檢視次數:
惡意程式掃瞄設定是可重複使用的已儲存設定,您可以在設定政策中的惡意程式防護或電腦防護時應用。惡意程式掃瞄設定指定了伺服器與工作負載保護執行的惡意程式掃瞄類型以及掃瞄的檔案。一些政策屬性也會影響惡意程式掃瞄的行為。
秘訣
秘訣
CPU 使用率和 RAM 使用率會因您設定的惡意程式防護而有所不同。要優化代理上的惡意程式防護效能,請參閱 惡意程式防護效能提示

建立或編輯惡意程式掃瞄設定

建立或編輯惡意程式掃瞄設定,以控制即時、手動或預約掃瞄的行為。(如需詳細資訊,請參閱 惡意程式掃瞄設定。)您可以根據需要建立多個惡意程式掃瞄設定。
  • 在您建立惡意程式掃瞄設定後,您可以將其與政策或電腦中的掃瞄關聯(請參閱 選擇要執行的掃瞄類型
  • 當您編輯政策或電腦防護正在使用的惡意程式掃瞄配置時,變更將影響與該配置相關的掃瞄。
秘訣
秘訣
要建立類似現有的惡意程式掃瞄設定,請複製現有設定並進行編輯。
您可以根據掃瞄控制的類型(請參閱惡意程式掃瞄類型)創建兩種類型的惡意程式掃瞄配置:
  • Real-time scan configuration: 控制即時掃瞄。某些操作如 Deny Access 僅適用於即時掃瞄配置。
  • Manual/scheduled scan configuration: 控制手動或預約掃瞄。一些選項如 CPU 使用率 僅適用於手動/預約掃瞄配置。
伺服器與工作負載保護 為每種掃瞄類型提供預設的惡意程式掃瞄配置。
  1. 前往Policies Common Objects Other Malware Scan Configurations
  2. 要建立掃瞄設定,請點選New,然後點選New Real-Time Scan ConfigurationNew Manual/Scheduled Scan Configuration
    1. 請輸入名稱以識別掃瞄配置。當在政策中配置惡意程式掃瞄時,您會在列表中看到該名稱。
    2. (可選)輸入說明以解釋此配置的使用情境。
  3. 要查看和編輯現有的掃瞄配置,請選擇它並點選Properties
  4. 要複製掃瞄配置,請選擇它並點選Duplicate
秘訣
秘訣
要查看使用惡意程式掃瞄配置的政策和電腦,請參閱屬性的 AssignedTo 標籤。

測試惡意程式掃描

在繼續進行其他惡意程式防護配置步驟之前,請測試即時和手動/預約掃瞄以確保它們正常運作。
Test real-time scans:
  1. 請確保即時掃瞄已啟動並選擇了一個配置。
  2. 前往 EICAR 網站並下載他們的惡意程式防護測試檔案。這個標準化檔案將測試即時掃瞄的防毒能力。該檔案應被隔離。
  3. 伺服器與工作負載保護 主控台中,前往 Events & Reports Anti-Malware Events 以驗證 EICAR 檔案偵測的記錄。如果有偵測記錄,則表示惡意程式防護即時掃描運作正常。
Test manual/scheduled scans:
注意
注意
在開始之前,請確保在測試手動/預約掃瞄之前已禁用即時掃瞄。
  1. 前往Administration
  2. 點選 Scheduled tasks New
  3. 從下拉選單中選擇Scan Computers for Malware並選擇頻率。根據您所需的規格完成掃瞄配置。
  4. 前往 EICAR 網站並下載他們的惡意程式防護測試檔案。這個標準化檔案將測試手動/預約掃瞄的防毒能力。
  5. 選擇預約掃瞄並點選Run Task Now。測試檔案應該被隔離。
  6. 伺服器與工作負載保護 主控台中,前往 Events & Reports Anti-Malware Events 以驗證 EICAR 檔案偵測的記錄。如果偵測有被記錄,則惡意程式防護手動/預約掃瞄運作正常。

配置惡意程式掃描功能和特性

另請參閱:

配置惡意程式防護監控級別

重要
重要
監控級別僅支援代理版本 20.0.1.25770 及更高版本。不支援的版本使用預設級別 2 - Moderate,且無法更改。
對於 Linux 代理的支援僅限於 64 位元 (x86-64) 和 32 位元 (x86) 系統。部署到其他 Linux 架構的代理使用預設的 2 - Moderate 等級,無法更改。
Anti-Malware Monitoring Level 設定允許您設置惡意程式掃瞄的敏感度以及在應對潛在威脅時所採用的嚴格程度。較高的級別允許更嚴格的監控,以協助處理如持續的威脅調查等情況,但可能會產生大量不必要的日誌並影響端點性能。
由於可能對端點性能產生影響並生成額外的檢測日誌,趨勢科技建議使用2 - Moderate的預設設定。僅在調查持續的安全威脅或在技術支援中心的指示下使用更高的級別。
  1. 打開惡意程式掃瞄配置的屬性。
  2. General標籤下,於Anti-Malware Monitoring Level中,配置Detection levelPrevention level的設定。
    重要
    重要
    • Prevention level 必須與 Detection level 相同或更低。
  3. 按一下「確定」。
秘訣
秘訣
如果您希望惡意程式防護掃瞄和行為監控排除某些檢測規則,您可以通過前往電腦或政策編輯器的 Anti-Malware Advanced 標籤,將規則 ID 添加到規則例外列表中。您可以通過查看事件與報告中的事件來找到規則 ID。詳細資訊請參見 建立惡意程式防護例外

啟用 Windows AMSI 保護(僅限即時掃描)

Windows 惡意程式掃瞄介面 (AMSI) 是微軟在 Windows 10 及以後版本中提供的介面。伺服器與工作負載保護 利用 AMSI 來幫助檢測惡意腳本。預設情況下,此選項在 伺服器與工作負載保護 的惡意程式掃瞄配置中已啟動。
  1. 打開惡意程式掃瞄配置的屬性。
  2. General標籤中,選擇Enable AMSI protection
  3. 配置Detection levelPrevention level的設定。
    重要
    重要
    • 調整檢測和防護級別僅支援代理版本 20.0.1.25770 及更高版本。不支援的版本使用預設級別 2 - Moderate,且無法更改。
    • 較高的級別提供更高的靈敏度,但可能會產生大量不必要的日誌並影響端點性能。趨勢科技建議選擇2 - Moderate以獲得更相關的資料,並對您的端點影響最小。
    • Prevention level 必須與 Detection level 相同或更低。
    • Action to take 的選擇可能會影響所選防護級別所採取的防護措施。
  4. 對於 Action to take,請選擇您希望 伺服器與工作負載保護 在檢測到惡意程式時採取的修復行動:
    • Terminate (recommended): 停止執行或運行已檢測到的進程。
    • 暫不處理: 伺服器與工作負載保護 記錄了一個惡意程式防護事件,但未對該過程採取行動。
  5. 點選 確定

掃瞄間諜程式和可能的資安威脅程式

當間諜程式和可能的資安威脅程式保護已啟動時,間諜程式掃瞄引擎會在偵測到可疑檔案時將其隔離。
  1. 打開惡意程式掃瞄配置的屬性。
  2. General tab上,選擇Enable spyware/grayware protection
  3. 點選 確定
要識別間諜程式掃瞄引擎應暫不處理的檔案,請參閱建立惡意程式防護例外

掃瞄壓縮的可執行檔案(僅限即時掃瞄)

病毒經常使用即時壓縮算法來試圖繞過病毒過濾。IntelliTrap 功能會阻擋即時壓縮的可執行檔案,並將它們與其他惡意程式特徵配對。
注意
注意
由於 IntelliTrap 將此類檔案識別為安全風險,並且可能錯誤地封鎖安全檔案,當您啟用 IntelliTrap 時,請考慮將檔案隔離(而不是刪除或清理)。(請參閱 配置如何處理惡意程式。) 如果使用者經常交換即時壓縮的可執行檔案,請關閉 IntelliTrap。IntelliTrap 使用病毒掃瞄引擎、IntelliTrap 病毒碼和 IntelliTrap 例外病毒碼。
注意
注意
對於 macOS 代理程式,不支援 IntelliTrap。
  1. 打開惡意程式掃瞄配置的屬性。
  2. General標籤上,選擇Enable IntelliTrap
  3. 點選 確定

掃瞄處理記憶體(僅限即時掃瞄)

重要
重要
掃瞄過程記憶體不支援 Linux 和 macOS 代理。
即時監控進程記憶體,並使用趨勢科技主動雲端截毒技術進行額外檢查,以確定可疑進程是否已知為惡意進程。如果進程是惡意的,伺服器與工作負載保護 將終止該進程。欲了解更多資訊,請參閱 伺服器與工作負載保護 中的主動式雲端截毒技術
  1. 打開惡意程式掃瞄配置的屬性。
  2. General標籤中,選擇Scan process memory for malware
  3. 配置Detection levelPrevention level的設定。
    重要
    重要
    • 調整檢測和防護級別僅支援代理版本 20.0.1.25770 及更高版本。不支援的版本使用預設級別 2 - Moderate,且無法更改。
    • 較高的級別提供更高的靈敏度,但可能會產生大量不必要的日誌並影響端點性能。趨勢科技建議選擇2 - Moderate以獲得更相關的資料,並對您的端點影響最小。
    • Prevention level 必須與 Detection level 相同或更低。
    • Action to take 的選擇可能會影響所選防護級別所採取的防護措施。
  4. 按一下「確定」。

掃瞄壓縮檔案

提取壓縮檔案並掃瞄內容以檢查惡意程式。當您啟用掃瞄時,您可以指定要提取的最大檔案大小和數量(大型檔案可能會影響效能)。您還可以指定要檢查的壓縮層級,以便掃瞄位於壓縮檔案內的壓縮檔案。層級1壓縮是一個單一壓縮檔案。該檔案內的壓縮檔案為層級2。您最多可以掃瞄6個壓縮層級,但較高層級可能會影響效能。
  1. 打開惡意程式掃瞄配置的屬性。
  2. Advanced標籤上,選擇Scan compressed files
  3. 指定要提取的內容檔案的最大大小(以MB為單位)、要掃瞄的壓縮層級以及要提取的檔案最大數量。
  4. 點選 確定

掃瞄嵌入的 Microsoft Office 物件

注意
注意
對於 macOS 代理程式,不支援掃描嵌入的 Microsoft Office 物件。
某些版本的 Microsoft Office 使用物件連結與嵌入 (OLE) 將檔案和其他物件插入 Office 檔案中。這些嵌入的物件可能包含惡意程式碼。
指定要掃瞄的 OLE 層數,以偵測嵌入在其他物件中的物件。為了減少對效能的影響,您可以僅掃瞄每個檔案中少數幾層的嵌入物件。
  1. 打開惡意程式掃瞄配置的屬性。
  2. Advanced tab上,選擇Scan Embedded Microsoft Office Objects
  3. 指定要掃瞄的 OLE 層數。
  4. 點選 確定

啟用通知應用程式的手動掃瞄

通過 趨勢科技通知應用程式 啟用手動掃瞄僅支援 macOS 的 Deep Security Agent 20.0.0-179+。
此功能使 macOS 使用者能透過通知應用程式觸發掃瞄。預設為停用
  • 從電腦防護編輯器或政策編輯器中,點選惡意程式防護標籤。
  • 點選General水平標籤。
  • 手動掃瞄部分,點選以選取Allow agent to trigger or cancel a manual scan from Trend Micro's notifier application的核取方塊。

指定要掃瞄的檔案

識別要包含在掃瞄中的檔案和目錄,然後識別這些檔案和目錄中的任何排除項。您也可以掃瞄網路目錄:

包含項

指定要包含在惡意程式掃瞄中的目錄和檔案類型。
  1. 打開惡意程式掃瞄配置的屬性。
  2. 前往Inclusions標籤。
  3. 指定哪個 directories to scan
    • All directories 包含端點上的所有檔案目錄。
    • Directory List 只掃瞄選定列表中包含的目錄。目錄列表使用特定語法的模式來識別要掃瞄的目錄。(請參見 目錄列表的語法。)
      選擇一個列表使用,或選擇New...來創建一個新列表。點擊編輯以查看或編輯所選列表。
  4. 指定哪個 files to scan.
    • All files。包含惡意程式掃瞄中的所有檔案。
    • File types scanned by IntelliScan。IntelliScan 只掃瞄易受感染的檔案類型,例如 .zip 或 .exe。IntelliScan 不依賴副檔名來判斷檔案類型,而是讀取檔案的標頭和內容來決定是否掃瞄該檔案。與掃瞄所有檔案相比,IntelliScan 減少了掃瞄的檔案數量並提高了效能。
    • File Extension List。掃瞄檔案名稱擴展名包含在指定清單中的檔案。檔案擴展名清單使用具有特定語法的模式。(請參見 檔案擴展名清單的語法。)
      選擇一個列表使用,或選擇New...來創建一個新列表。點擊編輯以查看或編輯所選列表。
  5. 按一下「確定」。

排除項目

排除目錄、檔案和副檔名以進行惡意程式掃瞄。對於即時掃瞄,您也可以排除處理影像檔案。
要排除的檔案和資料夾範例:
  • 如果您正在為 Microsoft Exchange 伺服器建立惡意程式掃瞄設定,請排除 SMEX 隔離資料夾,以避免重新掃瞄已確認為惡意程式的檔案。
  • 如果您有大型 VMware 映像檔,若遇到效能問題,請排除包含這些映像檔的目錄。
秘訣
秘訣
您也可以將由受信任的數位憑證簽署的檔案排除在惡意程式防護掃描之外。此類排除項目在政策或電腦防護設定中定義。(請參閱 排除由受信任憑證簽署的檔案。)
要排除目錄、檔案和處理影像檔案,請建立一個使用模式來識別要排除項目的清單。
  1. 打開惡意程式掃瞄配置的屬性。
  2. 前往Exclusions標籤。
  3. 選擇一種類型的排除清單以啟用排除。
    • Directory List:選擇以啟用,然後選擇一個列表以排除指定的目錄進行惡意程式掃瞄。詳細資訊請參見 目錄列表語法
    • File List:選擇以啟用,然後選擇一個列表以排除指定的檔案從惡意程式掃瞄。詳細資訊請參見 檔案列表的語法
    • File Extension List:選擇以啟用,然後選擇一個列表以排除指定的檔案類型從惡意程式掃瞄。詳細資訊請參見 檔案擴展名列表的語法
    • Process Image File List:選擇以啟用,然後選擇一個列表以排除指定的處理影像檔案以進行惡意程式掃瞄。處理影像檔案列表的語法(僅限即時掃描)
  4. 要創建新列表,請選擇 New... 作為列表類型。
  5. 要檢視或編輯所選列表,請點擊 編輯
  6. 按一下「確定」。

測試檔案排除

在繼續進行其他惡意程式防護配置步驟之前,請測試檔案排除以確保其正常運作:
注意
注意
在開始之前,請確保即時掃瞄已啟動並選擇了一個配置。
  1. 前往Policies Common Objects Other Malware Scan Configurations
  2. 點選 New New Real-time Scan Configuration
  3. 前往Exclusions標籤,並從目錄列表中選擇New
  4. 命名目錄清單。
  5. 目錄下指定您想要排除在掃瞄之外的目錄路徑。例如,c:\Test Folder\。點選OK
  6. 前往General tab,命名手動掃瞄,然後點選確定
  7. 前往 EICAR 網站 並下載他們的惡意程式防護測試檔案。將檔案儲存在前一步驟中指定的資料夾中。該檔案應被儲存且不被惡意程式防護模組檢測到。

目錄列表的語法

注意
注意
目錄列表項目接受正斜杠 "/" 或反斜杠 "\" 以支援 Windows 和 Linux 規範。
例外
格式
說明
範例
目錄
目錄\
排除指定目錄中的所有檔案以及所有子目錄中的所有檔案。
C:\Program Files\ 排除 "程式集" 目錄及所有子目錄中的所有檔案。
具有萬用字元 (*) 的目錄
目錄\*\
排除所有子目錄,僅保留指定的子目錄及其包含的檔案。
C:\abc\*\ 排除 "abc" 目錄下所有子目錄中的所有檔案,但不排除 "abc" 目錄中的檔案。 C:\abc\wx*z\ 匹配:C:\abc\wxz C:\abc\wx123z 不匹配:C:\abc\wxz C:\abc\wx123z C:\abc\*wx\ 匹配:C:\abc\wx C:\abc\123wx 不匹配:C:\abc\wx C:\abc\123wx
具有萬用字元 (*) 的目錄
目錄*\
排除任何名稱匹配的子目錄,但不排除該目錄和任何子目錄中的文件。
 C:\Program Files\SubDirName*\
排除任何資料夾名稱以“SubDirName”開頭的子目錄。不排除 C:\程式集 或任何其他子目錄下的所有檔案。
環境變數
${ENV VAR}
排除由環境變數定義的所有檔案和子目錄。對於虛擬裝置,環境變數的值對必須在Policy or Computer Editor > Settings > General > Environment Variable Overrides.中定義
${windir} 如果變數解析為 "c:\windows",則排除 "c:\windows" 及其所有子目錄中的所有檔案。
評論
目錄 #Comment
將註解新增到您的排除定義中。
 
c:\abc #Exclude the abc directory

檔案清單的語法

例外
格式
說明
範例
檔案
檔案
排除所有具有指定檔案名稱的檔案,不論其位置資訊或目錄。
abc.doc 排除所有目錄中名為 "abc.doc" 的所有檔案。不排除 "abc.exe"。
檔案路徑
檔案路徑
排除由檔案路徑指定的單一檔案。
C:\Documents\abc.doc 僅排除 "Documents" 目錄中的名為 "abc.doc" 的檔案。
包含萬用字元 (*) 的檔案路徑
檔案路徑
排除所有由檔案路徑指定的檔案。
C:\Documents\abc.co*(僅適用於 Windows Agent 平台)排除 "Documents" 目錄中檔案名稱為 "abc" 且副檔名以 ".co" 開頭的任何檔案。
檔案名稱是萬用字元 (*)
FILEPATH\*
排除路徑下的所有檔案,但不包括未指定子目錄中的檔案
C:\Documents\* 排除目錄 C: \Documents 下的所有檔案 C:\Documents\SubDirName*\* 排除所有子目錄中以 "SubDirName" 開頭的資料夾名稱內的所有檔案。不排除 C: \Documents 或任何其他子目錄下的所有檔案。 C:\Documents\*\* 排除 C: \Documents 下所有 direct 子目錄中的所有檔案。不排除後續子目錄中的檔案。
包含萬用字元 (*) 的檔案
檔案*
排除所有檔案名稱中符合模式的檔案。
abc*.exe 排除任何具有 "abc" 前綴和 ".exe" 副檔名的檔案。 *.db 匹配: 123.db abc.db 不匹配: 123db 123.abd cbc.dba *db 匹配: 123.db 123db ac.db acdb db 不匹配: db123 wxy*.db 匹配: wxy.db wxy123.db 不匹配: wxydb
包含萬用字元 (*) 的檔案
FILE.EXT*
排除所有符合檔案副檔名模式的檔案。
abc.v* 排除任何檔案名稱為 "abc" 且副檔名以 ".v" 開頭的檔案。abc.*pp 匹配: abc.pp abc.app 不匹配: wxy.app abc.a*p 匹配: abc.ap abc.a123p 不匹配: abc.pp abc.* 匹配: abc.123 abc.xyz 不匹配: wxy.123
包含萬用字元 (*) 的檔案
FILE*.EXT*
排除所有在檔案名稱和副檔名中符合模式的檔案。
a*c.a*p 
        Matches:
         ac.ap  a123c.ap  ac.a456p  a123c.a456p Does not match: ad.aa</td>
</tr>
<tr>
    <td>Environment variable</td>
    <td>${ENV VAR}</td>
    <td>Excludes files specified by an environment variable with the format ${ENV VAR}. These can be defined or overridden using <term>Policy or Computer Editor &gt; Settings &gt; General &gt; Environment Variable Overrides.</term></td>
    <td>
        <term>
            ${myDBFile}
        </term>
         Excludes the file "myDBFile".</td>
</tr>
<tr>
    <td>Comments</td>
    <td>FILEPATH #Comment</td>
    <td>Adds a comment to your exclusion definitions.</td>
    <td>
        <codeblock>C:\Documents\abc.doc #This is a comment
    </codeblock>
    </td>
</tr>

檔案副檔名列表的語法

例外
格式
說明
範例
檔案副檔名
EXT
匹配所有具有相同文件擴展名的文件。
doc 匹配所有目錄中副檔名為 ".doc" 的所有檔案。
評論
EXT #註解
將註解新增到您的排除定義中。
 
doc #This a comment

處理影像檔案列表的語法(僅限即時掃描)

例外
格式
說明
範例
檔案路徑
檔案路徑
排除由檔案路徑指定的處理影像檔案。
C:\abc\file.exe 僅排除 "abc" 目錄中的名為 "file.exe" 的檔案。

掃瞄網路目錄(僅限即時掃瞄)

如果您想要掃瞄位於網路檔案系統 (NFS)、伺服器訊息區塊 (SMB) 或通用網路檔案系統 (CIFS) 中的網路共享和映射的網路磁碟機中的檔案和資料夾,請選擇Enable Network Directory Scan。此選項僅適用於即時掃瞄。
注意
注意
透過 GVFS(適用於 GNOME 桌面的虛擬檔案系統)在 "~/.gvfs" 中存取的資源將被視為本地資源,而非網路磁碟機。
注意
注意
如果在掃描 Windows 的網路資料夾時檢測到病毒,代理程式可能會顯示一些「清除失敗」(刪除失敗)事件。

指定即時掃描發生的時間

選擇在檔案被開啟閱讀時、寫入時或兩者皆進行掃描。
  1. 打開惡意程式掃瞄配置的屬性。
  2. Advanced標籤上,選擇即時掃瞄屬性的一個選項。
  3. 點選 確定

配置如何處理惡意程式

配置當偵測到惡意程式時伺服器與工作負載保護的行為:

自訂惡意程式修復動作

伺服器與工作負載保護 偵測到惡意程式時,它會執行補救動作來處理該檔案。伺服器與工作負載保護 在遇到惡意程式時可以採取五種可能的動作:
  • Pass: 允許完全存取中毒檔案而不對檔案進行任何操作。(仍會記錄惡意程式防護事件。)
    注意
    注意
    暫不處理 的補救措施絕不應用於可能的病毒。
  • Clean: 在允許完全存取之前清除中毒檔案。如果無法清除該檔案,則將其隔離。
  • Delete:在 Linux 上,中毒檔案會被刪除且不會備份。
    在 Windows 上,中毒檔案會先備份然後刪除。Windows 備份檔案可以在 Events & Reports Events Anti-Malware Events Identified Files查看和還原
  • Deny Access:此中毒處理行動只能在即時掃描期間執行。當伺服器與工作負載保護偵測到嘗試開啟或執行中毒檔案時,會立即阻止該操作。中毒檔案將保持不變。當觸發拒絕存取行動時,中毒檔案會保留在其原始位置資訊。
    注意
    注意
    即時掃瞄 設定為 During Write 時,請勿使用補救措施 Deny Access。當選擇 During Write 時,檔案在寫入時會被掃描,並且動作 Deny Access 無效。
  • Quarantine:將中毒檔案移至電腦防護或虛擬裝置上的隔離目錄。隔離的檔案可以在Events & Reports Events Anti-Malware Events Identified Files查看和還原
    注意
    注意
    在 Linux 上標記為 Quarantined 的惡意程式在 Windows 上可能會標記為 Deleted,儘管這兩個作業系統上的惡意程式是相同的。在任何情況下,該檔案都可以在 Events & Reports Events Anti-Malware Events Identified Files查看和還原
    注意
    注意
    在 Windows 上,中毒的非壓縮檔案(例如 .txt 檔案)會被隔離,而中毒的壓縮檔案(例如 .zip 檔案)會被刪除。在 Windows 上,無論是被隔離或刪除的檔案都有備份,可以在 Events & Reports Events Anti-Malware Events Identified Files查看和還原。在 Linux 上,所有中毒的檔案(無論是壓縮或非壓縮)都會被隔離,並且可以在 Events & Reports Events Anti-Malware Events Identified Files查看和還原
惡意程式掃瞄設定中的預設修復動作適用於大多數情況。然而,您可以自訂當 伺服器與工作負載保護 偵測到惡意程式時要採取的動作。您可以使用 ActiveAction 決定的動作,或為每種類型的弱點指定動作。
ActiveAction 是一組預定義的清理動作,針對每個惡意程式類別進行最佳化。趨勢科技不斷調整 ActiveAction 中的動作,以確保每個偵測到的威脅都能妥善處理。(請參閱 ActiveAction 動作。)
注意
注意
對於 macOS 代理程式,支援的自訂動作包括病毒、木馬和間諜程式。
  1. 打開惡意程式掃瞄配置的屬性。
  2. Advanced標籤上,為Remediation Actions選擇Custom
  3. 指定要採取的動作:
    • 若要讓 ActiveAction 決定要採取的動作,請選擇 Use action recommended by ActiveAction
    • 要為每種類型的弱點指定操作,請選擇Use custom actions,然後選擇要使用的操作。
  4. 指定對可能的惡意程式採取的動作。
  5. 點選 確定

ActiveAction 動作

下表列出了 ActiveAction 採取的操作:
惡意程式類型
處理行動
病毒
清除。如果病毒無法清除,則會在 Windows 上被 刪除,或在 Linux 或 Solaris 上被 隔離。此行為有一個例外:在 Linux 或 Solaris 代理上,如果發現類型為測試病毒的病毒,則會 拒絕訪問 中毒檔案。
木馬程式
隔離
封包器
隔離
間諜程式
隔離
CVE 弱點攻擊
隔離
積極檢測規則
暫不處理(此設定會檢測到更多問題,但也可能會導致更多誤報,因此預設中毒處理行動是觸發事件。)
Cookie
刪除(不適用於即時掃描)
其他威脅
清理
如果無法清除安全威脅,則按以下方式處理:
  • 在 Windows 上,中毒檔案已被刪除,但如有需要,可以查看和還原
  • 在 Linux 或 Solaris 上,拒絕存取中毒檔案
此外,在 Linux 或 Solaris 代理上,如果發現類型為Joke的病毒,會立即隔離。系統不會嘗試清除它。
可能的惡意程式
暫不處理
如需有關 CVE 弱點攻擊和積極偵測規則的詳細資訊,請參閱 掃瞄文件以查找弱點攻擊
注意
注意
當代理程式從主動式更新伺服器或中繼站下載病毒碼更新時,可能會更改其 ActiveAction 掃瞄動作。

生成惡意程式檢測警報

伺服器與工作負載保護 偵測到惡意程式時,您可以產生警報。
  1. 打開惡意程式掃瞄配置的屬性。
  2. General標籤上,為警訊選擇Alert when this Malware Scan Configuration logs an event
  3. 點選 確定

通過檔案雜湊摘要識別惡意程式檔案

伺服器與工作負載保護 可以計算惡意程式檔案的雜湊值,並將其顯示在 Events & Reports Events Anti-Malware Events 頁面上。由於特定的惡意程式可能有多個不同的名稱,雜湊值非常有用,因為它能唯一識別該惡意程式。您可以在從其他來源查詢有關該惡意程式的信息時使用雜湊值。
  1. 打開您要配置的策略或電腦防護編輯器。
  2. 點選 Anti-Malware Advanced
  3. File Hash Calculation下,清除DefaultInherited複選框。(Default顯示於根策略,Inherited顯示於子策略)。
    注意
    注意
    當選取Inherited時,檔案雜湊設定會從目前策略的父策略繼承。
    注意
    注意
    當選擇Default時,伺服器與工作負載保護不會計算任何雜湊值。
  4. 選擇Calculate hash values of all anti-malware events
  5. 預設情況下,伺服器與工作負載保護 將生成 SHA-1 雜湊值。如果您想生成其他雜湊值,您可以選擇 MD5 和/或 SHA256
  6. 您也可以更改將計算雜湊值的惡意程式檔案的最大大小。預設情況下,會跳過大於 128MB 的檔案,但您可以將該值更改為 64 到 512 MB 之間的任何值。

在電腦防護上配置通知

在基於 Windows 的代理程式上,您可能偶爾會看到螢幕通知訊息,提醒您必須採取與惡意程式防護和網頁信譽評等模組相關的伺服器與工作負載保護操作。例如,您可能會看到訊息,需要重新啟動以完成惡意程式防護清理任務。您必須點選對話框中的確定以關閉它。
如果您不希望出現這些通知:
  1. 前往電腦防護或政策編輯器。
  2. 點選左側的設定
  3. Suppress all pop-up notifications on host 設定為 。這些訊息仍會在 伺服器與工作負載保護 中顯示為警報或事件。欲了解有關通知器的詳細資訊,請參閱 通知器

伺服器與工作負載保護 無法存取時執行預約掃瞄

注意
注意
此功能在 Windows 上的 20.0.3445+ 版本代理中受支持。
當代理程式離線時,預約掃瞄惡意程式通常會排隊。若要在代理程式無法連接到伺服器與工作負載保護時仍執行預約掃瞄:
  1. 前往電腦防護或政策編輯器。
  2. 在左側點選惡意程式防護
  3. General 標籤上,選擇預約掃瞄 Enable agent to trigger scheduled scan for malware
注意
注意
當勾選此核取方塊時:
  • Run Task Now 按鈕在 Scheduled Tasks 頁面上將對此代理停用。
  • 伺服器與工作負載保護 管理員在代理程式離線時不會主動排隊任何預約掃瞄任務。

疑難排解

某些特殊情況可能會導致代理無法觸發離線預約掃瞄:
  1. 如果電腦關機,當電腦重新啟動時,預約掃瞄可能因超時而無法觸發。
  2. 如果在預約掃瞄期間電腦關機,當電腦重新啟動時,中斷的預約掃瞄將不會繼續。