As políticas definem como o Malwarebytes se comporta ao realizar um escaneamento agendado, usar uma proteção em tempo real ou realizar o monitoramento de uma atividade suspeita. As políticas são aplicadas no nível de grupo e todos os endpoints em um grupo usam a mesma política. Por padrão, os endpoints adicionados na console pertencem no Default Group, que usa a Default Policy.
As políticas podem ser customizadas e terem diversas opções. Esse artigo abrange as opções Configurações da política para todas as plataformas de endpoints.
Para visualizar as configurações de Políticas:
- Vá para Configurações > Políticas.
- Clique em Novo ou selecione uma política existente. Escolha o sistema operacional dos endpoints afetados por esta política. Selecione uma das seguintes guias:
- Windows
- Mac
- Linux
- Selecione a guia Configurações para ver as configurações específicas disponíveis para cada sistema operacional.
As seções abaixo descrevem todas as opções de política disponíveis na guia Configurações de política, e especificam quais recursos são para os diferentes sistemas operacionais de endpoints.
Configurações
Inclui opções para escaneamentos, proteção em tempo real, proteção diversa, Central de Ações Windows e definições para o Malwarebytes Endpoint Detection and Response.
Opções da escaneamento (Windows/Mac's)
Os Threat-scan são mais minuciosos do que uma análise Hyper-scan. Os Threat-scan apresentam as seguintes opções:
- Escaneamentos de Rootkits: Este escaneamento busca por rootkits em seu endpoint. Isso pode aumentar o tempo necessário para concluir o escaneamento.
- Escanear os arquivos: Este escaneamento realiza a análise dos arquivos contidos dentro dos arquivos compactados.
- Detecção de arquivo anômalo : Este escaneamento analisa o comportamento do arquivo, além de escanear arquivos usando informações de ameaças conhecidas.
Estas duas opções abaixo aplicam-se nas análises realizadas pelos Threat-scan, Hyper-scan e proteção em tempo real (RTP):
- Programa potencialmente indesejado (PUPs): Especifica se programas potencialmente indesejados são tratados como malware ou ignorados.
- Modificações potencialmente indesejadas (PUMs): Especifica se as modificações potencialmente indesejadas são tratadas como malware ou ignoradas. É aplicável apenas aos endpoints com Windows.
Prioridade no escaneamento (somente Windows)
Esta opção determina a prioridade do sistema do endpoint para realizar os escaneamentos. Enquanto o escaneamento está em andamento, o desempenho do endpoint pode ser afetado.
Selecione a melhor opção, de acordo com a capacidade dos seus endpoints:
- Alta prioridade: Permite que o escaneamento seja executado rapidamente, mas pode afetar o desempenho do sistema.
- Baixa prioridade: Os escaneamentos exigem mais tempo para serem concluídos, mas têm menor impacto no desempenho.
Proteção em tempo real
Os recursos da proteção em tempo real são parte da assinatura do Malwarebytes Endpoint Protection ou Endpoint Detection and Response.
Ao ativar os recursos de proteção em tempo real, todos os plugins necessários são instalados automaticamente em seus endpoints. Recomendamos usar todos os recursos do Malwarebytes Endpoint Protection para a melhor proteção.
Veja a seguir uma descrição de cada recurso de proteção em tempo real:
- Proteção na Web: Bloqueia o acesso de, e para, endereços de Internet conhecidos ou suspeitos. A desativação desse recurso pode afetar a segurança de seus endpoints.
- Proteção contra Exploit : Protege contra exploits de vulnerabilidade para os aplicativos instalados. Quando os aplicativos são iniciados, a proteção anti-exploit os protege. Ele pode parar ataques que outros aplicativos de segurança não detectam.
- Gerenciar os aplicativos protegidos: Muitos aplicativos populares são automaticamente compatíveis e podem ser habilitados aqui. Também é possível adicionar seus próprios aplicativos, que serão exibidos no final da lista.
- Configurações avançadas: Permite a configuração de algumas medidas anti-exploit. As configurações padrão equilibram o desempenho do endpoint e a proteção anti-exploit. Para mantê-lo seguro, algumas dessas configurações não devem ser alteradas.
IMPORTANTE: Recomendamos não alterar essas configurações a menos que instruído pela equipe de Suporte da Malwarebytes. Para mais informações, Consulte Configurações avançadas para proteção anti-exploit na plataforma Nebula da Malwarebytes.
- Gerenciar os aplicativos protegidos: Muitos aplicativos populares são automaticamente compatíveis e podem ser habilitados aqui. Também é possível adicionar seus próprios aplicativos, que serão exibidos no final da lista.
Proteção contra malware
Esse recurso protege contra qualquer conteúdo malicioso que tenta ser executado em seus endpoints. O malware pode vir de diversas fontes, como downloads, drives externos e anexos de e-mail. Recomendamos deixar esta proteção contra malware habilitada. A proteção contra malware fica sempre habilitada em Macs que usam proteção em tempo real.
Proteção de comportamento
A Proteção de comportamento oferece uma defesa contra qualquer ransomware, conhecido e desconhecido. Um ransomware costuma permanecer não detectado até que ele seja ativado. Recomendamos manter a Proteção de Comportamento habilitada. A Proteção de comportamento não é compatível em endpoints com Windows XP ou Windows Vista.
Bloqueio de aplicativo (somente Mac)
O Bloqueio de aplicativo tem por objetivo bloquear aplicativos de desenvolvedores mal intencionados, evitando que eles sejam executados no seu endpoint. Nesse caso, o aplicativo não está em quarentena, mas não pode ser executado. Habilite esse recurso para impedir que aplicativos potencialmente maliciosos sejam executados em seus endpoints Mac.
Opções diversas de proteção (somente Windows)
Essas opções afetam quando a proteção em tempo real é carregada, e se o Malwarebytes se protege contra alguma violação.
As opções disponíveis são:
- Atraso na proteção em tempo real: Pode interromper conflitos entre a proteção em tempo real e outros serviços de aplicativos.
- Adiar proteção para: Define por quanto tempo o serviço de proteção em tempo real é adiado. Ajuste essa opção com base em quais serviços estão em conflito com a proteção em tempo real. Este atraso pode variar de 15 a 180 segundos.
- Ativar módulo de autoproteção: Deixe o Malwarebytes criar uma "zona segura" para prevenir o controle malicioso do aplicativo Malwarebytes. O módulo de autoproteção tem um breve período de inicialização.
- Ativar início antecipado do módulo de autoproteção: Faz com que a autoproteção comece antes, quando o endpoint está inicializando. Isso afeta a ordem de inicialização dos serviços e drivers de aplicativos.
Proteção da força bruta (somente Windows)
Esse recurso detecta e bloqueia ataques de força bruta feitos através do Remote Desktop Protocol (RDP) contra seus endpoints. Para saber mais, consulte Requisitos do recurso de Proteção de Força Bruta
Central de Ação Windows (somente Windows)
A Central de Ação Windows alerta quando há um problema que precisa de sua atenção. É possível optar por registrar o Malwarebytes como uma solução de segurança Windows em endpoints que não são servidores. Isso permite que a Central de Ações Windows mostre as notificações do Malwarebytes.
As opções disponíveis são:
- Deixe que o agente Malwarebytes aplique a melhor configuração da Central de Ações Windows com base em seu sistema (recomendado)
O agente Malwarebytes determina se deve ser registrado na Central de Ações Windows. Se alguma das condições a seguir for verdadeira, ele não faz o registro:- Se o Microsoft Security Essentials está em uso e se a versão do Windows é 7 ou mais antiga.
- Se Windows Defender está em uso e se a versão do Windows é 8 ou mais recente.
- Nunca registre o Malwarebytes: A proteção Malwarebytes nunca aparece na Central de Ações do Windows.
- Registre sempre o Malwarebytes: A proteção Malwarebytes sempre aparece na Central de Ações do Windows.
Configurações do Endpoint Detection & Response (EDR) (Windows/Mac's)
O Endpoint Detection and Response possui três recursos: Monitoramento de atividade suspeita, Ransomware Rollback e Isolamento de endpoint.
Monitoramento de atividade suspeita (EDR)
O monitoramento de atividade suspeita observa se há algum comportamento malicioso no processo, registro, sistema de arquivos e na atividade da rede nos endpoints.
As opções disponíveis são:
- Monitoração de atividade suspeita: Permite o monitoramento comportamental de atividade suspeita nos endpoints.
- Monitoração do sistema operacional do servidor (somente Windows): habilita o monitoramento de atividades suspeitas para sistemas operacionais do servidor. Os endpoints do SO do servidor podem causar carga extra com o Monitoramento Comportamental. Essa configuração é ativada quando a Monitoração de Atividade Suspeito está ON.
- Modo agressivo (somente Windows): Ativa um modo de detecção que envia amostras de arquivos para a Malwarebytes para análise, conforme necessário. Ao usar esse modo, um número maior de arquivos suspeitos pode ser identificado, mas há um risco maior de falsos positivos.
- Network Events: Ativa a coleta de eventos de rede nas pesquisas do Flight Recorder. Alterando esta configuração ON aumenta a quantidade de tráfego enviado para a nuvem.
Ransomware Rollback (EDR) (somente Windows)
Ajuda a se recuperar de algum ataque de ransomware, restaurando os arquivos danificados ou criptografados, a partir de backups locais próprios.
As opções disponíveis são:
- Habilitar/desabilitar rollback: Habilita o recurso de Rollback.
- Periodo de Reversão: Tempo máximo para armazenar as mudanças nos arquivos. Pode variar de 24 a 72 horas. Arquivos alterados a mais de 72 horas são descartados.
- Tamanho do arquivo de rollback: Define o tamanho máximo permitido para cada arquivo em backup, variando de 1MB a 100MB.
Endpoint Isolation (EDR)
Impede a propagação de ameaças entre os endpoints, restringindo a comunicação e o acesso à rede. Os endpoints isolados só podem se comunicar com a console Malwarebytes e executar os processos Malwarebytes.
As opções disponíveis são:
- Bloqueia/Desbloqueia endpoints: Permite bloquear e desbloquear os endpoints.
- Título do isolamento: Título personalizado da tela de mensagem exibida em um endpoint bloqueado.
- Mensagem de isolamento: Defina uma mensagem personalizada que será exibida na tela do endpoint.
- Imagem de ícone personalizada: Adicione um ícone personalizado, que será exibido ao lado da mensagem de isolamento.
Para mais informações, consulte Monitoramento de atividade suspeita no Malwarebytes Endpoint Detection and Response.
Retornar ao Guia do administrador da plataforma Nebula da Malwarebytes.