惡意程式掃瞄設定是可重複使用的已儲存設定,您可以在設定政策中的惡意程式防護或電腦防護時應用。惡意程式掃瞄設定指定了Server & Workload Security保護執行的惡意程式掃瞄類型以及掃瞄的檔案。一些政策屬性也會影響惡意程式掃瞄的行為。
 |
秘訣CPU 使用率和 RAM 使用率會因您設定的惡意程式防護而有所不同。要優化代理上的惡意程式防護效能,請參閱 惡意程式防護效能提示。
|
建立或編輯惡意程式掃瞄設定
建立或編輯惡意程式掃瞄設定,以控制即時、手動或預約掃瞄的行為。(如需詳細資訊,請參閱 惡意程式掃瞄設定。)您可以根據需要建立多個惡意程式掃瞄設定。
-
在您建立惡意程式掃瞄設定後,您可以將其與政策或電腦中的掃瞄關聯(請參閱 選擇要執行的掃瞄類型)
-
當您編輯政策或電腦防護正在使用的惡意程式掃瞄配置時,變更將影響與該配置相關的掃瞄。
|
秘訣要建立類似現有的惡意程式掃瞄設定,請複製現有設定並進行編輯。
|
您可以根據掃瞄控制的類型(請參閱惡意程式掃瞄類型)創建兩種類型的惡意程式掃瞄配置:
-
Real-time scan configuration: 控制即時掃瞄。某些操作如 Deny Access 僅適用於即時掃瞄配置。
-
Manual/scheduled scan configuration: 控制手動或預約掃瞄。一些選項如 CPU 使用率 僅適用於手動/預約掃瞄配置。
Server & Workload Security保護 為每種掃瞄類型提供預設的惡意程式掃瞄配置。
- 前往。
- 要建立掃瞄設定,請點選New,然後點選New Real-Time Scan Configuration或New Manual/Scheduled Scan Configuration。
- 請輸入名稱以識別掃瞄配置。當在政策中配置惡意程式掃瞄時,您會在列表中看到該名稱。
- (可選)輸入說明以解釋此配置的使用情境。
- 要查看和編輯現有的掃瞄配置,請選擇它並點選Properties。
- 要複製掃瞄配置,請選擇它並點選Duplicate。
|
秘訣要查看使用惡意程式掃瞄配置的政策和電腦,請參閱屬性的 AssignedTo 標籤。
|
測試惡意程式掃描
在繼續進行其他惡意程式防護配置步驟之前,請測試即時和手動/預約掃瞄以確保它們正常運作。
Test real-time scans:
- 請確保即時掃瞄已啟動並選擇了一個配置。
- 前往 EICAR 網站並下載他們的惡意程式防護測試檔案。這個標準化檔案將測試即時掃瞄的防毒能力。該檔案應被隔離。
- 在 Server & Workload Security保護 主控台中,前往 以驗證 EICAR 檔案偵測的記錄。如果有偵測記錄,則表示惡意程式防護即時掃描運作正常。
Test manual/scheduled scans:
 |
注意在開始之前,請確保在測試手動/預約掃瞄之前已禁用即時掃瞄。
|
- 前往Administration。
- 點選 。
- 從下拉選單中選擇Scan Computers for Malware並選擇頻率。根據您所需的規格完成掃瞄配置。
- 前往 EICAR 網站並下載他們的惡意程式防護測試檔案。這個標準化檔案將測試手動/預約掃瞄的防毒能力。
- 選擇預約掃瞄並點選Run Task Now。測試檔案應該被隔離。
- 在 Server & Workload Security保護 主控台中,前往 以驗證 EICAR 檔案偵測的記錄。如果偵測有被記錄,則惡意程式防護手動/預約掃瞄運作正常。
掃瞄特定類型的惡意程式
- 掃瞄文件以檢查漏洞
- 啟用 AMSI 保護(僅限即時掃描)
- 掃瞄間諜程式和可能的資安威脅程式
- 掃瞄壓縮的可執行檔案(僅限即時掃瞄)
- 掃瞄處理記憶體(僅限即時掃瞄)
- 掃瞄壓縮檔案
- 掃瞄內嵌的 Microsoft Office 物件
另請參閱:
掃瞄文件以檢測漏洞
|
注意對於 macOS 代理程式,不支援掃描文件中的漏洞。
|
在現代資料中心,越來越多的安全漏洞是由於使用網路釣魚和魚叉式網路釣魚等技術的定向攻擊所致。在這些情況下,惡意程式編寫者可以通過創建專門針對您環境的惡意程式來繞過傳統的惡意程式掃描器。Server & Workload Security保護 通過其文件漏洞防護功能,為新興威脅提供增強的惡意程式防護。
文件漏洞防護使用啟發式偵測和進階安全威脅掃瞄引擎 (ATSE) 來分析受保護的電腦防護上的檔案,並判斷它們是否為可疑。
-
打開惡意程式掃瞄配置的屬性。
-
在 General 標籤下,於 Document Exploit Protection 中,選擇 Scan documents for exploits 並選擇以下其中一個選項:
- Scan for exploits against known critical vulnerabilities only:僅檢測已知的重大弱點。此選項與 CVE 弱點攻擊類型相關聯。(請參閱 自訂惡意程式補救動作)。
- Scan for exploits against known critical vulnerabilities and aggressive detection of unknown suspicious exploits:偵測更多問題,但也可能導致更多誤報。此選項與積極偵測規則弱點類型相關聯。(請參閱 自訂惡意程式補救動作)。
-
點選 確定。
|
秘訣如果在 頁面上檔案被識別為惡意程式,但您知道它不是惡意程式,您可以將其添加到 Document Exploit Protection Rule Exceptions 清單中,該清單位於電腦防護或政策編輯器的 標籤中。要允許該檔案,請右鍵點選它,選擇 允許,並按照出現的精靈中的步驟操作。
|
啟用 Windows AMSI 保護(僅限即時掃描)
Windows Antimalware Scan Interface (AMSI) 是 Microsoft 在 Windows 10 及更新版本中提供的一個介面。Server & Workload Security保護 利用 AMSI 來幫助偵測惡意腳本。預設情況下,此選項在 Server & Workload Security保護 惡意程式掃瞄配置中已啟動。
- 打開惡意程式掃瞄配置的屬性。
- 在General標籤上,選擇Enable AMSI protection。
- 點選 確定。
掃瞄間諜程式和可能的資安威脅程式
當間諜程式和可能的資安威脅程式保護已啟動時,間諜程式掃瞄引擎會在偵測到可疑檔案時將其隔離。
- 打開惡意程式掃瞄配置的屬性。
- 在General tab上,選擇Enable spyware/grayware protection。
- 點選 確定。
要識別間諜程式掃瞄引擎應暫不處理的檔案,請參閱建立惡意程式防護例外。
掃瞄壓縮的可執行檔案(僅限即時掃瞄)
病毒經常使用即時壓縮算法來試圖繞過病毒過濾。IntelliTrap 功能會阻擋即時壓縮的可執行檔案,並將它們與其他惡意程式特徵配對。
|
注意由於 IntelliTrap 將此類檔案識別為安全風險,並且可能錯誤地封鎖安全檔案,當您啟用 IntelliTrap 時,請考慮將檔案隔離(而不是刪除或清理)。(請參閱
配置如何處理惡意程式。) 如果使用者經常交換即時壓縮的可執行檔案,請關閉 IntelliTrap。IntelliTrap 使用病毒掃瞄引擎、IntelliTrap 病毒碼和 IntelliTrap
例外病毒碼。
|
|
注意對於 macOS 代理程式,不支援 IntelliTrap。
|
- 打開惡意程式掃瞄配置的屬性。
- 在General標籤上,選擇Enable IntelliTrap。
- 點選 確定。
掃瞄處理記憶體(僅限即時掃瞄)
|
注意對於 macOS 代理程式,不支援掃描處理記憶體。
|
即時監控進程記憶體,並使用趨勢科技主動雲端截毒技術進行額外檢查,以確定可疑進程是否已知為惡意進程。如果進程是惡意的,Server & Workload Security保護 將終止該進程。欲了解更多資訊,請參閱 Server & Workload Security保護 中的主動式雲端截毒技術
- 打開惡意程式掃瞄配置的屬性。
- 在General標籤上,選擇Scan process memory for malware。
- 點選 確定。
掃瞄壓縮檔案
提取壓縮檔案並掃瞄內容以檢查惡意程式。當您啟用掃瞄時,您可以指定要提取的最大檔案大小和數量(大型檔案可能會影響效能)。您還可以指定要檢查的壓縮層級,以便掃瞄位於壓縮檔案內的壓縮檔案。層級1壓縮是一個單一壓縮檔案。該檔案內的壓縮檔案為層級2。您最多可以掃瞄6個壓縮層級,但較高層級可能會影響效能。
- 打開惡意程式掃瞄配置的屬性。
- 在Advanced標籤上,選擇Scan compressed files。
- 指定要提取的內容檔案的最大大小(以MB為單位)、要掃瞄的壓縮層級以及要提取的檔案最大數量。
- 點選 確定。
掃瞄嵌入的 Microsoft Office 物件
|
注意對於 macOS 代理程式,不支援掃描嵌入的 Microsoft Office 物件。
|
某些版本的 Microsoft Office 使用物件連結與嵌入 (OLE) 將檔案和其他物件插入 Office 檔案中。這些嵌入的物件可能包含惡意程式碼。
指定要掃瞄的 OLE 層數,以偵測嵌入在其他物件中的物件。為了減少對效能的影響,您可以僅掃瞄每個檔案中少數幾層的嵌入物件。
- 打開惡意程式掃瞄配置的屬性。
- 在Advanced tab上,選擇Scan Embedded Microsoft Office Objects。
- 指定要掃瞄的 OLE 層數。
- 點選 確定。
啟用通知應用程式的手動掃瞄
通過 趨勢科技通知應用程式 啟用手動掃瞄僅支援 macOS 的 Deep Security Agent 20.0.0-179+。
此功能使 macOS 使用者能透過通知應用程式觸發掃瞄。預設為停用。
- 從電腦防護編輯器或政策編輯器中,點選惡意程式防護標籤。
- 點選General水平標籤。
- 在手動掃瞄部分,點選以選取Allow agent to trigger or cancel a manual scan from Trend Micro's notifier application的核取方塊。
指定要掃瞄的檔案
識別要包含在掃瞄中的檔案和目錄,然後識別這些檔案和目錄中的任何排除項。您也可以掃瞄網路目錄:
包含項
指定要掃瞄的目錄以及目錄內的檔案。
要識別要掃瞄的檔案,請使用以下其中一個選項:
- 所有檔案
- 由 IntelliScan 識別的檔案類型。IntelliScan 只掃瞄易受感染的檔案類型,例如 .zip 或 .exe。IntelliScan 不依賴副檔名來判斷檔案類型,而是通過讀取檔案的標頭和內容來決定是否應該掃瞄。與掃瞄所有檔案相比,IntelliScan 減少了掃瞄的檔案數量並提高了效能。
- 具有包含在指定列表中的檔案名稱副檔名的檔案:副檔名列表使用具有特定語法的模式。(請參閱 副檔名列表的語法。)
要識別要掃瞄的目錄,您可以指定所有目錄或目錄列表。目錄列表使用具有特定語法的模式來識別要掃瞄的目錄。(請參閱 目錄列表的語法。)
- 打開惡意程式掃瞄配置的屬性。
- 點選Inclusions標籤。
- 要指定要掃瞄的目錄,請選擇All directories或Directory List。
- 如果您選擇了Directory List,請從下拉選單中選擇現有的列表或選擇New來創建一個。
- 要指定要掃瞄的檔案,請選擇 All files、File types scanned by IntelliScan 或 File Extension List。
- 如果您選擇了File Extension List,請從下拉選單中選擇現有的列表或選擇New來創建一個。
- 點選 確定。
排除項目
排除目錄、檔案和副檔名不被掃描。對於即時掃描,您也可以排除處理影像檔案不被掃描。
要排除的檔案和資料夾範例:
- 如果您正在為 Microsoft Exchange 伺服器建立惡意程式掃瞄設定,請排除 SMEX 隔離資料夾,以避免重新掃瞄已確認為惡意程式的檔案。
- 如果您有大型 VMware 映像檔,若遇到效能問題,請排除包含這些映像檔的目錄。
|
秘訣您也可以將由受信任的數位憑證簽署的檔案排除在惡意程式防護掃描之外。此類排除項目在政策或電腦防護設定中定義。(請參閱 排除由受信任憑證簽署的檔案。)
|
要排除目錄、檔案和處理影像檔案,請建立一個使用模式來識別要排除項目的清單。
- 打開惡意程式掃瞄配置的屬性。
- 點選Exclusions標籤。
- 指定要排除的目錄:
- 選擇Directory List。
- 選擇目錄列表或選擇New來創建一個。(請參閱目錄列表語法。)
- 如果您建立了一個目錄列表,請在目錄列表中選擇它。
- 同樣地,指定要排除的檔案清單、檔案副檔名清單和處理影像檔案清單。(請參閱 檔案清單語法、檔案副檔名清單語法 和 處理影像檔案清單語法(僅限即時掃描)。)
- 點選 確定。
測試檔案排除
在繼續進行其他惡意程式防護配置步驟之前,請測試檔案排除以確保其正常運作:
|
注意在開始之前,請確保即時掃瞄已啟動並選擇了一個配置。
|
- 前往。
- 點選 。
- 前往Exclusions標籤,並從目錄列表中選擇New。
- 命名目錄清單。
- 在目錄下指定您想要排除在掃瞄之外的目錄路徑。例如,
c:\Test Folder\。點選OK。 - 前往General tab,命名手動掃瞄,然後點選確定。
- 前往 EICAR 網站 並下載他們的惡意程式防護測試檔案。將檔案儲存在前一步驟中指定的資料夾中。該檔案應被儲存且不被惡意程式防護模組檢測到。
目錄列表的語法
|
注意目錄列表項目接受正斜杠 "/" 或反斜杠 "\" 以支援 Windows 和 Linux 規範。
|
|
例外
|
格式
|
說明
|
範例
|
|
目錄
|
目錄\
|
排除指定目錄中的所有檔案以及所有子目錄中的所有檔案。
|
C:\Program Files\ 排除 "程式集" 目錄及所有子目錄中的所有檔案。
|
|
具有萬用字元 (*) 的目錄
|
目錄\*\
|
排除所有子目錄,僅保留指定的子目錄及其包含的檔案。
|
C:\abc\*\ 排除 "abc" 目錄下所有子目錄中的所有檔案,但不排除 "abc" 目錄中的檔案。 C:\abc\wx*z\ 匹配:C:\abc\wxz C:\abc\wx123z 不匹配:C:\abc\wxz C:\abc\wx123z C:\abc\*wx\ 匹配:C:\abc\wx C:\abc\123wx 不匹配:C:\abc\wx C:\abc\123wx
|
|
具有萬用字元 (*) 的目錄
|
目錄*\
|
排除任何名稱匹配的子目錄,但不排除該目錄和任何子目錄中的文件。
|
C:\Program Files\SubDirName*\ 排除任何資料夾名稱以“SubDirName”開頭的子目錄。不排除 C:\程式集 或任何其他子目錄下的所有檔案。
|
|
環境變數
|
${ENV VAR}
|
排除由環境變數定義的所有檔案和子目錄。對於虛擬裝置,環境變數的值對必須在Policy or Computer Editor > Settings > General > Environment Variable Overrides.中定義
|
${windir} 如果變數解析為 "c:\windows",則排除 "c:\windows" 及其所有子目錄中的所有檔案。
|
|
評論
|
目錄 #Comment
|
將註解新增到您的排除定義中。
|
c:\abc #Exclude the abc directory |
檔案清單的語法
|
例外
|
格式
|
說明
|
範例
|
|
檔案
|
檔案
|
排除所有具有指定檔案名稱的檔案,不論其位置資訊或目錄。
|
abc.doc 排除所有目錄中名為 "abc.doc" 的所有檔案。不排除 "abc.exe"。
|
|
檔案路徑
|
檔案路徑
|
排除由檔案路徑指定的單一檔案。
|
C:\Documents\abc.doc 僅排除 "Documents" 目錄中的名為 "abc.doc" 的檔案。
|
|
包含萬用字元 (*) 的檔案路徑
|
檔案路徑
|
排除所有由檔案路徑指定的檔案。
|
C:\Documents\abc.co*(僅適用於 Windows Agent 平台)排除 "Documents" 目錄中檔案名稱為 "abc" 且副檔名以 ".co" 開頭的任何檔案。
|
|
檔案名稱是萬用字元 (*)
|
FILEPATH\*
|
排除路徑下的所有檔案,但不包括未指定子目錄中的檔案
|
C:\Documents\* 排除目錄 C: \Documents 下的所有檔案 C:\Documents\SubDirName*\* 排除所有子目錄中以 "SubDirName" 開頭的資料夾名稱內的所有檔案。不排除 C: \Documents 或任何其他子目錄下的所有檔案。 C:\Documents\*\* 排除 C: \Documents 下所有 direct 子目錄中的所有檔案。不排除後續子目錄中的檔案。
|
|
包含萬用字元 (*) 的檔案
|
檔案*
|
排除所有檔案名稱中符合模式的檔案。
|
abc*.exe 排除任何具有 "abc" 前綴和 ".exe" 副檔名的檔案。 *.db 匹配: 123.db abc.db 不匹配: 123db 123.abd cbc.dba *db 匹配: 123.db 123db ac.db acdb db 不匹配: db123 wxy*.db 匹配: wxy.db wxy123.db 不匹配: wxydb
|
|
包含萬用字元 (*) 的檔案
|
FILE.EXT*
|
排除所有符合檔案副檔名模式的檔案。
|
abc.v* 排除任何檔案名稱為 "abc" 且副檔名以 ".v" 開頭的檔案。abc.*pp 匹配: abc.pp abc.app 不匹配: wxy.app abc.a*p 匹配: abc.ap abc.a123p 不匹配: abc.pp abc.* 匹配: abc.123 abc.xyz 不匹配: wxy.123
|
|
包含萬用字元 (*) 的檔案
|
FILE*.EXT*
|
排除所有在檔案名稱和副檔名中符合模式的檔案。
|
a*c.a*p
Matches:
ac.ap a123c.ap ac.a456p a123c.a456p Does not match: ad.aa</td>
</tr>
<tr>
<td>Environment variable</td>
<td>${ENV VAR}</td>
<td>Excludes files specified by an environment variable with the format ${ENV VAR}. These can be defined or overridden using <term>Policy or Computer Editor > Settings > General > Environment Variable Overrides.</term></td>
<td>
<term>
${myDBFile}
</term>
Excludes the file "myDBFile".</td>
</tr>
<tr>
<td>Comments</td>
<td>FILEPATH #Comment</td>
<td>Adds a comment to your exclusion definitions.</td>
<td>
<codeblock>C:\Documents\abc.doc #This is a comment
</codeblock>
</td>
</tr>
|
檔案副檔名列表的語法
|
例外
|
格式
|
說明
|
範例
|
|
檔案副檔名
|
EXT
|
匹配所有具有相同文件擴展名的文件。
|
doc 匹配所有目錄中副檔名為 ".doc" 的所有檔案。
|
|
評論
|
EXT #註解
|
將註解新增到您的排除定義中。
|
doc #This a comment |
處理影像檔案列表的語法(僅限即時掃描)
|
例外
|
格式
|
說明
|
範例
|
|
檔案路徑
|
檔案路徑
|
排除由檔案路徑指定的處理影像檔案。
|
C:\abc\file.exe 僅排除 "abc" 目錄中的名為 "file.exe" 的檔案。
|
掃瞄網路目錄(僅限即時掃瞄)
如果您想要掃瞄位於網路檔案系統 (NFS)、伺服器訊息區塊 (SMB) 或通用網路檔案系統 (CIFS) 中的網路共享和映射的網路磁碟機中的檔案和資料夾,請選擇Enable Network Directory Scan。此選項僅適用於即時掃瞄。
|
注意透過 GVFS(適用於 GNOME 桌面的虛擬檔案系統)在 "~/.gvfs" 中存取的資源將被視為本地資源,而非網路磁碟機。
|
|
注意如果在掃描 Windows 的網路資料夾時檢測到病毒,代理程式可能會顯示一些「清除失敗」(刪除失敗)事件。
|
指定即時掃描發生的時間
選擇在檔案被開啟閱讀時、寫入時或兩者皆進行掃描。
- 打開惡意程式掃瞄配置的屬性。
- 在Advanced標籤上,選擇即時掃瞄屬性的一個選項。
- 點選 確定。
配置如何處理惡意程式
配置當偵測到惡意程式時Server & Workload Security保護的行為:
自訂惡意程式修復動作
當 Server & Workload Security保護 偵測到惡意程式時,它會執行補救動作來處理該檔案。Server & Workload Security保護 在遇到惡意程式時可以採取五種可能的動作:
-
Pass: 允許完全存取中毒檔案而不對檔案進行任何操作。(仍會記錄惡意程式防護事件。)
注意
暫不處理 的補救措施絕不應用於可能的病毒。 -
Clean: 在允許完全存取之前清除中毒檔案。如果無法清除該檔案,則將其隔離。
-
Delete:在 Linux 上,中毒檔案會被刪除且不會備份。在 Windows 上,中毒檔案會先備份然後刪除。Windows 備份檔案可以在 中 查看和還原。
-
Deny Access:此中毒處理行動只能在即時掃描期間執行。當Server & Workload Security保護偵測到嘗試開啟或執行中毒檔案時,會立即阻止該操作。中毒檔案將保持不變。當觸發拒絕存取行動時,中毒檔案會保留在其原始位置資訊。
注意
當 即時掃瞄 設定為 During Write 時,請勿使用補救措施 Deny Access。當選擇 During Write 時,檔案在寫入時會被掃描,並且動作 Deny Access 無效。 -
Quarantine:將中毒檔案移至電腦防護或虛擬裝置上的隔離目錄。隔離的檔案可以在中查看和還原。
注意
在 Linux 上標記為 Quarantined 的惡意程式在 Windows 上可能會標記為 Deleted,儘管這兩個作業系統上的惡意程式是相同的。在任何情況下,該檔案都可以在 中 查看和還原。
惡意程式掃瞄設定中的預設修復動作適用於大多數情況。然而,您可以自訂當 Server & Workload Security保護 偵測到惡意程式時要採取的動作。您可以使用 ActiveAction 決定的動作,或為每種類型的弱點指定動作。
ActiveAction 是一組預定義的清理動作,針對每個惡意程式類別進行最佳化。趨勢科技不斷調整 ActiveAction 中的動作,以確保每個偵測到的威脅都能妥善處理。(請參閱
ActiveAction 動作。)
|
注意對於 macOS 代理程式,支援的自訂動作包括病毒、木馬和間諜程式。
|
-
打開惡意程式掃瞄配置的屬性。
-
在Advanced標籤上,為Remediation Actions選擇Custom。
-
指定要採取的動作:
-
若要讓 ActiveAction 決定要採取的動作,請選擇 Use action recommended by ActiveAction。
-
要為每種類型的弱點指定操作,請選擇Use custom actions,然後選擇要使用的操作。
-
-
指定對可能的惡意程式採取的動作。
-
點選 確定。
ActiveAction 動作
下表列出了 ActiveAction 採取的操作:
|
惡意程式類型
|
處理行動
|
|
隔離
|
|
|
隔離
|
|
|
CVE 弱點攻擊
|
隔離
|
|
積極檢測規則
|
暫不處理(此設定會檢測到更多問題,但也可能會導致更多誤報,因此預設中毒處理行動是觸發事件。)
|
|
刪除(不適用於即時掃描)
|
|
|
清理
如果無法清除安全威脅,則按以下方式處理:
此外,在 Linux 或 Solaris 代理上,如果發現類型為Joke的病毒,會立即隔離。系統不會嘗試清除它。
|
|
|
暫不處理
|
如需有關 CVE 弱點攻擊和積極偵測規則的詳細資訊,請參閱 掃瞄文件以查找弱點攻擊。
|
注意當代理程式從主動式更新伺服器或中繼站下載病毒碼更新時,可能會更改其 ActiveAction 掃瞄動作。
|
生成惡意程式檢測警報
當 Server & Workload Security保護 偵測到惡意程式時,您可以產生警報。
- 打開惡意程式掃瞄配置的屬性。
- 在General標籤上,為警訊選擇Alert when this Malware Scan Configuration logs an event。
- 點選 確定。
通過檔案雜湊摘要識別惡意程式檔案
Server & Workload Security保護 可以計算惡意程式檔案的雜湊值,並將其顯示在 頁面上。由於特定的惡意程式可能有多個不同的名稱,雜湊值非常有用,因為它能唯一識別該惡意程式。您可以在從其他來源查詢有關該惡意程式的信息時使用雜湊值。
-
打開您要配置的策略或電腦防護編輯器。
-
點選 。
-
在File Hash Calculation下,清除Default或Inherited複選框。(Default顯示於根策略,Inherited顯示於子策略)。
注意
當選取Inherited時,檔案雜湊設定會從目前策略的父策略繼承。注意
當選擇Default時,Server & Workload Security保護不會計算任何雜湊值。 -
選擇Calculate hash values of all anti-malware events。
-
預設情況下,Server & Workload Security保護 將生成 SHA-1 雜湊值。如果您想生成其他雜湊值,您可以選擇 MD5 和/或 SHA256。
-
您也可以更改將計算雜湊值的惡意程式檔案的最大大小。預設情況下,會跳過大於 128MB 的檔案,但您可以將該值更改為 64 到 512 MB 之間的任何值。
在電腦防護上配置通知
在基於 Windows 的代理程式上,您可能偶爾會看到螢幕通知訊息,提醒您必須採取與惡意程式防護和網頁信譽評等模組相關的Server & Workload Security保護操作。例如,您可能會看到訊息,
需要重新啟動以完成惡意程式防護清理任務。您必須點選對話框中的確定以關閉它。如果您不希望出現這些通知:
- 前往電腦防護或政策編輯器。
- 點選左側的設定。
- 將 Suppress all pop-up notifications on host 設定為 是。這些訊息仍會在 Server & Workload Security保護 中顯示為警報或事件。欲了解有關通知器的詳細資訊,請參閱 通知器。
當 Server & Workload Security保護 無法存取時執行預約掃瞄
|
注意此功能在 Windows 上的 20.0.3445+ 版本代理中受支持。
|
當代理程式離線時,預約掃瞄惡意程式通常會排隊。若要在代理程式無法連接到Server & Workload Security保護時仍執行預約掃瞄:
-
前往電腦防護或政策編輯器。
-
在左側點選惡意程式防護。
-
在 General 標籤上,選擇預約掃瞄 Enable agent to trigger scheduled scan for malware。
|
注意當勾選此核取方塊時:
|
疑難排解
某些特殊情況可能會導致代理無法觸發離線預約掃瞄:
- 如果電腦關機,當電腦重新啟動時,預約掃瞄可能因超時而無法觸發。
- 如果在預約掃瞄期間電腦關機,當電腦重新啟動時,中斷的預約掃瞄將不會繼續。