bmonit
行为监控会不断地监控端点上的操作系统或已安装软件是否发生了异常修改。行为监控通过恶意软件行为阻止和事件监控来保护端点。用户配置的例外列表和安全软件认证服务是对这两种功能的完善。
重要!
行为监控仅支持 32 位平台。
缺省情况下,行为监控在 32 位版本的 Windows Server 2003 和 Windows Server 2008 上是禁用的。在这些服务器平台上启用行为监控之前,请先阅读客户端服务中所列的指导和最佳做法。
恶意软件行为阻止提供了一个必需的额外威胁保护层以防御存在恶意行为的程序。它会观察一段时间内的系统事件。当程序执行不同的操作组合或操作序列时,恶意软件行为阻止将检测已知的恶意行为并阻止关联的程序。使用此功能可以确保提供更高级别的保护,以防御未知的新威胁和新出现的威胁。
如果阻止了某个程序且启用了通知,防毒墙网络版会在客户端计算机上显示通知。有关通知的详细信息,请参阅针对客户端用户的行为监控通知。
事件监控提供了一种更为常规的方法来抵御未授权软件和恶意软件攻击。它监控系统区域中的某些事件,并允许管理员调整触发此类事件的程序。如果您的特定系统保护要求高于恶意软件行为阻止提供的要求,请使用事件监控。
监控的系统事件包括:
|
事件 |
描述 |
|
重复的系统文件 |
许多恶意程序使用 Windows 系统文件所用的文件名创建其自身或其他恶意程序的副本。通常,这样做是为了覆盖或替换系统文件、避免检测或防止用户删除恶意文件。 |
|
Hosts 文件修改 |
Hosts 文件使域名与 IP 地址相匹配。许多恶意程序修改 Hosts 文件,以将 Web 浏览器重定向到受感染的、不存在的或假 Web 站点。 |
|
可疑行为 |
可疑行为可以是某个特定操作,也可以是一系列操作,合法程序几乎不会执行这种行为。使用存在可疑行为的程序时,应小心谨慎。 |
|
新 Internet Explorer 插件 |
间谍软件/灰色软件程序经常会安装不需要的 Internet Explorer 插件,包括工具栏和浏览器助手对象。 |
|
Internet Explorer 设置修改 |
许多病毒/恶意软件更改 Internet Explorer 设置,包括主页、受信任的 Web 站点、代理服务器设置和菜单扩展。 |
|
安全策略修改 |
通过修改 Windows 安全策略可允许运行不需要的应用程序和更改系统设置。 |
|
程序库注入 |
许多恶意程序配置 Windows 以使所有应用程序自动加载某个程序库 (DLL)。这样,每次启动应用程序时,都将运行该 DLL 中的恶意例程。 |
|
Shell 修改 |
许多恶意程序修改 Windows Shell 设置以将自身与某些文件类型相关联。此例程允许恶意程序在用户在 Windows Explorer 中打开关联的文件时自动启动。更改 Windows Shell 设置还可以允许恶意程序跟踪使用的程序和启动并行的合法应用程序。 |
|
新服务 |
Windows 服务是具有特殊功能的进程,通常使用完全管理权限在后台持续运行。有时,恶意程序将自己作为服务安装以保持隐藏状态。 |
|
系统文件修改 |
某些 Windows 系统文件确定系统行为,包括启动程序和屏幕保护程序设置。许多恶意程序修改系统文件以在启动时自动启动并控制系统行为。 |
|
防火墙策略修改 |
Windows 防火墙策略确定具有网络访问权限的应用程序、通信时打开的端口以及可与计算机通信的 IP 地址。许多恶意程序修改策略以允许自身访问网络和 Internet。 |
|
系统进程修改 |
许多恶意程序对内置 Windows 进程执行各种操作。这些操作可能包括终止或修改正在运行的进程。 |
|
新启动程序 |
许多恶意程序配置 Windows 以使所有应用程序自动加载某个程序库 (DLL)。这样,每次启动应用程序时,都将运行该 DLL 中的恶意例程。 |
当事件监控检测到监控的系统事件时,它将执行针对此事件所配置的处理措施。可以从以下处理措施中进行选择:
|
监控的系统事件的处理措施 |
|
处理措施 |
描述 |
|
评估 |
防毒墙网络版始终允许与事件相关联的程序,但在日志中记录此处理措施以进行评估。 这是对所有监控的系统事件的缺省处理措施。 |
|
允许 |
防毒墙网络版始终允许与事件相关联的程序。 |
|
必要时询问 |
防毒墙网络版提示用户允许或拒绝与事件相关联的程序并将相应程序添加到例外列表。 如果用户在特定的时间段内未响应,防毒墙网络版将自动允许此程序运行。缺省时间段为 30 秒。要修改此时间段,请参阅修改允许程序运行之前的时间段。 |
|
拒绝 |
防毒墙网络版始终阻止与事件相关联的程序,并在日志中记录此处理措施。 如果阻止了某个程序且启用了通知,防毒墙网络版会在客户端计算机上显示通知。有关通知的详细信息,请参阅针对客户端用户的行为监控通知。 |
行为监控例外列表包含不受行为监控所监控的程序。
允许的程序:此列表中的程序可以运行。对于允许的程序,在最终允许其运行之前,其他防毒墙网络版功能(如基于文件的扫描)仍会对其进行检查。
阻止的程序:此列表中的程序永远无法启动。要配置此列表,应启用事件监控。
从 Web 控制台配置例外列表。您也可以授予用户从客户端控制台配置他们各自的例外列表的权限。有关详细信息,请参阅行为监控权限。
联网计算机 > 客户端管理
在客户端树中,单击根域图标 
以包含所有客户端,或者选择特定域或客户端。
单击设置 > 行为监控设置。
选择启用恶意软件行为阻止。
配置事件监控设置。
选择启用事件监控。
选择要监控的系统事件,并为每个所选事件选择一项处理措施。有关监控的系统事件和处理措施的信息,请参阅事件监控。
配置例外列表。
在输入程序完整路径下,键入要允许或阻止的程序的完整路径。使用半角分号 (;) 分隔多个条目。例外列表支持通配符和 UNC 路径。
单击允许程序或阻止程序。
防毒墙网络版最多可接受 100 个允许的程序和 100 个阻止的程序。
要从列表中移除阻止的或允许的程序,请单击程序旁边的垃圾桶图标 
。
如果在客户端树中选择了域或客户端,请单击保存。如果单击了根域图标,请从下列选项进行选择:
应用到全部客户端:将设置应用到所有现有客户端和添加到现有/将来域的任何新客户端。将来域是在您配置设置时还未创建的域。
仅应用到将来的域:仅将设置应用到添加到将来域的客户端。此选项不会将设置应用到添加到现有域的新客户端。
联网计算机 > 全局客户端设置
仅当事件监控已启用,并且监控的系统事件的处理措施是“必要时询问”时,此设置才起作用。此处理措施提示用户允许或拒绝与事件关联的程序。如果用户在特定的时间段内未响应,防毒墙网络版将自动允许此程序运行。
有关详细信息,请参阅事件监控。
转至行为监控设置部分。
在如果客户端在 __ 秒内未响应,则自动允许程序内指定时间段。
单击保存。
安全软件认证服务查询趋势科技数据中心,以验证由恶意软件行为阻止或事件监控检测到的程序的安全性。启用安全软件认证服务可降低误判检测的可能性。
请先确保客户端的客户端代理服务器设置正确,然后再启用安全软件认证服务。不正确的代理服务器设置和不稳定的 Internet 连接都会导致从趋势科技数据中心接收响应延迟或不成功,从而导致受监控程序看上去处于无响应状态。
另外,纯 IPv6 客户端无法直接从趋势科技数据中心进行查询。为允许客户端连接到趋势科技数据中心,需要可转换 IP 地址的双栈代理服务器(如 DeleGate)。
联网计算机 > 全局客户端设置
转至行为监控设置部分。
选择启用安全软件认证服务选项。
单击保存。
另请参阅: