安全客户端的扫描目标和处理措施 父主题

为每种扫描类型(手动扫描、预设扫描和实时扫描)配置以下设置:

目标选项卡

选择方法:
  • 所有可扫描文件:包括所有可扫描文件。无法扫描的文件是受密码保护的文件、加密文件或超出用户定义的扫描限制的文件。
    注意
    注意
    此选项提供最大的安全可能性。但扫描所有文件需要占用大量时间和资源,在某些情况下可能是不需要的。因此,您可能希望限制客户端要扫描的文件数量。
  • IntelliScan 使用“真实文件类型”标识:根据真实文件类型扫描文件。请参阅IntelliScan
  • 扫描带以下扩展名的文件:根据文件扩展名手动指定要扫描的文件。多个条目之间用逗号隔开。
选择扫描触发:
  • 读取:扫描正在读取其内容的文件;在打开、执行、复制或移动文件时会读取这些文件。
  • 写入:扫描正在写入其内容的文件;在修改、保存、下载或从其他位置复制文件时会写入该文件的内容。
  • 读取或写入

扫描例外

下列设置是可配置的:
  • 启用或禁用例外
  • 从扫描中排除趋势科技产品目录
  • 从扫描中排除其他目录
    指定目录路径中的所有子目录也将被排除
  • 从扫描中排除带有完整路径的文件名
  • 排除文件扩展名
    文件扩展名中不允许使用通配符,例如 "*"
注意
注意
(仅限邮件与网络安全版)如果客户机上正在运行 Microsoft Exchange Server,趋势科技建议从扫描中排除所有 Microsoft Exchange Server 文件夹。要在全局基础上排除扫描 Microsoft Exchange Server 文件夹,请转到首选项 全局设置 安全客户端 {选项卡} 通用扫描设置,然后选择当安装到 Microsoft Exchange Server 时排除 Microsoft Exchange Server 文件夹

高级设置

扫描类型
选项
实时扫描
扫描 POP3 邮件:缺省情况下,邮件扫描仅能扫描“收件箱”和“垃圾邮件”文件夹中通过端口 110 发送的新邮件。
邮件扫描无法检测 IMAP 邮件中的安全风险。使用邮件安全客户端(仅限邮件与网络安全版)可以检测 IMAP 邮件中的安全风险和垃圾邮件。
实时扫描、手动扫描
扫描网络上的映射驱动器和共享文件夹:选择该项可扫描物理位于其他计算机上但已映射到本地计算机上的目录。
实时扫描
在系统关闭期间扫描软盘
实时扫描
启用 IntelliTrap:IntelliTrap 可检测到压缩文件中的恶意代码,如 bot 程序。请参阅IntelliTrap
实时扫描
在内存中检测到的隔离恶意软件变种:启用实时扫描和行为监控并选择该选项后,将扫描正在运行的进程内存中的压缩恶意软件。“行为监控”检测到的任何打包恶意软件都会被隔离。
实时扫描、手动扫描和预设扫描
扫描压缩文件,最多压缩层数为 __:压缩文件每压缩一次都会生成一个层。如果受感染文件已压缩了多层,则必须扫描其指定数量的压缩层以检测感染情况。但是,扫描多个压缩层会需要更长的时间和更多的资源。
实时扫描、手动扫描和预设扫描
修改间谍软件/灰色软件允许列表:此设置无法从客户端控制台进行配置。
手动扫描、预设扫描
CPU 利用率/扫描速度:安全客户端可以在扫描一个文件之后、开始扫描下一个文件之前暂停。
从以下选项中进行选择:
  • :不间断连续扫描文件
  • :如果 CPU 占用高于 50%,则在文件扫描时暂停,如果等于或低于 50%,则不暂停
  • :如果 CPU 占用高于 20%,则在文件扫描时暂停,如果等于或低于 20%,则不暂停
手动扫描、预设扫描
运行高级清除:安全客户端会停止流氓安全软件(也称为 FakeAV)进行的活动。客户端还可以使用高级清除规则来主动检测并停止存在 FakeAV 行为的应用程序。
注意
注意
提供前瞻性保护的同时,高级清除也会导致大量误报。

间谍软件/灰色软件允许列表

某些应用程序之所以被趋势科技归类为间谍软件/灰色软件,不是因为它们会损害所安装的系统,而是因为它们可能会使客户机或网络面临恶意软件或黑客的攻击。
安全无忧软件包括具有潜在风险的应用程序列表,缺省情况下,将防止在客户机上执行这些应用程序。
如果客户端需要运行被趋势科技归类为间谍软件/灰色软件的任何应用程序,则您需要将该应用程序名称添加到间谍软件/灰色软件允许列表中。

处理措施选项卡

以下是安全客户端可针对病毒/恶意软件执行的处理措施:

病毒/恶意软件扫描处理措施

处理措施
描述
删除
删除受感染文件。
隔离
更名受感染文件,然后将其移动到客户机上的临时隔离目录。
然后,安全客户端会将隔离文件发送至指定的隔离目录(缺省情况下位于安全管理服务器上)。
安全客户端会对发送至此目录的隔离文件进行加密。
如果需要恢复任何隔离文件,请使用 VSEncrypt 工具。
清除
先清除受感染文件,然后才允许对该文件进行完全访问。
如果该文件无法清除,则安全客户端会执行第二种处理措施,其可以是下列任何一种处理措施:隔离、删除、更名和不予处理
可对所有类型的恶意软件执行此处理措施,可能的病毒/恶意软件除外。
注意
注意
某些文件无法清除。有关详细信息,请参阅无法清除的文件
更名
将受感染文件的扩展名更改为 "vir"。用户最初不能打开更名的文件,但是将该文件与特定应用程序关联后,即可打开该文件。
打开更名的受感染文件时,病毒/恶意软件可能会执行。
不予处理
仅在手动扫描和预设扫描期间执行。安全客户端不能在实时扫描期间使用此扫描处理措施,这是因为,如果在检测到打开或执行受感染文件的企图时不执行处理措施,则会允许执行病毒/恶意软件。实时扫描期间可以使用所有其他扫描处理措施。
拒绝访问
仅在实时扫描期间执行。如果安全客户端检测到打开或执行受感染文件的企图,它会立即阻止该操作。
用户可以手动删除受感染文件。
安全客户端执行的扫描处理措施取决于检测到间谍软件/灰色软件的扫描类型。虽然可以为每种病毒/恶意软件类型配置特定的处理措施,但是只能为所有类型的间谍软件/灰色软件配置一种处理措施。例如,如果安全客户端在手动扫描(扫描类型)期间检测到任何类型的间谍软件/灰色软件,它会清除(处理措施)受影响的系统资源。
以下是安全客户端可针对恶意软件/灰色软件执行的处理措施:

间谍软件/灰色软件扫描处理措施

处理措施
描述
清除
终止进程或删除注册表、文件、cookie 和快捷方式。
不予处理
不对检测到的间谍软件/灰色软件组件执行任何处理措施,但会在日志中记录间谍软件/灰色软件检测情况。此处理措施只能在手动扫描和预设扫描期间执行。在实时扫描期间,处理措施是“拒绝访问”。
如果检测到的间谍软件/灰色软件包括在允许列表中,安全客户端将不会执行任何处理措施。
拒绝访问
拒绝访问(复制、打开)检测到的间谍软件/灰色软件组件。此处理措施只能在实时扫描期间执行。在手动扫描和预设扫描期间,处理措施是“不予处理”。

ActiveAction

不同类型的病毒/恶意软件需要不同的扫描处理措施。定制扫描处理措施需要有关病毒/恶意软件的知识,并且可能会是冗长而乏味的任务。安全无忧软件 使用 ActiveAction 来应对这些问题。
ActiveAction 是针对病毒/恶意软件的一组预配置的扫描处理措施。如不熟悉扫描处理措施或者不能确定何种扫描处理措施适合特定类型的病毒/恶意软件,那么趋势科技建议您使用 ActiveAction。
使用 ActiveAction 具有以下好处:
  • ActiveAction 使用趋势科技建议的扫描处理措施。用户不必花费时间配置扫描处理措施。
  • 病毒编写者会不断改变病毒/恶意软件攻击计算机的方式。更新 ActiveAction 设置以抵御最新威胁和最新的病毒/恶意软件攻击方法。
下表详细说明了 ActiveAction 如何处理各种类型的病毒/恶意软件:

趋势科技建议的对病毒和恶意软件的扫描处理措施

病毒/恶意软件类型
实时扫描
手动扫描/预设扫描
第一处理措施
第二处理措施
第一处理措施
第二处理措施
恶作剧程序
隔离
删除
隔离
删除
特洛伊木马程序/蠕虫病毒
隔离
删除
隔离
删除
加壳软件
隔离
N/A
隔离
N/A
潜在病毒/恶意软件
隔离
N/A
不予处理或用户配置的处理措施
N/A
病毒
清除
隔离
清除
隔离
测试病毒
拒绝访问
N/A
N/A
N/A
其他恶意软件
清除
隔离
清除
隔离
说明和提醒:
  • 对于潜在病毒/恶意软件,实时扫描期间的缺省处理措施是“隔离”,而手动扫描和预设扫描期间的缺省处理措施是“不予处理”。如果这些不是您的首选处理措施,则可以将其更改为“删除”或“更名”。
  • 某些文件无法清除。有关详细信息,请参阅无法清除的文件
  • ActiveAction 不可用于间谍软件/灰色软件扫描。
  • 在提供新的特征码文件时,这些设置的缺省值可能会更改。

高级设置

扫描类型
选项
实时扫描、预设扫描
检测到病毒/间谍软件时在台式机或服务器上显示警报消息
实时扫描、预设扫描
检测到潜在病毒/间谍软件时在台式机或服务器上显示警报消息
手动扫描、实时扫描和预设扫描
检测到潜在病毒/恶意软件时运行清除操作:仅当选择 ActiveAction 且已针对潜在病毒/恶意软件定制该处理措施时才可用。