Active Protection

Важно!  Некоторые из функций, описанные в этом разделе были представлены в версии 12.5 и влияют только на локальные развертывания. Эти функции пока недоступны в облачных развертываниях. Дополнительную информацию см. в разделе «Что нового в Acronis Backup».

Active Protection обеспечивает защиту системы от программ-вымогателей и криптомайнеров. Программы-вымогатели шифруют файлы и требуют выкуп за предоставление ключа шифрования. Криптомайнеры выполняют математические расчеты в фоновом режиме, и таким образом несанкционированно используют вычислительные мощности и сетевой трафик.

Active Protection доступна для машин, работающих под управлением ОС Windows 7 и более поздних версий, а также Windows Server 2008 R2 и более поздних версий. На машине должен быть установлен агент для Windows.

Принцип работы

Active Protection контролирует процессы, выполняемые на защищенной машине. Когда сторонний процесс пытается зашифровать файлы или запустить майнинг криптовалют, Active Protection выдает уведомление и выполняет дополнительные действия, заданные в конфигурации.

Кроме того, Active Protection предотвращает несанкционированные изменения собственных процессов программного обеспечения для резервного копирования, записей в реестрах, исполняемых файлов и файлов конфигурации, а также резервных копий в локальных папках.

Для идентификации вредоносных процессов Active Protection использует поведенческую эвристику. Active Protection сравнивает цепочку действий, выполняемых процессом, с цепочками событий, записанными в базе данных вредоносных моделей поведения. Этот подход позволяет Active Protection обнаруживать новые вредоносные программы по их типичному поведению.

Настройки Active Protection

Для минимизации ресурсов, используемых для эвристического анализа, и устранения так называемых ложноположительных срабатываний, когда доверенная программа рассматриваться как программа-вымогатель, можно задать следующие настройки:

• Доверенные процессы, которые никогда не рассматриваться как связанные с программами-вымогателями. Процессам, подписанные Microsoft, можно всегда доверять.
• Вредные процессы, которые всегда рассматриваться как связанные с программами-вымогателями. Эти процессы не смогут запуститься, пока на машине включена Active Protection.
• Папки, в которых не будут отслеживаться изменения файлов.

Укажите полный путь к файлу для выполняемого процесса, начиная с буквы диска. Например, C:\Windows\Temp\er76s7sdkh.exe.

Чтобы указать папки, можно использовать подстановочные символы * и ?. Звездочка (*) замещает 0 или более символов. Знак вопроса (?) заменяет только один символ. Нельзя использовать переменные среды, такие как %AppData%.

План Active Protection

Все настройки Active Protection содержатся в плане Active Protection. Этот план можно применить к нескольким машинам.

В организации может быть только один план Active Protection. Если в организации есть отделы, их администраторам запрещается применять, редактировать или отзывать план.

Применение плана Active Protection

1. Выберите машину, для которой необходимо активировать Active Protection.
2. Выберите Active Protection.
3. [Необязательно] Нажмите кнопку Редактировать, чтобы изменить следующие настройки:
   • В окне Действие при обнаружении выберите действие, которое программа выполнит при обнаружении деятельности программы-вымогателя, а затем нажмите кнопку Готово. Можно выбрать один из следующих вариантов:
     • Только уведомить (по умолчанию)

       Программа выдаст оповещение о процессе.

     • Остановить процесс

       Программа выдаст оповещение и остановит процесс.

     • Отменить изменения, используя кэш

       Программа выдаст оповещение, остановит процесс и отменит внесенные в файл изменения, используя кэш службы.

   • В окне Вредоносные процессы укажите процессы, которые всегда будут рассматриваться как связанные с программами-вымогателями, а затем нажмите кнопку Готово.
   • В окне Доверенные процессы укажите процессы, которые никогда не будут рассматриваться как связанные с программами-вымогателями, а затем нажмите кнопку Готово. Процессам, подписанные Microsoft, можно всегда доверять.
   • В окне Исключения для папок укажите папки в которых не будут отслеживаться изменения файлов, а затем нажмите кнопку Готово.
   • Деактивируйте выключатель Самозащита.

     Самозащита предотвращает несанкционированные изменения собственных процессов программного обеспечения, записей в реестрах, исполняемых файлов и файлов конфигурации, а также резервных копий в локальных папках. Не рекомендуется выключать эту функцию.

   • Измените Параметры защиты.
4. После изменения настроек нажмите кнопку Сохранить настройки. Изменения будут применены ко всем машинам, на которых включена Active Protection.
5. Нажмите кнопку Применить.