虚拟设备扫描缓存

不适用于趋势科技服务器深度安全防护系统即服务

扫描缓存由虚拟设备用于最大限度地提高虚拟机防恶意软件扫描和完整性监控扫描的效率。扫描缓存通过在大型 VMware 部署的多个 VM 中消除对相同内容进行不必要的扫描来提高扫描的效率。扫描缓存包含趋势科技服务器深度安全防护系统防护模块已扫描的文件和其他扫描目标的列表。如果确定虚拟机上的扫描目标与已扫描的目标相同,则虚拟设备不会再次扫描该目标。用于确定实体是否相同的属性包括创建时间、修改时间、文件大小和文件名。对于实时扫描缓存,趋势科技服务器深度安全防护系统将读取部分文件内容来确定两个文件是否相同。有一个使用文件更新序列号(USN,仅限 Windows)的选项设置,但仅限于克隆的虚拟机。

扫描缓存通过在克隆虚拟机或类似虚拟机中共享完整性监控扫描结果来使完整性监控受益。

扫描缓存通过加快后续扫描的速度来使克隆虚拟机或类似虚拟机的恶意软件手动扫描受益。

扫描缓存通过加快克隆虚拟机或类似虚拟机的启动过程扫描和应用程序访问扫描速度来使恶意软件实时扫描受益。

扫描缓存配置

扫描缓存配置是各种设置的集合,用于确定到期时间、更新序列号 (USN) 的使用、要排除的文件以及要包括的文件。

使用相同扫描缓存配置的虚拟机还会共享相同的扫描缓存。

通过转至管理 > 系统设置 > 高级 > 扫描缓存配置并单击查看扫描缓存配置,可以查看现有扫描缓存配置的列表。趋势科技服务器深度安全防护系统附带若干预配置的缺省扫描缓存配置。虚拟设备将根据受保护虚拟机的属性以及正在执行的扫描类型自动执行这些配置。

到期时间可确定扫描缓存中各个条目的期限。缺省的建议设置为:手动(按需)或预设恶意软件扫描为一天,实时恶意软件扫描为 15 分钟,而完整性监控扫描为一天。

使用 USN (仅限 Windows) 指定是否利用 Windows NTFS 更新序列号,该序列号是用于记录单个文件更改的 64 位号码。此选项仅针对克隆的 VM 设置。

包括的文件排除的文件是正则表达式特征码以及要包括在扫描缓存中或从中排除的文件的列表。要扫描的文件首先应该与包括列表匹配。

可以根据名称来标识各个文件和文件夹,或使用通配符("*" 和 "?")以单个表达式的形式来引用多个文件和位置。(使用 "*" 表示零个或多个字符,使用问号 "?" 表示任意单个字符。)

包括列表和排除列表仅可以确定文件的扫描是否利用扫描缓存功能。这些列表不会阻止文件以传统方法进行扫描。

恶意软件扫描缓存配置

要选择哪个扫描缓存配置由虚拟机使用,请打开计算机或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。并转至防恶意软件 > 高级 > VM 扫描缓存。可以选择哪个扫描缓存配置用于恶意软件实时扫描,哪个扫描缓存配置用于手动和预设扫描。

完整性监控扫描缓存配置

要选择哪个扫描缓存配置由虚拟机使用,请打开计算机或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。 要更改计算机的设置,请转至“计算机”页面并双击要编辑的计算机(或者选择计算机并单击“详细信息”)。并转至完整性监控 > 高级 > VM 扫描缓存

扫描缓存设置

扫描缓存设置不包含在扫描缓存配置设置中,因为它们确定的是虚拟设备管理扫描缓存的方式,而不是执行扫描缓存的方式。扫描缓存设置在策略级别进行控制。您可以通过打开策略编辑器要打开策略编辑器,请转至“策略”页面并双击要编辑的策略(或者选择策略并单击“详细信息”)。并转至设置 > 常规 > 虚拟设备扫描区域来找到扫描缓存设置。

最大并发扫描数可确定虚拟设备将同时执行的扫描数。建议的数量为 5。如果您将此数量增加至 10 以上,扫描性能可能会开始降低。扫描请求由虚拟设备进行排队,并按照到达的先后顺序执行。该设置适用于手动扫描与预设扫描。

恶意软件按需扫描的最大缓存条目数可确定“恶意软件手动扫描”或“恶意软件预设扫描”的最大记录数,这些记录用于标识并描述要保存的文件或其他类型的可扫描内容。一百万个条目将使用约 100MB 的内存。

恶意软件实时扫描的最大缓存条目数可确定“恶意软件实时扫描”的最大记录数,这些记录用于标识并描述要保存的文件或其他类型的可扫描内容。一百万个条目将使用约 100MB 的内存。

完整性监控扫描的最大缓存条目数可确定完整性监控的最大实体(包括在完整性监控的基线数据中)数量。二十万个实体将使用约 100MB 的内存。

应该何时更改缺省配置或设置?

扫描缓存旨在避免重复扫描相同的文件。趋势科技服务器深度安全防护系统不会检查所有文件的全部内容来确定文件是否一致。尽管配置为执行如此操作时,趋势科技服务器深度安全防护系统会检查文件的 USN 值,但在实时扫描期间它只会读取部分文件内容,通常是检查文件的属性来确定文件是否相同。对于某些恶意软件而言,更改文件然后将这些文件的属性恢复到文件修改之前的状态是很困难的,但并非不可能。

趋势科技服务器深度安全防护系统可通过建立较短的缺省缓存到期时间来限制此潜在漏洞。为加强安全性,您可以使用更短的缓存到期时间,也可以使用 USN,但这样做会降低性能或需要更大的缓存设置。为让想要保持独立且从不共享扫描结果的 VM 达到最强的安全性,您可以为这些 VM 创建专用策略,例如将其保存在单独的区域中。如果不同部门或组织之间共享相同的基础架构,这可能非常适用。(将为不同租户自动执行此操作。)

如果每台主机拥有大量 VM(例如,VDI 环境),则应该在扫描期间监控磁盘 I/O 和 CPU 使用情况。如果扫描已花费很长的时间,则可能需要增加缓存大小或调整缓存扫描设置以获取所需性能。如果想要增加缓存大小,则可能需要相应地调整虚拟设备系统内存。

联系技术支持
支持
联系 eSupport
趋势科技成功案例
了解漏洞
威胁百科全书