A versão atual do Escaneamento Hyper-V é compatível com o escaneamento de sistema virtual on-line ou off-line no Hyper-V. Os tipos de escaneamento compatíveis de acordo com o sistema de Hyper-V hospedado no Windows e o estado do sistema virtual são exibidos aqui:
Sistemas virtuais com o recurso Hyper-V Windows Server 2008 R2 SP1 Hyper-V Windows Server 2012 Hyper-V Windows Server 2012 R2 Hyper-V Windows Server 2016 Hyper-V Windows Server 2019 Hyper-V VM online sem rastreamento somente leitura somente leitura somente leitura somente leitura
VM off-line somente
leitura/limpeza somenteleitura/limpeza somenteleitura/limpeza somenteleitura/limpeza somenteleitura/limpeza
Requisitos de hardware
O servidor não deve ter nenhum problema de desempenho executando as Máquinas Virtuais. A atividade de escaneamento usa principalmente recursos de CPU. Para escanear VMs on-line é preciso ter espaço em disco livre. O espaço em disco deve ser no mínimo o dobro do espaço usado pelos pontos de verificação/instantâneos e discos virtuais.
Limitações específicas
•
O rastreamento no armazenamento RAID, volumes estendidos e Discos dinâmicos não são compatíveisdevido à natureza dos Discos dinâmicos. Portanto, recomendamos que você evite usar o tipo Disco dinâmico na sua VM, se possível.
•
O escaneamento é sempre realizado no VM atual e não afeta pontos de verificação nem instantâneos.•
O Hyper-V sendo executado em um host em um agrupamento não é compatível com o ESET Security forMicrosoft SharePoint no momento.
•
Máquinas virtuais em um host Hyper-V em execução no Windows Server 2008 R2 SP1 só podem serescaneadas no modo somente leitura (Sem limpeza), independentemente de qual nível de limpeza está
selecionado nos ThreatSense parâmetros.
OBSERVAÇÃO
Enquanto o ESET Security é compatível com o escaneamento de MBRs de disco virtual, o escaneamento somente leitura é o único método compatível com esses destinos. Esta configuração pode ser alterada em
Configuração avançada (F5) > Computador > Escaneamento Hyper-V > Parâmetros do ThreatSense >
Setores de inicialização.
A Máquina Virtual a ser rastreada está off-line - No estado Desligado
O ESET Security for Microsoft SharePoint usa Gerenciamento Hyper-V para detectar e conectar-se aos discos virtuais. Assim, o ESET Security for Microsoft SharePoint tem o mesmo acesso ao conteúdo dos discos virtuais que teria se estivesse acessando os dados e arquivos de um disco rígido geral.
Máquina Virtual a ser rastreada está on-line - No estado Em execução, Pausada, Salva
O ESET Security for Microsoft SharePoint usa Gerenciamento Hyper-V para detectar discos virtuais. Não é possível fazer uma conexão real a esses discos. Portanto, o ESET Security for Microsoft SharePoint cria um ponto de verificação/instantâneo da Máquina Virtual, e então se conecta ao ponto de verificação/instantâneo. Assim que o rastreamento for concluído, o ponto de verificação/instantâneo é excluído. Isso significa que o rastreamento
somente leitura pode ser realizado porque a Máquina Virtual sendo executada não é afetada pela atividade de rastreamento.
Dê ao ESET Security for Microsoft SharePoint até um minuto para que ele crie um instantâneo ou ponto de verificação durante o escaneamento. Você deve levar isso em conta ao executar um escaneamento Hyper-V em um número maior de Máquinas Virtuais.
Convenção de nomeação
O módulo do rastreamento Hyper-V usa a seguinte convenção de nomeação:
VirtualMachineName\DiskX\VolumeY
Onde X é o número de discos e Y é o número de volumes. Por exemplo:
Computer\Disk0\Volume1
O sufixo de número é adicionado com base na ordem de detecção, que é idêntica à ordem vista no Gerenciador de Discos da VM. Essa convenção de nomeação é usada na lista estruturada em árvore de destinos a serem
escaneados, na barra de progresso e também nos relatórios.
Executando um rastreamento
• Sob demanda
- Clique em Escaneamento Hyper-V para ver uma lista de Máquinas Virtuais e volumes disponíveis para escaneamento. Selecione as Máquinas Virtuais, discos ou volumes que deseja escanear e clique em Escaneamento.•
Para criar uma tarefa agendada.•
Através do ESET Security Management Center como uma Tarefa de cliente chamada de Rastreamento doservidor .
•
O escaneamento Hyper-V pode ser gerenciado e iniciado via eShell.É possível executar vários escaneamentos Hyper-V simultaneamente. Você receberá uma notificação com um link para os relatórios quando o escaneamento estiver concluído.
Possíveis problemas
•
Ao executar o escaneamento de uma Máquina Virtual on-line, um ponto de verificação/instantâneo daMáquina Virtual em particular deve ser criado e, durante a criação de um ponto de verificação/instantâneo, algumas ações genéricas da Máquina Virtual podem ser limitadas ou desativadas.
•
Se uma Máquina Virtual estiver sendo rastreada, ela não pode ser ligada até que o rastreamento sejaconcluído.
•
O Gerenciador Hyper-V Manager permite nomear duas Máquinas Virtuais diferentes de forma idêntica, eisso é um problema ao tentar diferenciar as máquinas ao revisar os relatórios de rastreamento.
HIPS
O Sistema de prevenção de intrusos de host (HIPS) protege o sistema de malware ou de qualquer atividade que tentar prejudicar a segurança do computador. Ele utiliza a análise comportamental avançada em conjunto com as capacidades de detecção de filtro de rede para monitorar processos em execução, arquivos e chaves de registro. O HIPS é separado da proteção em tempo real do sistema de arquivos e não é um firewall; ele monitora somente processos em execução no sistema operacional.
ATENÇÃO
Apenas um usuário experiente deve fazer alterações nas configurações do HIPS. A configuração incorreta das configurações HIPS pode causar instabilidade no sistema.
Ativar Autodefesa
O ESET Security for Microsoft SharePoint tem uma tecnologia de Autodefesa incorporada que impede que o software malicioso danifique ou desabilite a proteção contra malware. Dessa forma, você poderá ter certeza que seu sistema está protegido o tempo todo. As alterações executadas nas configurações Ativar HIPS e Ativar autodefesa entram em vigor depois que o sistema operacional Windows é reiniciado. A desativação de todo o sistema HIPS também exigirá uma reinicialização do computador.
Ativar Serviço protegido
A Microsoft apresentou o conceito de serviços protegidos com o Microsoft Windows Server 2012 R2. Isso impede um serviço contra ataques de malware. O Kernel do ESET Security for Microsoft SharePoint está sendo executado como um serviço protegido por padrão. Esse recurso está disponível no Microsoft Windows Server 2012 R2 e sistemas operacionais de servidor mais recentes.
Ativar Advanced Memory Scanner
Funciona combinado com o Bloqueio de exploit para fortalecer a proteção contra malware feito para evitar a detecção por produtos antimalware através do uso de ofuscação ou criptografia. Por padrão, o Advanced
Memory Scanner está ativado. Leia mais sobre esse tipo de proteção no glossário .
Ativar Bloqueio de exploit
É feito para fortalecer tipos de aplicativos comumente explorados como navegadores da web, leitores de PDF, clientes de email e componentes do MS Office. Por padrão, o bloqueio de exploit está ativado. Leia mais sobre
esse tipo de proteção no glossário .
Ativar escudo contra ransomware
Para usar esta funcionalidade ative o HIPS e o ESET Live Grid. Leia mais sobre Ransomware no glossário .
Modo de filtragem
Você pode escolher um dos seguintes modos de filtragem:
•
Modo automático - As operações são ativadas, exceto aquelas bloqueadas por regras predefinidas queprotegem o sistema. Tudo é permitido exceto as ações negadas pela regra.
•
Modo Inteligente - O usuário será notificado apenas sobre eventos muito suspeitos.•
Modo interativo - O sistema solicitará que o usuário confirme as operações. Permitir/negar acesso, Criarregra, Lembrar esta ação temporariamente.
•
Modo com base em políticas - As operações são bloqueadas. Aceita apenas regras deusuário/pré-definidas.
•
Modo de aprendizagem - As operações são ativadas e uma regra é criada após cada operação. Asregras criadas nesse modo podem ser visualizadas no Editor de regras, mas sua prioridade é menor que a prioridade das regras criadas manualmente ou das regras criadas no modo automático. Quando selecionar o
Modo de aprendizagem do menu suspenso Modo de filtragem HIPS, o Modo de aprendizagem vai terminar e a configuração ficará disponível. Selecione a duração pela qual você deseja se envolver no
módulo de aprendizado (a duração máxima é de 14 dias). Quando a duração especificada tiver terminado, você será solicitado a editar as regras criadas pelo HIPS enquanto ele estava no modo de aprendizagem. Você também pode escolher um modo de filtragem diferente, ou adiar a decisão e continuar usando o modo de aprendizagem.
Regras
As regras determinam quais aplicativos terão acesso a determinados arquivos, partes do registro ou outros aplicativos. O sistema HIPS monitora os eventos dentro do sistema operacional e reage a eles de acordo com
regras similares às regras usadas no firewall pessoal. Clique em Editar para abrir a janela de gerenciamento de regras do HIPS. Se a ação padrão para uma regra estiver definida como Perguntar, uma janela de diálogo será exibida sempre que a regra for acionada. Você pode optar por Bloquear ou Permitir a operação. Se você não definir uma ação no tempo determinado, uma nova ação será selecionada com base nas regras. A janela da caixa de diálogo permite que você crie uma regra com base em qualquer nova ação que o HIPS detectar e então definirá as condições nas quais Permitir ou Bloquear essa ação. Clique em Detalhes para ver mais informações. As regras criadas desta forma são consideradas iguais às regras criadas manualmente, portanto a regra criada a partir de uma janela de diálogo pode ser menos específica que a regra que acionou aquela janela de diálogo. Isso significa que após a criação dessa regra, a mesma operação pode acionar a mesma janela.
Perguntar todas as vezes
Uma janela de diálogo será exibida sempre que a regra for acionada. Você pode optar por Negar ou Permitir a operação.
Lembrar até sair do aplicativo
Escolher uma ação Negar ou Permitir vai criar uma regra HIPS temporária que será usada até o aplicativo em questão ser fechado. Além disso, se você alterar o modo de filtragem, modificar as regras, ou quando o módulo HIPS for atualizado, e se você reiniciar o sistema, as regras temporárias serão removidas.
Criar regra e lembrar permanentemente
Criar uma nova regra HIPS. Você pode modificar essa regra posteriormente na seção de gerenciamento da regra HIPS.