防恶意软件设置

计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。的“防恶意软件”部分包含以下选项卡式部分:

趋势科技服务器深度安全防护系统客户端和虚拟设备中的防恶意软件模块可提供对威胁(包括通常称为恶意软件、病毒、特洛伊木马以及间谍软件的威胁)的实时防护和按需防护。为识别威胁,防恶意软件会使用综合的威胁数据库来检查文件签名或监控进程行为,该数据库的部分文件托管在服务器上或作为可更新的特征码保存在本地。防恶意软件还检查文件是否有某些特征,如压缩和已知的入侵代码。

为解决威胁,防恶意软件会在最大程度降低对系统造成的影响的情况下,选择性地执行可包含和移除威胁的操作。防恶意软件可以清除、删除或隔离恶意文件。它还可以终止进程并删除与已识别威胁关联的其他系统对象。

CPU 使用率和 RAM 使用率因防恶意软件配置而异。要优化趋势科技服务器深度安全防护系统客户端上的防恶意软件性能,请参阅防恶意软件的性能提示
在与更新服务器联系以下载防恶意软件特征码和更新之前,新安装的趋势科技服务器深度安全防护系统客户端无法提供防恶意软件保护。安装后,验证趋势科技服务器深度安全防护系统客户端是否能够与趋势科技服务器深度安全防护系统中继或全局Trend Micro更新服务器通信。

常规

防恶意软件状态

打开或关闭防恶意软件。可以将此策略或计算机配置为从其父策略继承防恶意软件的打开或关闭状态,也可以在本地覆盖该设置。

实时扫描

实时扫描会持续监控恶意软件。每次接收、打开、下载、复制或修改文件时,都会进行实时扫描。(相比之下,手动扫描和预设扫描仅在特定时间,也就是您运行这两种类型的扫描时检测恶意软件。)如果趋势科技服务器深度安全防护系统未检测到安全风险,文件将保留在原位置,用户可以继续访问文件。如果趋势科技服务器深度安全防护系统检测到安全风险,会显示一条通知消息,指出受感染文件和具体的安全风险。

实时扫描要求选择扫描配置和实时扫描的生效时间段(可选)。恶意软件扫描配置决定了扫描的文件类型、扫描的目录、扫描的恶意软件类型以及对检测到的恶意软件采取的处理措施。您可以通过从菜单中选择扫描配置并单击编辑来检查扫描配置的属性。要配置恶意软件扫描配置,请转至策略 > 通用对象 > 其他 > 恶意软件扫描配置

手动扫描

手动扫描是一种按需扫描,会在用户在计算机上运行扫描后立即开始。完成扫描所需的时间取决于要扫描的文件数量和计算机的硬件资源。

要执行手动恶意软件扫描,必须选择扫描配置。要配置恶意软件扫描配置,请转至策略 > 通用对象 > 其他 > 恶意软件扫描配置

预设扫描

预设扫描将在已配置的日期和时间自动运行。使用预设扫描可自动执行例行扫描并提高扫描管理效率。

要执行预设恶意软件扫描,必须选择扫描配置。要配置恶意软件扫描配置,请转至策略 > 通用对象 > 其他 > 恶意软件扫描配置

恶意软件扫描(仅限计算机编辑器)

显示上次执行手动恶意软件扫描和预设恶意软件扫描的时间和日期,并允许您执行或中止快速恶意软件扫描或完整恶意软件扫描。

云安全智能防护

云安全扫描

云安全扫描将许多恶意软件和间谍软件扫描功能转移到云安全智能防护服务器。无需将完整的恶意软件特征码文件下载到本地计算机,而只需下载一个小得多的特征码版本,即可识别文件是“确定安全的”还是“可能危险的”。“可能危险的”文件将与较大的完整特征码文件(存储在趋势科技云安全智能防护网络中)相比较,以明确确定它们是否会带来安全风险。此方法可使存储在本地的特征码文件保持较小,并减少客户端/设备所需的更新的大小和数量。

配置为使用云安全扫描的计算机不会将完整的防恶意软件特征码下载到其本地磁盘。因此,如果您的防恶意软件使用授权已过期而计算机配置为使用云安全扫描,并且您禁用了云安全扫描,则该计算机没有任何本地特征码可用于防恶意软件扫描。

用于文件信誉服务的云安全智能防护服务器

用于文件信誉的云安全智能防护服务提供云安全扫描所需的文件信誉信息。选择是直接连接到趋势科技云安全智能防护网络服务还是连接到一个或多个本地安装的云安全智能防护服务器。

选择在域外时,连接到 Internet 云安全智能防护服务。(仅限 Windows。) 选项,当计算机在域外时,使用 Internet 云安全智能防护服务。如果计算机无法连接到其域控制器,即被视为在域外。(此选项只适用于 Windows 客户端。)

可以在管理 > 系统设置窗口的代理服务器选项卡上查看并编辑可用代理服务器列表。

云安全智能防护服务器连接警告

此事件确定在计算机丢失了到云安全智能防护服务器的连接时,是否生成错误事件或发出警报。

如果您在本地安装了云安全智能防护服务器,则应至少在一台计算机上将此选项设置为,以便在云安全智能防护服务器自身出现问题时收到通知。

已连接的威胁防御

这是趋势科技服务器深度安全防护系统 10 中的新功能。

不适用于趋势科技服务器深度安全防护系统即服务

已连接的威胁防御可在趋势科技服务器深度安全防护系统和趋势科技的沙盒技术(深度发现分析器)之间设置连接,从而增强针对新的和新出现的威胁的恶意软件防护。有关详细信息,请参阅使用已连接的威胁防御检测新出现的威胁

将文档利用防护扫描识别为可疑的文件提交至深度发现分析器:如果希望趋势科技服务器深度安全防护系统将可疑文件发送到深度发现分析器,请将此选项设置为已继承 (是)

使用控制管理中心的可疑对象列表:如果您已经在趋势科技服务器深度安全防护系统和趋势科技防毒墙控制管理中心之间设置连接,并且要使用控制管理中心的可疑对象列表来检测恶意文件,请将此选项设置为已继承 (是)

高级

识别的文件

用于存储已识别文件的最大磁盘空间决定已识别文件的磁盘配额。它可全局应用到所有计算机:物理计算机、虚拟机和虚拟设备。可在策略级别和计算机级别覆盖此设置。如果使用虚拟设备为虚拟机提供保护,受保护的 VM 的所有已识别文件都将存储在虚拟设备上。因此,您应增加虚拟设备上用于识别的文件的磁盘空间量。

虚拟设备不适用于趋势科技服务器深度安全防护系统即服务

在以下情况下,将自动从虚拟设备中删除已识别文件:

  • 如果 VM 经历 vMotion,将从虚拟设备中删除与该 VM 关联的已识别文件。
  • 如果从趋势科技服务器深度安全防护系统管理中心停用 VM,将从虚拟设备中删除与该 VM 关联的已识别文件。
  • 如果从趋势科技服务器深度安全防护系统管理中心停用虚拟设备,将删除存储在该虚拟设备上的所有已识别文件。
  • 如果从 vCenter 删除虚拟设备,也将删除存储在该虚拟设备上的所有已识别文件。

扫描限制

要扫描的最大文件大小:超过此文件大小的文件将不进行扫描。(将值设置为 0 表示没有最大大小。将扫描所有文件。)

恶意软件扫描的资源分配

使用多线程处理进行恶意软件扫描 (如果可用)可在支持此功能的系统上启用多线程处理。此功能仅适用于手动扫描和预设扫描,而不适用于实时扫描。要应用设置,请在启用此功能后重新启动计算机。

多线程处理可能会减少给定时间可用于计算机的其他进程的 CPU 核心数。

允许的间谍软件和灰色软件

允许的间谍软件/灰色软件是已由趋势科技服务器深度安全防护系统识别为间谍软件或灰色软件,但您想要覆盖并允许的应用程序的列表。

可以使用以下两种方法之一将软件添加到该列表:使用检测到应用程序的防恶意软件事件进行添加,或手动输入间谍软件或灰色软件的名称。 

  1. 事件和报告 > 事件 > 防恶意软件事件页面中找到检测事件。
  2. 右键单击该事件。
  3. 单击允许

如果扫描引擎已检测到应用程序,则它可能已被隔离或删除,具体取决于当前的间谍软件和灰色软件设置。如果已被隔离,您必须恢复或重新安装该应用程序。有关恢复隔离文件的信息,请参阅恢复隔离文件。或者,可以通过将操作设置为“不予处理”模式来扫描间谍软件和灰色软件,以便在防恶意软件事件页面上记录所有间谍软件和灰色软件检测,但既不是已隔离也不是已删除,而是“未处理”。然后使用此方法将所选间谍软件和灰色软件添加到允许列表,再将操作设置为“隔离”或“删除”模式。

要手动将间谍软件和灰色软件添加到允许列表中,请注意应用程序显示在防恶意软件事件日志中的名称,并将其手动添加到允许的间谍软件/灰色软件列表

此列表中的条目区分大小写。这些条目必须与其在事件日志所显示的完全相同。

本地事件通知

当检测到恶意软件时显示本地通知决定趋势科技服务器深度安全防护系统通知程序(如果安装在计算机本地)是否在检测到恶意软件时显示弹出通知。

文档利用防护规则的例外

文档利用防护规则的例外是已由趋势科技服务器深度安全防护系统识别为可疑文件但您想要覆盖并允许的规则的列表。可以使用以下两种方法之一向此列表添加可疑文件的规则:使用检测到规则的防恶意软件事件进行添加,或手动输入规则的名称。

要使用防恶意软件事件向文档利用防护规则例外的列表添加规则,请执行以下操作:

  1. 事件和报告 > 事件 > 防恶意软件事件页面中找到检测事件。
  2. 右键单击该事件。
  3. 选择允许

要手动将规则添加到文档利用防护规则例外的列表,请记下防恶意软件事件日志中显示的规则名称,然后手动将该规则添加到文档利用防护规则的例外

此列表中的条目区分大小写。这些条目必须与其在事件日志所显示的完全相同。

VM 扫描缓存

不适用于趋势科技服务器深度安全防护系统即服务

扫描缓存由虚拟设备用于最大限度地提高虚拟机恶意软件扫描和完整性监控扫描的效率。有关扫描缓存配置的信息,请参阅虚拟设备扫描缓存

NSX 安全标记

不适用于趋势科技服务器深度安全防护系统即服务

一旦检测到恶意威胁,趋势科技服务器深度安全防护系统可将 NSX 安全标记应用于受保护的 VM。NSX 安全标记可与 NSX Service Composer 一起使用,以自动执行某些任务,例如隔离受感染的 VM。有关 NSX 安全标记和动态 NSX 安全组分配的更多信息,请查看您的 VMware NSX 文档。

NSX 安全标记是 VMware vSphere NSX 环境的一部分,并且不能与趋势科技服务器深度安全防护系统事件标记混淆。有关趋势科技服务器深度安全防护系统事件标记的更多信息,请参阅应用标记来标识和分组事件

您可以选择仅在防恶意软件引擎尝试的阻止操作不成功时才应用 NSX 安全标记。(阻止操作由生效的恶意软件扫描配置决定。要查看生效的恶意软件扫描配置,请转至计算机编辑器或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。 > 防恶意软件 > 常规选项卡,然后检查实时扫描手动扫描预设扫描区域。)

您也可以选择在后续恶意软件扫描未检测到任何恶意软件时,移除安全标记。应仅在所有恶意软件扫描都将是同一类型时使用此设置。

行为监控保护的例外

行为监控保护的例外是已由趋势科技服务器深度安全防护系统识别为恶意软件但您想要覆盖并允许的文件的列表。可以使用以下两种方法之一向此列表添加文件:使用检测到文件的防恶意软件事件进行添加,或手动输入文件名。

要使用防恶意软件事件向行为监控防护例外的列表添加文件,请执行以下操作:

  1. 事件和报告 > 事件 > 防恶意软件事件页面中找到检测事件。
  2. 右键单击该事件。
  3. 单击允许

要手动将文件添加到行为监控防护例外的列表,请记下防恶意软件事件日志中显示的文件名,然后手动将该文件添加到行为监控保护的例外列表。

此列表中的条目区分大小写。这些条目必须与其在事件日志所显示的完全相同。

文件哈希计算

趋势科技服务器深度安全防护系统可以计算恶意软件的哈希值,并将其显示在事件和报告 > 事件 > 防恶意软件事件页面中。由于特定恶意软件可以具有多个不同名称,因此哈希值非常有用,因为它能够唯一标识恶意软件。查找有关来自其他来源的恶意软件的信息时,可以使用哈希值。

要更改此策略的当前文件哈希设置,请执行以下操作:

  1. 清除缺省已继承复选框。(缺省对根策略显示,而已继承对子策略显示)。

    选择已继承时,将从当前策略的父策略继承文件哈希设置。

    选择缺省时,趋势科技服务器深度安全防护系统不会计算任何哈希值。

  2. 选择计算所有防恶意软件事件的哈希值
  3. 缺省情况下,趋势科技服务器深度安全防护系统将使用生成的 SHA-1 哈希值。如果要生成其他哈希值,可以选择 MD5SHA256 中的一个或两个。
  4. 还可以更改将为其计算哈希值的恶意软件文件的最大大小。缺省设置是跳过大小超过 128 MB 的文件,但您可以将值更改为介于 64 MB 到 512 MB 之间的任意值。

识别的文件

除了只列出在此计算机上识别的文件外,已识别文件的显示方式与它们在趋势科技服务器深度安全防护系统管理中心主窗口中的显示方式相同。有关更多信息,请参阅识别的文件

事件

除了只显示与此策略或特定计算机相关的事件外,防恶意软件事件的显示方式与它们在趋势科技服务器深度安全防护系统管理中心主窗口中的显示方式相同。有关更多信息,请参阅防恶意软件事件

联系技术支持
支持
联系 eSupport
趋势科技成功案例
了解漏洞
威胁百科全书