Server & Workload Security保護 提供安全設定,您可以將其應用於受代理程式保護的 Windows 和 Linux 機器,以增強您對惡意程式和勒索軟體的檢測和清除率。這些設定使您能夠超越惡意程式模式匹配,識別可能包含尚未添加到惡意程式防護模式中的新興惡意程式的可疑檔案(稱為零日攻擊)。
若要查看惡意程式防護模組的防護總覽,請參閱 防護惡意程式。
 |
注意對於 macOS 代理,不支援行為監控。
|
增強掃描如何保護您? 
Threat detection:為了避免被偵測到,一些類型的惡意程式會嘗試修改系統檔案或已知安裝軟體的相關檔案。這些類型的變更通常不會被注意到,因為惡意程式取代了合法的檔案。Server & Workload Security保護 可以監控系統檔案和已安裝的軟體,以偵測和防止未經授權的變更發生。
Anti-exploit:惡意程式編寫者可以使用惡意程式碼掛鉤到使用者模式進程,以獲得對受信任進程的特權訪問並隱藏惡意活動。惡意程式編寫者通過 DLL 注入將程式碼注入使用者進程,這會調用具有提升特權的
API。他們還可以通過提供惡意有效載荷來觸發軟體漏洞攻擊,以觸發記憶體中的程式碼執行。在 Server & Workload Security保護 中,反漏洞功能會監控可能執行給定進程通常不會執行的操作的進程。通過使用多種機制,包括資料防護執行防止 (DEP)、結構化異常處理覆蓋保護 (SEHOP) 和堆噴射防護,Server & Workload Security保護 可以確定進程是否已被入侵,然後終止進程以防止進一步感染。
Extended ransomware protection:最近,勒索軟體變得更加複雜且針對性更強。大多數組織都有包含惡意程式防護的安全政策,這在其端點上提供了一定程度的防護,能對已知的勒索軟體變種進行防護;然而,這可能不足以檢測和防止新變種的病毒爆發。Server & Workload Security保護 提供的勒索軟體防護可以保護文件免受未經授權的加密或修改。Server & Workload Security保護 還整合了一個資料防護引擎,可以選擇性地創建被加密文件的副本,為用戶提供額外的機會來恢復可能被勒索軟體加密的文件。
如何啟用增強掃描
增強掃描已配置為應用於政策或個別電腦的惡意程式防護設定的一部分。有關配置惡意程式防護的常規資訊,請參閱 啟用和配置惡意程式防護。
|
注意這些設定只能應用於受代理程式保護的 Windows 和 Linux 機器。
|
 |
秘訣增強掃描可能會對執行高負載應用程式的代理電腦產生效能影響。我們建議在部署已啟動增強掃描的代理之前,先查看惡意程式防護效能提示。
|
第一步是在即時惡意程式掃瞄配置中啟用增強掃描:
步驟
- 在 Server & Workload Security保護 主控台中,依次選擇 。
- 雙擊現有的即時掃瞄配置以進行編輯(有關惡意程式掃瞄配置的詳細資訊,請參見 配置惡意程式掃瞄)。
- 在 General 標籤下,於 行為監控 中,選擇 Enable Behavior Monitoring。在 Action to take 清單中,選擇當 Server & Workload Security保護 偵測到惡意程式時您希望採取的補救措施:
-
ActiveAction (recommended): 使用 ActiveAction 所決定的動作。ActiveAction 是一組預定義的清理動作,針對每個惡意程式類別進行最佳化。趨勢科技會不斷調整 ActiveAction 中的動作,以確保個別偵測能夠妥善處理。(請參閱 ActiveAction 動作。)
-
Pass: 允許完全存取中毒檔案而不對檔案進行任何操作。(仍會記錄惡意程式防護事件。)
-
- 選擇Back up and restore ransomware-encrypted files(可選)。選擇此選項時,Server & Workload Security保護將建立正在被加密的檔案的備份副本,以防它們被勒索軟體程序加密。此選項僅適用於運行 Windows 的電腦。
- 點選 確定。
注意
預設情況下,實時掃瞄設置為掃瞄所有目錄。如果您更改掃瞄設置以掃瞄目錄列表,增強掃瞄可能無法如預期運作。例如,如果您設置Directories to scan掃瞄“Folder1”,而勒索軟體發生在Folder1中,如果與勒索軟體相關的加密發生在Folder1之外的文件中,則可能無法檢測到。 - 接下來,將惡意程式掃瞄配置應用到政策或個別電腦防護:
- 在電腦防護或政策編輯器中,前往。
- 確保Anti-Malware State是開啟或Inherited (On)。
- 常規標籤包含即時掃瞄、手動掃瞄和預約掃瞄部分。在相應部分中,使用Malware Scan Configuration列表選擇您上面創建的掃瞄配置。
- 點選 儲存。
增強掃描發現問題時會發生什麼情況?
當 Server & Workload Security保護 發現符合您已啟動的增強掃瞄設定的活動或檔案時,它會記錄一個事件(前往 查看事件列表)。該事件將在 Major Virus Type 欄中標識為「可疑活動」或「未經授權的變更」,詳細資訊將顯示在 Target(s) 和 TargetType 欄中。
Server & Workload Security保護 會執行多種與增強掃瞄設定相關的檢查,所採取的行動取決於發現問題的檢查類型。Server & Workload Security保護 可能會「拒絕存取」、「終止」或「清除」可疑物件。這些行動由 Server & Workload Security保護 決定,且不可配置,除了「清除」行動外:
- Deny Access:當Server & Workload Security保護偵測到嘗試開啟或執行可疑檔案時,會立即阻止該操作並記錄一個惡意程式防護事件。
- Terminate:Server & Workload Security保護 終止執行可疑操作的進程並記錄一個惡意程式防護事件。
- Clean:Server & Workload Security保護 檢查惡意程式掃瞄設定,並執行在動作標籤上指定的特洛伊木馬程式動作。將會產生一個或多個與對特洛伊木馬程式檔案執行的動作相關的其他事件。
雙擊事件以查看詳細資訊:
與勒索軟體相關的事件有一個額外的目標檔案標籤:
如果您調查後發現被識別的檔案無害,您可以右鍵點選該事件並點選允許,將該檔案添加到電腦防護或政策的掃瞄例外清單中。您可以在政策或電腦防護編輯器中,於下檢查掃瞄例外清單。