具有行为监控的增强防恶意软件和勒索软件扫描

这是趋势科技服务器深度安全防护系统 10 中的新功能。

趋势科技服务器深度安全防护系统提供了安全设置,您可以将此安全设置用于受趋势科技服务器深度安全防护系统客户端保护的 Windows 计算机,从而提升恶意软件和勒索软件的检测和清除率。利用这些设置,您可以识别匹配的恶意软件特征码之外的可疑文件,这些可疑文件可能包含新出现的、尚未添加到防恶意软件特征码中的恶意软件(称为零时差攻击)。

在本文中:

增强扫描如何对您实施保护?

威胁检测:为了躲避检测,有些类型的恶意软件会尝试修改系统文件或与已知安装软件相关的文件。这些类型的更改通常不会被人发现,因为恶意软件会替代合法文件。趋势科技服务器深度安全防护系统可以监控系统文件和安装软件是否发生未授权更改,以此来检测并防止发生此类更改。

防入侵:恶意软件制造者可以使用恶意代码挂钩到用户模式进程,从而获得访问可信进程的权限并隐藏恶意活动。恶意软件制造者会通过 DLL 注入将代码注入到用户进程,此举会调用提升了权限的 API。他们也会通过提供恶意的有效载荷,在内存中触发代码执行,从而在软件入侵中触发攻击。在趋势科技服务器深度安全防护系统中,防入侵功能会监控所执行操作并非其通常所执行操作的特定进程。趋势科技服务器深度安全防护系统使用了很多机制,包括数据执行保护 (DEP)、结构化异常处理覆盖保护 (SEHOP) 以及堆污染保护,因此可以确定进程是否有危害,然后终止进程,防止进一步感染。

扩展勒索软件防护:最近,勒索软件变得更加复杂并且更加具有针对性。大多数组织都有包括对端点的防恶意软件防护的安全策略,这一安全策略提供的防护级别针对的是已知的勒索软件变种;但是,它可能不足以检测并阻止新变种的爆发。趋势科技服务器深度安全防护系统提供的勒索软件防护可以防止文档遭受未授权的加密或修改。趋势科技服务器深度安全防护系统也融合了数据恢复引擎,此数据恢复引擎可以创建正在加密的文件的副本,从而使用户有额外的机会恢复可能被勒索软件进程加密的文件。

如何启用增强扫描

增强扫描被配置为可应用于策略或单个计算机的防恶意软件设置的一部分。有关配置防恶意软件保护的常规信息,请参阅通过四个步骤保护服务器免受恶意软件攻击

这些设置只适用于受趋势科技服务器深度安全防护系统客户端保护的 Windows 计算机。

第一步是在实时恶意软件扫描配置中启用增强扫描:

  1. 在趋势科技服务器深度安全防护系统管理中心中,转至策略 > 通用对象 > 其他 > 恶意软件扫描配置
  2. 双击现有的实时扫描配置,对其进行编辑(有关恶意软件扫描配置的详细信息,请参阅恶意软件扫描配置)。
  3. 常规选项卡中选择以下选项:
    • 检测可疑活动和未经授权的更改 (包括勒索软件):启用上文所述的威胁检测、防入侵和勒索软件检测功能。
    • 备份和恢复勒索软件加密的文件:选择此选项时,趋势科技服务器深度安全防护系统将创建正在加密的文件的备份副本,以防文件被勒索软件进程加密。
  4. 单击确定

缺省情况下,实时扫描会设置为扫描所有目录。如果您将扫描设置更改为扫描目录列表,增强扫描可能无法按预期运行。例如,如果您将要扫描的目录设置为扫描 "Folder1",并且 Folder1 中出现勒索软件,那么在 Folder1 之外的文件发生了与勒索软件关联的加密时,勒索软件则无法被检测出来。

下一步,将恶意软件扫描配置应用到策略或单个计算机:

  1. 计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。中,转至防恶意软件 > 常规
  2. 确保防恶意软件状态打开已继承 (打开)
  3. 常规选项卡包含实时扫描手动扫描预设扫描部分。在相应部分使用恶意软件扫描配置列表来选择您在上面创建的扫描配置。
  4. 单击保存

增强扫描发现问题时会出现什么情况?

当趋势科技服务器深度安全防护系统发现与您已启用的增强扫描设置匹配的活动或文件时,它会记录事件(转至事件和报告 > 事件 > 防恶意软件事件可查看事件列表)。此事件将在主要病毒类型列中被确定为“可疑活动”或“未经授权更改”,并且详细信息将在目标目标类型列中显示。

趋势科技服务器深度安全防护系统会执行与增强扫描设置相关的许多类型的检查,并且它采取的操作取决于发现问题的检查的类型。趋势科技服务器深度安全防护系统可能会对可疑对象采取以下处理措施:“拒绝访问”、“终止”或“清除”。这些操作都由趋势科技服务器深度安全防护系统确定,而且是不可配置的,但“清除”操作除外:

  • 拒绝访问:当趋势科技服务器深度安全防护系统检测打开或执行可疑文件的尝试操作时,它会立即阻止该操作并记录防恶意软件事件。
  • 终止:趋势科技服务器深度安全防护系统会终止执行了可疑操作的进程,并记录防恶意软件事件。
  • 清除:趋势科技服务器深度安全防护系统会检查恶意软件扫描配置并在“操作”选项卡上执行针对特洛伊木马指定的操作。将生成与对特洛伊木马文件执行的处理措施相关的其他事件。

双击事件以查看详细信息:

与勒索软件相关的事件有一个额外的目标文件选项卡:

如果您调查后发现识别的文件并非有害文件,那么您可以右键单击事件并单击允许,将文件添加到计算机或策略的扫描例外列表。可以在策略编辑器或计算机编辑器中的防恶意软件 > 高级 > 行为监控保护的例外下检查扫描例外列表。

我的客户端无法直接连接到 Internet 时应执行哪些操作?

本文所述的增强扫描功能需要 Internet 访问来使用全局 Census 服务器和良好文件信誉服务对文件进行检查。如果趋势科技服务器深度安全防护系统客户端不能直接访问 Internet,您将需要配置代理服务器来启用客户端,然后检查这些网站。

如果客户端不能检查全局 Census 服务器和良好文件信誉服务,扫描的检测率会非常低。例如,勒索软件将无法被检测出来,而且进程内存扫描也将被影响。

您可以在策略中或为单个计算机配置代理服务器设置:

  1. 在策略编辑器或计算机编辑器中,转至设置 > 常规。这些设置位于 Census 和良好文件信誉服务部分中。
  2. 如果选择了已继承复选框,代理服务器设置则会从父策略中继承。要更改此策略或计算机的设置,请清除复选框。
  3. 确保已选中当访问全局服务器时,请使用代理服务器复选框,并从列表中选择新建。此时会出现对话框,您可以在此配置代理服务器设置。

配置代理服务器设置时要小心,因为趋势科技服务器深度安全防护系统不会执行检查来确保设置有效。如果已在计算机编辑器或策略编辑器中的防恶意软件 > 云安全智能防护 > 用于文件信誉服务的云安全智能防护服务器下配置了云安全智能防护服务器代理服务器设置,您可以在此处使用相同的设置。