設定行為監控策略以保護端點抵禦勒索軟體、弱點攻擊和新興的安全威脅。使用事件監控功能可評估或封鎖常與惡意程式安全威脅相關的行為。
 |
注意依預設,「行為監控」在所有版本的 Windows Server 平台上均是關閉的。
|
步驟
- 在「惡意程式行為封鎖」區段中:
- 選取「啟動惡意程式行為封鎖」,然後指定要封鎖的安全威脅類型:
-
已知安全威脅:封鎖與已知惡意程式安全威脅相關聯的行為
-
已知和潛在安全威脅:封鎖與已知威脅相關聯的行為,並對可能是惡意的行為採取處理行動
-
- 選取您要啟用以抵禦勒索軟體安全威脅的勒索軟體防護功能。
-
保護文件以防止未經授權的加密或修改:阻止潛在的勒索軟體安全威脅加密或修改文件內容
-
自動備份與恢復遭可疑程式變更的檔案:在偵測到勒索軟體安全威脅時,為端點上要加密的檔案建立備份複本,以防任何資料遺失
注意
自動檔案備份需要用戶端端點上至少有 100 MB 的磁碟空間,而且僅會備份大小小於 10 MB 的檔案。
-
-
封鎖通常與勒索軟體相關的程序:在加密和修改文件之前,封鎖與已知勒索軟體安全威脅相關的處理程序
-
啟動程式檢測,以偵測並封鎖遭到入侵的可執行檔:程式檢測可監控處理程序並執行 API 攔截,以判斷程式是否表現出非預期的行為。雖然此程序可提高對遭到入侵的可執行檔的整體偵測率,卻可能會導致系統效能降低。
秘訣
如果您在「要封鎖的安全威脅」下拉式清單中選取「已知和潛在安全威脅」,程式檢測會提供增強的安全性。
如需詳細資訊,請參閱勒索軟體防護 -
- 在「弱點攻擊防護」下,啟動「如果程式展現出與弱點攻擊有關的異常行為,請將其終止」,以防範可能遭到攻擊的程式。
注意
若要使用「弱點攻擊防護」,您必須選取「啟動程式檢測,以偵測並封鎖遭到入侵的可執行檔」。如需詳細資訊,請參閱弱點攻擊防護
重要
弱點攻擊防護與即時掃瞄 (隔離在記憶體中偵測到的惡意程式變體) 搭配使用時,可增強防禦無檔案攻擊的能力。如需詳細資訊,請參閱即時掃瞄:「目標」標籤。
- 選取「啟動惡意程式行為封鎖」,然後指定要封鎖的安全威脅類型:
- 在「新發現的程式」區段中,啟動「監控經由 Web 或電子郵件應用程式通道下載之新發現的程式」,然後選取要在執行所下載的程式之前先「提示使用者」,還是讓 Apex One 僅記錄檔偵測。
- 在「事件監控」區段中:
- 選取「啟動事件監控」。
- 請點選「指定詳細設定」以選取要監控的事件類型。
- 選擇要監控的系統事件,並針對所選取的每個件選取處理行動。如需有關監控的系統事件和處理行動的資訊,請參閱事件監控。
- 請點選「例外」標籤以設定例外清單。
- 設定上層策略時,指定其他使用者設定子策略的方式。
-
繼承自父策略:子策略必須使用在上層策略中設定的設定
-
從父策略延伸:子策略可以將其他設定附加至從上層策略繼承的設定
注意
如果您的子策略是從父策略延伸的,則您也可以設定「子策略限制」。這些限制會阻止子策略新增特定物件到清單。
-
- 在可用的文字欄位中輸入完整程式路徑。
注意
-
請以半形分號 (;) 來分隔多個項目。
-
使用「匯入」和「匯出」按鈕可共用包含不同策略的清單。
-
「核可清單」支援使用萬用字元。如需詳細資訊,請參閱例外清單萬用字元支援
-
- 請點選「新增」。
- 如果要從清單中移除封鎖的或核可的程式,請點選程式旁的垃圾桶圖示 (
)。注意
Apex One 最多可接受合併總計 1024 個核可的程式和封鎖的程式。
- 設定上層策略時,指定其他使用者設定子策略的方式。