bmonit
行為監控會不斷地監控端點上的作業系統或已安裝軟體是否發生了異常修改。行為監控透過惡意程式行為封鎖和事件監控來保護端點。這兩個功能搭配使用者已設定的例外清單和認證安全防護軟體服務更是相得益彰。
重要!
行為監控僅支援 32 位元平台。
依預設,32 位元版本的 Windows Server 2003 和 Windows Server 2008 會關閉行為監控。在這些伺服器平台上啟動行為監控之前,請先閱讀用戶端服務中所列的指導方針和最佳做法。
惡意程式行為封鎖能夠提供多一層的必要安全威脅防護,以封鎖存在惡意行為的程式。它會觀察一段時間內的系統事件。當程式執行不同的動作組合或動作序列時,惡意程式行為封鎖會偵測已知的惡意行為並封鎖關聯程式。使用此功能可以確保提供更高等級的保護,以抵禦全新的、不明的和新興的的安全威脅。
如果封鎖了某個程式且啟動了通知,OfficeScan 將在用戶端電腦上顯示通知。如需有關通知的詳細資訊,請參閱用戶端使用者的行為監控通知。
事件監控提供了一種更為通用的方法來抵禦未授權軟體和惡意程式攻擊。它會在系統區域中監控某些事件,允許管理員調整觸發此類事件的程式。如果您的特定系統保護需求高於惡意程式行為封鎖提供的需求,請使用事件監控。
監控的系統事件包括:
|
事件 |
說明 |
|
重複的系統檔案 |
許多惡意程式皆有能力以 Windows 系統檔案所使用的檔案名稱,建立本身或其他惡意程式的副本。其用意通常為覆寫或取代系統檔案、規避偵測或防止使用者刪除惡意檔案。 |
|
主機檔案的修改 |
主機檔案會比對網域名稱與 IP 位址。許多惡意程式皆有能力修改主機檔案,而使網路瀏覽器重新導向至中毒、不存在或偽造的網站。 |
|
可疑行為 |
可疑行為是指合法程式不太可能會做出的某個特定或一連串處理行動。使用出現可疑行為的程式時應謹慎。 |
|
新增 Internet Explorer 外掛程式 |
間諜程式/可能的資安威脅程式常會安裝不需要的 Internet Explorer 外掛程式,包括工具列與「瀏覽器協助物件」。 |
|
Internet Explorer 設定的修改 |
許多病毒/惡意程式皆有能力變更 Internet Explorer 設定,包括首頁、信任的網站、Proxy 伺服器設定和功能表擴充項目等。 |
|
安全策略的修改 |
Windows 安全策略若遭修改,不需要的應用程式即可執行並變更系統設定。 |
|
程式庫植入 |
許多惡意程式皆有能力設定 Windows,而使所有應用程式自動載入程式庫 (DLL)。如此將使 DLL 中的惡意常式得以隨著應用程式啟動而執行。 |
|
Shell 的修改 |
許多惡意程式皆有能力修改 Windows Shell 設定,使其與特定檔案類型產生關聯。此常式將使惡意程式在使用者以 Windows 檔案總管開啟關聯的檔案時自動啟動。Windows Shell 設定變更後,也將使惡意程式得以追蹤所使用的程式,並隨著合法應用程式而啟動。 |
|
新增服務 |
Windows 服務是具有特殊功能的處理程序,通常會以完整的管理存取權持續在背景中執行。惡意程式有時會自行安裝為服務,並隱藏起來。 |
|
系統檔案的修改 |
某些 Windows 系統檔案可決定系統行為,包括啟動程式和畫面保護程式設定。許多惡意程式皆有能力修改系統檔案,進而在開機時自動啟動並控制系統行為。 |
|
防火牆策略的修改 |
Windows 防火牆策略可決定可存取網路的應用程式、可供通訊使用的通訊埠以及可與電腦通訊的 IP 位址。許多惡意程式皆有能力修改策略,進而存取網路和 Internet。 |
|
系統程序修改 |
許多惡意程式會在內建 Windows 程序上執行各種處理行動。這些處理行動可能包括終止或修改執行中的程序。 |
|
新的啟動程式 |
許多惡意程式皆有能力設定 Windows,而使所有應用程式自動載入程式庫 (DLL)。如此將使 DLL 中的惡意常式得以隨著應用程式啟動而執行。 |
當事件監控偵測到監控的系統事件時,它會執行針對此事件所設定的處理行動。您可以從以下處理行動中進行選擇:
|
監控的系統事件的處理行動 |
|
處理行動 |
說明 |
|
評估 |
OfficeScan 一律允許與事件相關聯程式,但在記錄檔中記錄此處理行動以便評估。 這是對所有監控的系統事件的預設處理行動。 |
|
允許 |
OfficeScan 一律允許與事件相關聯程式。 |
|
需要時詢問 |
OfficeScan 會提示使用者允許或拒絕與事件相關聯程式,並將該程式新增到例外清單。 如果使用者在特定的時間內未回應,OfficeScan 會自動允許此程式執行。預設時間為 30 秒。如果要修改此時間長度,請參閱如果要修改允許程式執行之前的時間長度:。 |
|
拒絕 |
OfficeScan 一律封鎖與某個事件相關聯的程式,並在記錄檔中記錄此處理行動。 如果封鎖了某個程式且啟動了通知,OfficeScan 將在用戶端電腦上顯示通知。如需有關通知的詳細資訊,請參閱用戶端使用者的行為監控通知。 |
行為監控例外清單包含不受行為監控所監控的程式。
核可的程式:可以執行此清單中的程式。核可的程式仍需經過其他 OfficeScan功能(如 File-based 掃描)的檢查,最後才會允許其執行。
封鎖的程式:始終無法啟動此清單中的程式。如果要設定此清單,必須啟動事件監控。
從 Web 主控台設定例外清單。您也可以授與使用者權限,讓他們可以從用戶端主控台設定自己的例外清單。如需詳細資訊,請參閱行為監控權限。
「網路上的電腦│用戶端管理」
在用戶端樹狀結構中,按一下根網域圖示 
以包含全部用戶端,或者選取特定域或用戶端。
按一下「設定|行為監控設定」。
選取「啟動惡意程式行為封鎖」:
設定事件監控設定。
選取「啟動事件監控」。
選擇要監控的系統事件,並針對所選取的每個件選取處理行動。如需有關監控的系統事件和處理行動的資訊,請參閱事件監控。
設定例外清單。
在「輸入程式完整路徑」下,輸入要核可或封鎖的程序完整路徑。請以半形分號 (;) 來分隔多個項目。例外清單支援萬用字元和 UNC 路徑。
按一下「核可的程式」或「封鎖的程式」。
OfficeScan 最多可接受 100 個核可的程式和 100 個封鎖的程式。
如果要從清單中移除封鎖的或核可的程式,請按一下程式旁的垃圾桶圖示 
。
如果在用戶端樹狀結構中選取網域或用戶端,請按一下「儲存」。如果按下了根網域圖示,則從下列選項進行選擇:
套用至所有用戶端:將設定套用至所有現有的用戶端,並套用至任何加入現有/未來網域中的新用戶端。未來網域是指在您設定這些設定時尚未建立的網域。
僅套用於未來網域:僅將設定套用至加入未來網域中的用戶端。這個選項不會將設定套用到加入現有網域中的新用戶端。
「網路上的電腦|全域用戶端設定」
只有在事件監控已啟動,且監控的系統事件的處理行動是「需要時詢問」時,這個設定才有效。此處理行動會提示使用者允許或拒絕與事件相關聯的程式。如果使用者在特定的時間內未回應,OfficeScan 會自動允許此程式執行。
如需詳細資訊,請參閱事件監控。
移至「行為監控設定」區段。
在「如果用戶端在以下時間內沒有回應,則自動允許程式:__ 秒」內指定時間長度。
按一下「儲存」。
認證安全防護軟體服務會查詢趨勢科技資料中心,確認惡意程式行為封鎖或事件監控所偵測到的程式是否安全。啟動「認證安全防護軟體服務」可降低誤判的可能性。
啟動認證安全防護軟體服務之前,請確定用戶端具有正確的用戶端 Proxy 伺服器設定。不正確的 Proxy 設定和 Internet 連線中斷都會導致延誤或無法接收來自趨勢科技資料中心的回應,進而造成受監控程式似乎沒有回應。
另外,單純 IPv6 用戶端無法直接從趨勢科技資料中心進行查詢。如果要使用戶端連線到趨勢科技資料中心,需提供可以轉換 IP 位址的雙堆疊 Proxy 伺服器(如 DeleGate)。
「網路上的電腦|全域用戶端設定」
移至「行為監控設定」區段。
選取「啟動認證安全防護軟體服務」選項。
按一下「儲存」。
請參閱: