres.

¡Advertencia!

Si bien esta es una característica muy poderosa que agrega flexibilidad adicional, también es muy peligrosa cuando se usa mal. Si accidentalmente crea una exclusión para c: *, básicamente deshabilitaría toda la funcionalidad de protección en su computadora, ya que todo en la unidad C: se excluiría.Siempre asegúrese de que el símbolo comodín no se use al final de la secuencia de ruta, sino en algún lugar en el medio.
Si siempre se espera que la cantidad de caracteres aleatorios sea la misma, ¿debería usar mejor? signo, que reemplaza a solo un personaje. Ejemplo si el nombre de archivo siempre usa 3 letras o números aleatorios:
c: windowstempinst ???. exe

Nuevo: variables de entorno

Las variables de entorno son una función estándar de Windows que los administradores de sistemas utilizan principalmente en los scripts de línea de comandos. Actúan como marcadores de posición para rutas comunes que pueden ser diferentes en las instalaciones individuales del sistema. En lugar de buscar manualmente la ruta real en cada computadora, puede dejar que Windows lo haga por usted.
Tenga en cuenta que las variables de entorno no son simples marcadores de posición para una secuencia de ruta estática. Como los módulos de protección funcionan en el nivel del sistema, las variables de entorno suelen coincidir con una o varias rutas en un sistema. % USERPROFILE% excluye todas las carpetas de perfil de usuario que normalmente residen en C: usuarios, no solo el perfil del usuario que ha iniciado sesión actualmente.

Escenario: excluyendo un programa instalado específico

Imagina que eres administrador de red y administra 10 computadoras en tu oficina. Algunos de ellos todavía ejecutan una versión anterior de Windows 7 de 32 bits, algunos otros están en Windows 8 y los más nuevos usan Windows 10 en ediciones de 64 bits. Desea excluir un software personalizado crítico para el negocio que ocasionalmente desencadena alertas de bloqueo de comportamiento. Pero ese programa está instalado en diferentes lugares en todas estas computadoras. Algunos usan C: archivos de programaProgramXY, otros C: archivos de programa (x86) ProgramXY y algunas máquinas tienen todos los programas instalados en una unidad D diferente: program filesProgramXY. Para excluir todas estas rutas de una sola vez sin conocer su ubicación exacta, simplemente puede crear una exclusión como esta:
% PROGRAMS% ProgramXYMainFile.exe

Escenario: excluye un archivo en todos los escritorios de los usuarios

En entornos corporativos, lo más probable es que tenga varias cuentas de usuario utilizadas en cada computadora. Cada usuario tiene sus archivos de escritorio almacenados en una carpeta diferente basada en el usuario, por ejemplo, C: UsersMyUserNameDesktop. Si desea excluir todos los escritorios de todos los usuarios del análisis, simplemente puede crear una exclusión como esta:
%ESCRITORIO%
Esto excluirá todas las carpetas específicas del usuario que coincidan a la vez, como por ejemplo:
C: UsersMyFirstUserDesktop
C: UsersMySecondUserDesktop
C: UsersMyThirdUserDesktop
...

Emsisoft actualmente admite 44 variables de entorno

Haga clic en el enlace "variables de entorno" en el área superior del cuadro de diálogo Exclusiones para ver un probador de todas las variables disponibles y cómo se resuelven en su sistema específico.

Exclusiones de Emsisoft: probador de variables de entorno
Variables disponibles (principios de 2017):

  • %ALLUSERSPROFILE%
  • %APPDATA%
  • %CACHE%
  • %CDBURNING%
  • %CHROMEPROFILE%
  • %COMMONAPPDATA%
  • %COMMONDESKTOP%
  • %COMMONDOCUMENTS%
  • %COMMONDOWNLOADS%
  • %COMMONFILESDIR%
  • %COMMONMUSIC%
  • %COMMONMYPICTURES%
  • %COMMONPROGRAMS%
  • %COMMONSTARTMENU%
  • %COMMONSTARTUP%
  • %COMMONTEMPLATES%
  • %COOKIES%
  • %DESKTOP%
  • %DOCUMENTS%
  • %DOWNLOADS%
  • %FAVORITES%
  • %FIREFOXPROFILE%
  • %FONTS%
  • %LOCALAPPDATA%
  • %LOCALAPPDATALOW%
  • %MUSIC%
  • %MYPICTURES%
  • %MYVIDEO%
  • %NETHOOD%
  • %PERSONAL%
  • %PROGRAMFILESDIR%
  • %PROGRAMS%
  • %PUBLIC%
  • %RECENT%
  • %SENDTO%
  • %STARTMENU%
  • %STARTUP%
  • %SYSDIR%
  • %SYSTEMDRIVE%
  • %TASKS%
  • %TEMP%
  • %TEMPLATES%
  • %USERPROFILE%
  • %WINDIR%
  • Conclusión: Use exclusiones para evitar ciertas detecciones y para resolver incompatibilidades

    Si bien la mayoría de los usuarios domésticos probablemente nunca tengan la necesidad de crear exclusiones sofisticadas, la flexibilidad recientemente agregada en la última versión es muy útil para los administradores de sistemas que mantienen un mayor número de computadoras. Emsisoft Enterprise Console es totalmente compatible con todo tipo de exclusiones, lo que permite a los usuarios expertos definirlas de forma central para toda la red con un solo clic.

    Link tomado de: https://blog.emsisoft.com/en/24961/emsisoft-feature-highlight-exclusions-for-scanning-and-monitoring/

    Comentarios

    Entradas populares de este blog

    Las 10 mejores resoluciones de seguridad tecnológica de Año Nuevo

    Cómo eliminar el ransomware de la manera correcta: una guía paso a paso

    Revisión de 2017: amenazas de Ransomware y protección en evolución