为每种扫描类型(手动扫描、预设扫描和实时扫描)配置以下设置:
目标选项卡
选择方法:
所有可扫描文件:包括所有可扫描文件。无法扫描的文件是受密码保护的文件、加密文件或超出用户定义的扫描限制的文件。
注:此选项提供最大的安全可能性。但扫描所有文件需要占用大量时间和资源,在某些情况下可能是不需要的。因此,您可能希望限制客户端要扫描的文件数量。
IntelliScan 使用“真实文件类型”标识:基于真实文件类型扫描文件。请参阅IntelliScan。
扫描带以下扩展名的文件:基于扩展名手动指定要扫描的文件。多个条目之间用逗号隔开。
选择扫描触发:
-
读取:扫描正在读取其内容的文件;在打开、执行、复制或移动文件时读取这些文件。
-
写入:扫描正在写入其内容的文件;在修改、保存、下载或从其他位置复制文件时写入该文件的内容。
-
读取或写入
扫描例外
下列设置是可配置的:
启用或禁用例外
从扫描中排除趋势科技产品目录
从扫描中排除其他目录
指定目录路径中的所有子目录也将被排除
从扫描中排除带有完整路径的文件名
-
排除文件扩展名
文件扩展名中不允许使用通配符,例如 "*"
(仅限邮件与网络安全版)如果客户机上正在运行 Microsoft Exchange Server,趋势科技建议从扫描中排除所有 Microsoft Exchange Server 文件夹。要在全局基础上排除扫描 Microsoft Exchange Server 文件夹,请转到,然后选择当安装到 Microsoft Exchange Server 时排除 Microsoft Exchange Server 文件夹。
高级设置
扫描类型 |
选项 |
|---|---|
|
实时扫描 |
扫描 POP3 邮件:缺省情况下,邮件扫描只能扫描“收件箱”和“垃圾邮件”文件夹中通过端口 110 发送的新邮件。它不支持安全 POP3 (SSL-POP3)。
邮件扫描无法检测 IMAP 邮件中的安全风险。使用邮件安全客户端(仅限邮件与网络安全版)可以检测 IMAP 邮件中的安全风险和垃圾邮件。 |
|
实时扫描、手动扫描 |
扫描网络上的映射驱动器和共享文件夹:选中该项可扫描物理位于其他计算机但已映射到本地计算机的目录。 |
实时扫描 |
在系统关闭期间扫描软盘 |
实时扫描 |
启用 IntelliTrap:IntelliTrap 可检测压缩文件中的恶意代码,如 bot 程序。请参阅IntelliTrap。 |
|
实时扫描 |
在内存中检测到的隔离恶意软件变种:启用实时扫描和行为监控并选择该选项后,将扫描正在运行的进程内存中的压缩恶意软件。“行为监控”检测到的任何打包恶意软件都会被隔离。 |
实时扫描、手动扫描和预设扫描 |
扫描压缩文件,最多压缩层数为 __:压缩文件每压缩一次都会生成一个层。如果受感染文件已压缩了多层,则必须扫描其指定数量的压缩层以检测感染情况。但是,扫描多个压缩层会需要更长的时间和更多的资源。 |
|
实时扫描、手动扫描和预设扫描 |
修改间谍软件/灰色软件允许列表:此设置无法从客户端控制台进行配置。 |
手动扫描、预设扫描 |
CPU 利用率/扫描速度:安全客户端可以在扫描一个文件之后、开始扫描下一个文件之前暂停。 从以下选项中进行选择:
|
手动扫描、预设扫描 |
运行高级清除:安全客户端会停止流氓安全软件(也称为 FakeAV)进行的活动。客户端还可以使用高级清除规则来主动检测并停止存在 FakeAV 行为的应用程序。 注:
提供前瞻性保护的同时,高级清除也会导致大量误报。 |
间谍软件/灰色软件允许列表
某些应用程序之所以被趋势科技归类为间谍软件/灰色软件,不是因为它们会损害所安装的系统,而是因为它们可能会使客户机或网络面临恶意软件或黑客的攻击。
安全无忧软件包括具有潜在风险的应用程序列表,缺省情况下,将防止在客户机上执行这些应用程序。
如果客户端需要运行被趋势科技归类为间谍软件/灰色软件的任何应用程序,则您需要将该应用程序名称添加到间谍软件/灰色软件允许列表中。
处理措施选项卡
以下是安全客户端可针对病毒/恶意软件执行的处理措施:
处理措施 |
描述 |
|---|---|
|
删除 |
删除受感染文件。 |
|
隔离 |
更名受感染文件,然后将其移动到客户机上的临时隔离目录。 然后,安全客户端会将隔离文件发送至指定的隔离目录(缺省情况下位于安全管理服务器上)。 安全客户端会对发送至此目录的隔离文件进行加密。 如果需要恢复任何隔离文件,请使用 VSEncrypt 工具。 |
|
清除 |
先清除受感染文件,然后才允许对该文件进行完全访问。 如果该文件无法清除,则安全客户端会执行第二种处理措施,其可以是下列任何一种处理措施:隔离、删除、更名和不予处理 可对所有类型的恶意软件执行此处理措施,可能的病毒/恶意软件除外。 注:
某些文件无法清除。有关详细信息,请参阅无法清除的文件。 |
更名 |
将受感染文件的扩展名更改为 "vir"。用户最初不能打开更名的文件,但是将该文件与特定应用程序关联后,即可打开该文件。 打开更名的受感染文件时,病毒/恶意软件可能会执行。 |
|
不予处理 |
仅在手动扫描和预设扫描期间执行。安全客户端不能在实时扫描期间使用此扫描处理措施,这是因为,如果在检测到打开或执行受感染文件的企图时不执行处理措施,则会允许执行病毒/恶意软件。实时扫描期间可以使用所有其他扫描处理措施。 |
|
拒绝访问 |
仅在实时扫描期间执行。如果安全客户端检测到打开或执行受感染文件的企图,它会立即阻止该操作。 用户可以手动删除受感染文件。 |
安全客户端执行的扫描处理措施取决于检测到间谍软件/灰色软件的扫描类型。虽然可以为每种病毒/恶意软件类型配置特定的处理措施,但是只能为所有类型的间谍软件/灰色软件配置一种处理措施。例如,如果安全客户端在手动扫描(扫描类型)期间检测到任何类型的间谍软件/灰色软件,它会清除(处理措施)受影响的系统资源。
以下是安全客户端可针对恶意软件/灰色软件执行的处理措施:
处理措施 |
描述 |
|---|---|
|
清除 |
终止进程或删除注册表、文件、cookie 和快捷方式。 |
|
不予处理 |
不对检测到的间谍软件/灰色软件组件执行任何处理措施,但会在日志中记录间谍软件/灰色软件检测情况。此处理措施只能在手动扫描和预设扫描期间执行。在实时扫描期间,处理措施是“拒绝访问”。 如果检测到的间谍软件/灰色软件包括在允许列表中,安全客户端将不会执行任何处理措施。 |
|
拒绝访问 |
拒绝访问(复制、打开)检测到的间谍软件/灰色软件组件。此处理措施只能在实时扫描期间执行。在手动扫描和预设扫描期间,处理措施是“不予处理”。 |
ActiveAction
不同类型的病毒/恶意软件需要不同的扫描处理措施。自定义扫描处理措施需要有关病毒/恶意软件的知识,并且可能会是冗长而乏味的任务。安全无忧软件 使用 ActiveAction 来应对这些问题。
ActiveAction 是针对病毒/恶意软件的一组预配置的扫描处理措施。如果您不熟悉扫描处理措施,或者不确定哪种扫描处理措施适合特定类型的病毒/恶意软件,趋势科技建议使用 ActiveAction。
使用 ActiveAction 会提供以下好处:
-
ActiveAction 使用趋势科技建议的扫描处理措施。您不必在配置扫描处理措施上花费时间。
-
病毒编写者会不断改变病毒/恶意软件攻击客户端的方式。更新 ActiveAction 设置以抵御最新威胁和最新的病毒/恶意软件攻击方法。
下表详细说明了 ActiveAction 如何处理各种类型的病毒/恶意软件:
|
病毒/恶意软件类型 |
实时扫描 |
手动扫描/预设扫描 |
||
|---|---|---|---|---|
|
第一处理措施 |
第二项处理措施 |
第一处理措施 |
第二项处理措施 |
|
|
恶作剧程序 |
隔离 |
删除 |
隔离 |
删除 |
特洛伊木马程序/蠕虫病毒 |
隔离 |
删除 |
隔离 |
删除 |
|
加壳软件 |
隔离 |
无 |
隔离 |
无 |
|
可能的病毒/恶意软件 |
隔离 |
无 |
不予处理或用户配置的处理措施 |
无 |
|
病毒 |
清除 |
隔离 |
清除 |
隔离 |
|
测试病毒 |
拒绝访问 |
无 |
无 |
无 |
|
其他恶意软件 |
清除 |
隔离 |
清除 |
隔离 |
说明和提醒:
-
对于可能的病毒/恶意软件,实时扫描期间的缺省处理措施是“拒绝访问”,而手动扫描和预设扫描期间的缺省处理措施是“不予处理”。如果这些不是您的首选处理措施,则可以将其更改为“隔离”、“删除”或“更名”。
某些文件无法清除。有关详细信息,请参阅无法清除的文件。
-
ActiveAction 不可用于间谍软件/灰色软件扫描。
-
在提供新的特征码文件时,这些设置的缺省值可能会更改。
高级设置
|
扫描类型 |
选项 |
|---|---|
|
实时扫描、预设扫描 |
检测到病毒/间谍软件时在台式机或服务器上显示警报消息 |
|
实时扫描、预设扫描 |
检测到潜在病毒/间谍软件时在台式机或服务器上显示警报消息 |
|
手动扫描、实时扫描和预设扫描 |
检测到潜在病毒/恶意软件时运行清除操作:仅当选择 ActiveAction 且已针对潜在病毒/恶意软件定制处理措施时才可用。 |