You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /
  • 飞连

防病毒策略配置

最近更新时间2024.05.14 19:19:09

首次发布时间2022.11.29 10:24:03

我的收藏

您可以根据企业安全需求,手动配置终端防病毒策略。在策略中,您可以指定病毒检测项、检测方式、处置方式以及生效的终端范围等信息。本文将介绍策略的添加、编辑、复制和删除等操作说明,以及如何配置检测白名单、病毒扫描方式等通用信息。

添加策略

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择终端防病毒策略配置

  3. 策略配置页面的检测配置页签,单击新增策略

  4. 添加检测策略页面,完成以下配置,然后单击确认添加

    配置项

    说明

    策略名称

    自定义名称,用于标识当前策略。

    生效优先级

    当前策略的优先级。取值范围为 0 ~ 100,数值越大表示优先级越高。您可以同时生效多条策略,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有策略后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。

    检测项

    可选择病毒木马黑客工具漏洞利用程序后门钓鱼软件挖矿软件恶意广告恶意邮件勒索软件以及其他恶意软件检测项中的一个或多个,并可以为每个检测项设置危险程度,分为低危中危高危

    检测方式

    可选择定时巡检实时保护方式中的一个或多个。

    • 系统定时巡检:当选择系统定时巡检后,需要在展示出来的定时巡检区域配置巡检策略。
      • 扫描模式:可选择文件扫描进程扫描,支持多选。
      • 扫描路径:可选择快速扫描自定义扫描,支持多选。
        • 快速扫描:根据飞连默认设置的扫描路径进行病毒扫描,默认扫描桌面、系统目录、下载目录等。
          • 检测频率:指定每天 1 次每周 1 次。如果选择每周 1 次,还可指定每周几检测。
          • 检测时间:指定检测的时间段,精确到分钟。
        • 自定义:指定各终端(Windows、Mac、Linux)需要扫描的路径。不同终端的路径格式可以参考页面提供的提示信息。
          • 检测频率:指定每天 1 次每周 1 次每月 1 次。如果选择每周 1 次每月 1 ,还可指定每周几或每月几日检测。
          • 检测时间:指定检测的时间段,精确到分钟。
    • 系统实时防护:当选择系统实时防护后,需要选择至少一个保护场景或自定义实时保护场景。各个场景说明如下:
      • 敏感文件全盘监控:针对病毒概率较高的文件类型进行监控。例如 Windows 下可执行文件及 Office 文件。
      • 程序运行场景:针对有程序运行的场景进行监控。
      • 文件下载场景:针对有文件下载行为的场景进行监控。
      • 外设接入场景:针对有外设接入行为的场景进行监控。外接设备接入电脑时,飞连会扫描文件和 Windows 的引导扇区。在可选外设接入场景中,您可以选择扫描的文件夹深度,文件夹深度分为 3 层5 层、10 层以及无限制。
      • 注册表防护:针对有 Windows 注册表的场景进行监控。
      • 自定义实时保护:自定义保护场景,单击 +添加增加各端(Windows、Mac、Linux)需要扫描的路径。
    • 用户快速查杀:此功能默认开启,不允许关闭。客户端用户可以主动执行快速查杀操作,以迅速检测和清除潜在的安全威胁。单击右侧的展开,可以查看扫描模式,包括文件扫描和进程扫描,以及 Windows、Mac 和 Linux 的扫描路径。
    • 用户指定路径查杀或右键查杀:默认开启,不支持关闭。所有 macOS、Linux 和 Windows 系统的客户端用户都能够主动选择特定路径进行查杀。此外,Windows 系统的用户还可以通过右键菜单快速启动查杀。

    说明

    所有通过用户指定路径扫描以及 Windows 系统右键扫描功能检测到的病毒日志,都会被自动上报至管理后台的病毒日志审计页面。同时,扫描过程中的相关数据也会被系统记录和统计。更多信息,请参见病毒日志审计查看管理后台首页

    处置方式

    设置检测到病毒后的处置方式:

    • 宽松:仅提醒用户。
    • 适中(推荐):提醒用户并自动隔离病毒文件,用户可恢复、信任或删除文件。
    • 严格:提醒用户并自动隔离病毒文件,用户仅可删除文件。

    清除病毒

    选择是否需要飞连自动清除病毒,目前仅支持 Windows 和 Mac 系统:

    • 自动清除(推荐):自动清理文件中的病毒,并上报一条日志到后台。
    • 不自动清除:按照所选【处置方式】进行处理。

    生效对象

    支持以员工设备维度限制生效范围:

    • 员工:通过部门角色限制员工范围。
    • 设备:通过设备名称操作系统设备分组限制设备范围。

管理策略
  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择终端防病毒策略配置
  3. 策略配置页面,单击检测配置页签。
  4. 找到指定的策略,支持以下操作。
    图片
    • 如上图①区域,可设置策略的生效状态。
      • 当开关打开时,当前策略生效,飞连将会按照策略配置检测各终端事件。
      • 当开关关闭时,当前策略不生效,飞连不会通过该策略检测终端。
    • 如上图②区域支持复制编辑或者删除策略。

      说明

      策略被删除后无法恢复,且飞连将不会再继续通过该策略检测终端病毒,但历史已经检测出的病毒事件仍然会记录在事件列表。

调整通用配置

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择终端防病毒 策略配置

  3. 策略配置页面,单击通用配置页签。

  4. 通用配置页签右上角,单击编辑,完成以下调整后,单击确定

    配置区域

    配置项

    说明

    检测配置

    最大扫描文件大小

    设置扫描单个文件时文件大小的最大值,不包含压缩文件。建议最大值不超过 200 MB。

    是否扫描压缩文件

    选择。选择后,您可以填写 1 - 10 的整数。

    说明

    默认开启扫描 5 层压缩文件。

    病毒库更新周期

    设置飞连客户端中病毒库的更新周期。建议设置为 4 小时。

    数据上报周期

    设置飞连客户端内已收集的病毒事件上报周期。后续客户端会根据该周期循环向飞连管理后台上报病毒事件。建议设置为 1 分钟。

    扫描任务黑/白名单

    黑名单

添加任务黑/白名单
  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择终端防病毒 策略配置
  3. 策略配置页面,单击通用配置页签。
  4. 扫描任务黑/白名单区域的右上角,单击右上角的添加白名单添加黑名单,完成以下配置,并单击确定

    • 白名单配置:您可以根据企业业务需求,为终端配置检测白名单。当白名单配置生效后,飞连在进行终端防病毒检测时,不会扫描白名单中的进程或文件。

      配置项

      说明

      配置样例

      任务类型

      选择要添加到白名单的类型,可选进程文件名称文件后缀文件路径文件 SHA1

      示例 1:添加特定文件后缀到白名单,此样例将排除所有 Windows 系统下的 .exe.dll 文件后缀不被扫描。

      • 任务类型:文件后缀
      • 相关配置
        • .exe
        • .dll
      • 操作系统:Windows

      示例 2:添加特定文件路径到白名单,此样例将排除 Windows 系统下的 C:\Program Files\MyApp 文件夹内的所有文件,以及 Mac 系统下的/Applications/MyApp.app/Contents 文件夹内的所有文件不被扫描。

      • 任务类型:文件路径
      • 相关配置
        • C:\Program Files\MyApp\*
        • /Applications/MyApp.app/Contents/*
      • 操作系统:Windows, Mac

      示例 3:添加进程到白名单,此样例将排除名为 MyApp.exe 的进程在 Windows 系统和名为 my_service 的进程在 Linux 系统中不被扫描。

      • 任务类型:进程
      • 相关配置
        • MyApp.exe
        • my_service
      • 操作系统:Windows, Linux

      示例 4:使用通配符添加文件路径到白名单,此样例将排除 Linux 系统下 /home/user/documents 目录下所有扩展名为 .tmp 的文件不被扫描。

      • 任务类型:文件路径
      • 相关配置
        • /home/user/documents/*.tmp
      • 操作系统:Linux

      相关配置

      根据所选任务类型,输入具体的配置信息。多个配置项用回车隔开。

      说明

      支持使用通配符(如 *),以匹配多个文件或路径。

      操作系统

      勾选适用的操作系统,如 MacWindowsLinux

    • 黑名单配置:您可以根据企业业务需求,为终端配置检测黑名单。当黑名单配置生效后,飞连将会在执行扫描任务时对其进行检测。

      配置项

      说明

      配置样例

      风险类型

      选择您希望在黑名单中特别标记的风险类型,可选未知钓鱼软件木马后门恶意邮件漏洞利用程序恶意广告黑客工具勒索软件病毒挖矿软件

      示例 1:添加特定风险类型的文件到黑名单,此样例将确保在 Windows 系统下,名为 suspicious_file.exeunwanted_app.dll 的文件在扫描时被标记为勒索软件风险。

      • 风险类型:勒索软件
      • 任务类型:文件名称
      • 相关配置
        • suspicious_file.exe
        • unwanted_app.dll
      • 操作系统:Windows

      示例 2:添加进程到黑名单,此样例将 hacker_tool.exe 进程添加到 Windows 和 Linux 系统的黑名单中,以便在扫描时对其进行特别检测。

      • 风险类型:黑客工具
      • 任务类型:进程
      • 相关配置
        • hacker_tool.exe
      • 操作系统:Windows, Linux

      示例 3:基于文件 SHA1 添加到黑名单,此样例将特定 SHA1 值的文件添加到 Mac 和 Linux 系统的黑名单中,以便在扫描时对其进行病毒风险的特别关注。

      • 风险类型:病毒
      • 任务类型:文件 SHA1
      • 相关配置
        • EF4B7DEB9D7AC41C0B7C7BC8CB8D0B5B6DF65CBF
      • 操作系统:Mac, Linux

      示例 4:添加恶意广告风险类型的文件后缀到黑名单,此样例将所有具有 .ads.pop 文件后缀的文件添加到 Windows 和 Mac 系统的黑名单中,以便在扫描时对它们进行恶意广告风险的检测。

      • 风险类型:恶意广告
      • 任务类型:文件后缀
      • 相关配置
        • .ads
        • .pop
      • 操作系统:Windows, Mac

      任务类型

      选择要添加到黑名单的类型,可选进程文件名称文件 SHA1

      相关配置

      根据所选任务类型,输入具体的配置信息。多个配置项用回车隔开。

      操作系统

      勾选适用的操作系统,如 MacWindowsLinux