恶意软件扫描配置
恶意软件扫描配置是可重用的已保存设置,在策略中或为计算机配置防恶意软件时可应用这些设置。恶意软件扫描配置指定了趋势科技服务器深度安全防护系统将执行的恶意软件扫描类型以及将扫描的文件。您可以根据自己的需求设置多个恶意软件扫描配置。
创建或编辑恶意软件扫描配置
转至策略 > 通用对象 > 其他 > 恶意软件扫描配置。
趋势科技服务器深度安全防护系统附带一些预定义的恶意软件扫描配置。在“恶意软件扫描配置”页面上,您可以执行以下操作:
- 双击现有的扫描配置以查看并编辑其属性。下一节介绍这些属性。
- 选择一个配置并单击复制,以创建可单独进行编辑的副本。
- 通过依次单击新建和新建实时扫描配置或新建手动/预设扫描配置创建新配置。有关实时扫描、手动扫描和预设扫描之间的区别的信息,请参阅通过四个步骤保护服务器免受恶意软件攻击。
恶意软件扫描配置属性
创建或编辑恶意软件扫描配置时,可为配置设置的属性分别位于以下选项卡中:
存在以下两种恶意软件扫描配置:实时扫描和手动/预设扫描。虽然大多数的操作适用于这两种类型的扫描,但是有些操作(如拒绝访问)仅适用于实时扫描,而其他选项(如 CPU 使用率)仅适用于手动/预设扫描。
常规
常规信息
恶意软件扫描配置的名称和描述,以及这是实时扫描还是手动扫描/预设扫描。有关实时扫描、手动扫描和预设扫描之间的区别的信息,请参阅通过四个步骤保护服务器免受恶意软件攻击。
文档利用防护
如果希望趋势科技服务器深度安全防护系统扫描嵌入式利用代码和已知漏洞,请选择扫描文档中有无利用。然后可以选择以下选项:
- 仅扫描对已知严重漏洞的利用:仅检测已知的严重漏洞。
- 扫描对已知严重漏洞的利用和未知可疑利用的主动型检测:将检测更多问题,但是也可能导致更多误报。如果要自动将文件提交到深度发现分析器,您必须选择此选项。
这些选项是已连接的威胁防御功能的一部分。有关更多信息,请参阅使用已连接的威胁防御检测新出现的威胁。
行为监控
行为监控可提高恶意软件和勒索软件的检测率与清除率。利用这些设置,您可以识别匹配的恶意软件特征码之外的可疑文件,这些可疑文件可能包含新出现的、尚未添加到恶意软件特征码中的恶意软件(称为零时差攻击)。
- 检测可疑活动和未经授权的更改 (包括勒索软件):启用具有行为监控的增强防恶意软件和勒索软件扫描中所述的威胁检测、防入侵和勒索软件检测功能。
- 备份和恢复勒索软件加密的文件:选择此选项时,趋势科技服务器深度安全防护系统将创建正在加密的文件的备份副本,以防文件被勒索软件进程加密。
端点相关性
某些恶意软件制造者会使用包装程序文件提供恶意软件,并躲避常规扫描检测。当执行包装程序文件时,它经常会创建或删除其他文件或进程。
如果选择使用终端相关性来识别检测到的恶意软件的原始文件,趋势科技服务器深度安全防护系统将识别并防止这些类型的威胁。端点相关性会分析恶意软件爆发的“犯罪链”(或感染链),并且可以为视为可疑但尚未加入恶意软件签名特征码的恶意软件协同程序文件触发链清除。
间谍软件和灰色软件
选择启用间谍软件/灰色软件防护时,间谍软件扫描引擎将扫描间谍软件和灰色软件并隔离可疑文件。
IntelliTrap
启用 IntelliTrap 选项仅对实时扫描可用。病毒制造者经常尝试通过使用实时压缩算法来避开病毒过滤。IntelliTrap 可阻止实时压缩的可执行文件并将它们与其他恶意软件特征进行配对,以帮助减少此类病毒进入网络的风险。
进程内存扫描
恶意软件制造者经常会使用定制加壳软件,来欺骗基于文件的防恶意软件引擎并绕开检测。典型的病毒特征码会被构建成二进制计算机代码,并且此计算机代码可以使用打包工具重新打包。由于大多数传统的防恶意软件检测都是基于病毒签名,因此对病毒计算机代码进行重新打包可以绕开传统检测。
如果选择扫描进程内存中是否有恶意软件选项,趋势科技服务器深度安全防护系统会实时监控进程内存,而且一旦确定进程可疑,趋势科技服务器深度安全防护系统便会使用趋势科技云安全智能防护网络执行其他检查,确定此进程是否是已知的恶意进程。如果这些检查确定此进程是恶意进程,趋势科技服务器深度安全防护系统将终止正在运行的进程。
警报
如果希望趋势科技服务器深度安全防护系统在恶意软件扫描配置每次触发事件时引发警报,请选择此恶意软件扫描配置记录事件时发出警报。
包含
要扫描的目录:指定要对其扫描恶意软件的目录。可以扫描所有目录或选择已定义的目录列表。
要扫描的文件:指定要对其扫描恶意软件的文件。在所有文件和由 IntelliScan 扫描的文件类型之间进行选择,或选择已定义的文件扩展名列表(选择此选项时会扫描具有列表中定义的扩展名的所有文件)。
排除
允许您排除对特定目录、文件及文件扩展名的扫描。例如,如果要为 Microsoft Exchange Server 创建恶意软件扫描配置,则应该排除 SMEX 隔离文件夹以避免重新扫描已确认为恶意软件的文件。
用于定义目录列表排除的语法如下:
排除 | 格式 | 描述 | 示例 |
目录 | DIRECTORY | 排除指定目录中的所有文件以及所有子目录中的所有文件。 | C:\Program Files\ 排除 "Program Files" 目录以及所有子目录中的所有文件。 |
包含通配符 (*) 的目录 | DIRECTORY\*\ | 排除具有任意子目录名称的所有子目录,但不排除指定目录中的文件。 | C:\abc\*\ 排除所有 "abc" 子目录中的所有文件,但不排除 "abc" 目录中的文件。 C:\abc\wx*z\ 匹配: C:\abc\wxz\ C:\abc\wx123z\ 不匹配: C:\abc\wxz C:\abc\wx123z C:\abc\*wx\ 匹配: C:\abc\wx\ C:\abc\123wx\ 不匹配: C:\abc\wx C:\abc\123wx |
包含通配符 (*) 的目录 | DIRECTORY\* | 排除具有匹配名称的所有子目录,但不排除该目录以及所有子目录中的文件。 | C:\abc\* 匹配: C:\abc\ C:\abc\1 C:\abc\123 不匹配: C:\abc C:\abc\123\ C:\abc\123\456 C:\abx\ C:\xyz\ C:\abc\*wx 匹配: C:\abc\wx C:\abc\123wx 不匹配: C:\abc\wx\ C:\abc\123wx\ C:\abc\wx*z 匹配: C:\abc\wxz C:\abc\wx123z 不匹配: C:\abc\wxz\ C:\abc\wx123z\ C:\abc\wx* 匹配: C:\abc\wx C:\abc\wx\ C:\abc\wx12 C:\abc\wx12\345\ C:\abc\wxz\ 不匹配: C:\abc\wx123z\ |
环境变量 | ${ENV VAR} | 排除由格式为 ${ENV VAR} 的环境变量定义的所有文件和子目录。对于虚拟设备,必须在策略或计算机编辑器 > 设置 > 常规 > 环境变量覆盖中定义环境变量的值对。 | ${windir} 如果该变量解析为 "c:\windows",请排除 "c:\windows" 及其所有子目录中的所有文件。 |
注释 | DIRECTORY #注释 | 允许您向排除定义添加注释。 | c:\abc #Exclude the abc directory |
用于定义文件列表排除的语法如下:
排除 | 格式 | 描述 | 示例 |
文件 | FILE | 排除具有指定文件名的所有文件,无论这些文件位于何位置或目录。 | abc.doc 排除所有目录中名为 "abc.doc" 的所有文件。不排除 "abc.exe"。 |
文件路径 | FILEPATH | 排除由文件路径指定的特定文件。 | C:\Documents\abc.doc 仅排除 "Documents" 目录中名为 "abc.doc" 的文件。 |
包含通配符 (*) 的文件路径 | FILEPATH | 排除由文件路径指定的所有特定文件。 | C:\Documents\abc.co*(仅限 Windows 平台)排除 "Documents" 目录中文件名为 "abc" 且文件扩展名以 ".co" 开头的任何文件。 |
包含通配符 (*) 的文件 | FILE* | 排除文件名中具有匹配特征码的所有文件。 | abc*.exe 排除前缀为 "abc" 且扩展名为 ".exe" 的任何文件。 *.db 匹配: 123.db abc.db 不匹配: 123db 123.abd cbc.dba *db 匹配: 123.db 123db ac.db acdb db 不匹配: db123 wxy*.db 匹配: wxy.db wxy123.db 不匹配: wxydb |
包含通配符 (*) 的文件 | FILE.EXT* | 排除文件扩展名中具有匹配特征码的所有文件。 | abc.v* 排除文件名为 "abc" 且文件扩展名以 ".v" 开头的任何文件。 abc.*pp 匹配: abc.pp abc.app 不匹配: wxy.app abc.a*p 匹配: abc.ap abc.a123p 不匹配: abc.pp abc.* 匹配: abc.123 abc.xyz 不匹配: wxy.123 |
包含通配符 (*) 的文件 | FILE*.EXT* | 排除文件名及扩展名中具有匹配特征码的所有文件。 | a*c.a*p 匹配: ac.ap a123c.ap ac.a456p a123c.a456p 不匹配: ad.aa |
环境变量 | ${ENV VAR} | 排除由格式为 ${ENV VAR} 的环境变量指定的文件。可从策略或计算机编辑器 > 设置 > 常规 > 环境变量覆盖定义或覆盖这些文件。 | ${myDBFile} 排除文件 "myDBFile"。 |
注释 | FILEPATH #注释 | 允许您向排除定义添加注释。 | C:\Documents\abc.doc #This is a comment |
用于定义文件扩展名列表排除的语法如下:
排除 | 格式 | 描述 | 示例 |
文件扩展名 | EXT | 排除文件扩展名匹配的所有文件。 | doc 排除所有目录中扩展名为 ".doc" 的所有文件。 |
注释 | EXT #Comment | 允许您向排除定义添加注释。 | doc #This a comment |
用于定义进程镜像文件列表排除(仅限实时扫描)的语法如下:
排除 | 格式 | 描述 | 示例 |
文件路径 | FILEPATH | 排除文件路径指定的特定进程镜像文件。 | C:\abc\file.exe 仅排除 "abc" 目录中文件名为 "file.exe" 的文件。 |
高级
实时扫描
选择是在打开文件进行读取还是写入(或两者)时扫描文件。
扫描压缩文件
如果希望恶意软件扫描对压缩文件(例如 .zip 文件)进行扫描,请选择扫描压缩文件。然后可以设置以下选项:
- 单个提取文件的最大大小:趋势科技服务器深度安全防护系统将扫描的压缩归档中各个文件的最大大小。
扫描采用多层压缩的大型文件可能会影响性能。
- 最大压缩级别: 文件或文件组可以进行多层压缩。通过此选项,您可以指定希望趋势科技服务器深度安全防护系统扫描的压缩级别数。
- 要提取的文件的最大数量:趋势科技服务器深度安全防护系统将从压缩归档中提取并扫描的文件的最大数量。
扫描嵌入式 Microsoft Office 对象
某些 Microsoft Office 版本使用对象链接和嵌入 (OLE) 将文件和其他对象插入到 Office 文件中。这些嵌入的对象可能包含恶意代码。要扫描这些嵌入式对象,请选择扫描嵌入式 Microsoft Office 对象。
然后可以指定要扫描的 OLE 层的数量。由于嵌入的对象可能包含其他对象,因此在单个 Office 文件中可能存在多个嵌入层。为减轻对性能的影响,可以选择仅扫描每个文件中几个嵌入对象层。
阻止操作
在大多数情况下,趋势科技服务器深度安全防护系统所使用的推荐的缺省阻止操作是合适的。但是,如果要定制趋势科技服务器深度安全防护系统在遇到恶意软件时采取的处理措施,请选择定制。然后可以指定趋势科技服务器深度安全防护系统应使用 ActiveAction 推荐的操作还是使用定制操作(您随后可以定义处理措施)。
如果选择使用 ActiveAction 确定的处理措施,则趋势科技服务器深度安全防护系统可以自动决定在检测到恶意软件时执行的处理措施。 ActiveAction 是针对每种恶意软件类别进行了优化的一组预定义的清理处理措施。Trend Micro趋势科技不断调整 ActiveAction 中的处理措施以确保正确处理各个检测。
下表列出了 ActiveAction 可采取的处理措施:
恶意软件类型 | 实时扫描 | 手动/预设扫描 | 注意 |
病毒 | 清除 | 清除 | 病毒可以通过插入恶意代码感染正常文件。通常,只要打开受感染的文件,恶意代码就会自动运行,除了感染其他文件外,还会传送有效载荷。一些更常见的病毒类型包括 COM 和 EXE 感染源、宏病毒和引导扇区病毒。 |
特洛伊木马 | 隔离 | 隔离 | 特洛伊木马是没有文件感染能力的非感染可执行恶意文件。 |
加壳软件 | 隔离 | 隔离 | 加壳软件是压缩和加密后的可执行程序。为避开检测,恶意软件作者通常打包经多层压缩和加密的现有恶意软件。防恶意软件检查可执行文件以查找与恶意软件关联的压缩特征码。 |
间谍软件 | 隔离 | 隔离 | 虽然可能合法,但是灰色软件会表现出与间谍软件类似且可能不需要的行为。 |
CVE 利用 | 隔离 | 隔离 | 与“仅扫描对已知严重漏洞的利用”设置相关。由于此设置在检测有效漏洞方面具有较高可信度,因此缺省处理措施是隔离。 |
主动型检测规则 | 不予处理 | 不予处理 | 与“扫描对已知严重漏洞的利用和未知可疑利用的主动型检测”设置相关。此设置可检测更多问题,但也可能导致更多误报,因此缺省处理措施是引发事件。 |
Cookie | N/A | 删除 | Cookie 是由 Web 浏览器存储的文本文件,它们会随每个 HTTP 请求一起传输回 Web 服务器。Cookie 可以包含认证信息、首选项以及 SQL 注入和 XSS 入侵(在受到来自受感染服务器的已存储攻击的情况下)。 |
其他威胁 | 清除 | 清除 | “其他威胁”类别包括显示错误通知或操控屏幕行为但通常无害的恶作剧程序。 |
可能的恶意软件 | ActiveAction | ActiveAction | 可能的恶意软件是显示可疑特性但无法分类为特定恶意软件变种的文件。检测到可能的恶意软件时,趋势科技建议您联系支持提供商获取帮助以进一步分析文件。 |
或者,您也可以选择使用定制操作,并手动指定您希望趋势科技服务器深度安全防护系统在检测到恶意软件时采取的处理措施。趋势科技服务器深度安全防护系统在遇到受感染文件时会采取以下五种可能的处理措施:
- 不予处理:允许完全访问受感染文件,不对文件执行任何操作。(仍将记录防恶意软件事件。)
- 清除:在允许完全访问文件之前清除可清除的文件。(不适用于“可能的恶意软件”。)
- 删除:删除受感染文件。
- 拒绝访问:仅可在实时扫描期间执行此扫描处理措施。当趋势科技服务器深度安全防护系统检测到打开或执行受感染文件的尝试时,它会立即阻止该操作。如果在执行手动/预设扫描期间应用已选定“拒绝访问”选项的恶意软件扫描配置,则将应用“不予处理”处理措施,并记录防恶意软件事件。
- 隔离:将文件移动到计算机或虚拟设备上的隔离目录中。(隔离后,您可以将文件下载到选定位置。有关更多信息,请参阅识别的文件。)
网络目录扫描
如果要扫描网络共享和映射网络驱动器中的文件和文件夹,请选择启用网络目录扫描。此选项仅对实时扫描可用。
CPU 使用率
指定分配给趋势科技服务器深度安全防护系统客户端计算机上的扫描的 CPU 资源:
- 高:逐个扫描文件而不暂停
- 中:在整体 CPU 使用率超过 50% 时暂停
- 低:在整体 CPU 使用率超过 20% 时暂停
已分配给
指示正在使用此恶意软件扫描配置的策略和计算机。