跳至主内容

实时防护

反恶意软件 > 实时防护 策略部分,您可以配置终端用户访问本地及网络文件时的反恶意软件防护。

policy_antimalware_on_access_cp_48187_en.png

重要提示

此功能仅在终端安装的安全代理运行于 检测与防护 模式时启用。要访问此设置,请前往 安装包 页面并点击您要使用的安装包。该选项位于 操作模式 下的 安全模块与角色 部分。

实时扫描

实时扫描通过在被访问(打开、移动、复制或执行)时检测本地及网络文件、引导扇区及潜在有害程序(PUA),阻止新型恶意软件威胁侵入系统。

注意

该功能在基于Linux的系统上存在特定限制。详情请参阅 GravityZone .

配置实时扫描:

  1. 点击开关启用 实时扫描 .

    警告

    若关闭实时扫描,终端设备将面临恶意软件威胁。

  2. 快速配置时,请选择最适合您需求的安全等级( 严格模式 , 普通模式 宽松模式 ).

    参考描述说明进行选择。

  3. 也可直接开始配置任务设置,此时安全等级将自动切换为 自定义 .

扫描任务设置按以下结构组织:

  • 文件位置 - 使用这些选项可指定要扫描的文件类型。本地文件(存储在本地终端)和网络文件(存储在网络共享中)的扫描偏好可分别配置。

    • 若网络中所有计算机均已安装反恶意软件防护,可禁用网络文件扫描以加快网络访问速度。

      您可将安全代理设置为扫描所有访问文件(无论其扩展名)、仅扫描应用程序文件或扫描您认为危险的特定文件扩展名。

    • 扫描所有访问文件能提供最佳防护,而仅扫描应用程序则可提升系统性能。

      注意

      应用程序文件比其他类型文件更易受恶意软件攻击。详情请参阅 应用程序文件类型 .

    • 若仅需扫描特定扩展名,请从菜单中选择 用户自定义扩展名 ,然后在编辑字段中输入扩展名,每个扩展名输入后按 回车键

      policy_antimalware_on_access_extensions_cp_48187_en.png

      要将扩展名列表用于其他位置,请点击 icon_copy_to_clipboard.png 复制到剪贴板 按钮。

      要逐个移除扩展名,请点击对应项旁的 icon_delete.png 删除 按钮。要清除所有扩展名,请点击 清空列表 选项。

      注意

      在基于Linux的系统上,文件扩展名区分大小写,同名不同扩展名的文件被视为不同对象。例如, file.txt file.TXT .

    • 出于系统性能考虑,您还可将大文件排除在扫描范围外。

      勾选 最大大小 勾选复选框并指定将被扫描的文件大小限制。请谨慎使用此选项,因为恶意软件也可能感染较大文件。

  • 扫描 - 勾选对应复选框以启用所需扫描选项:

    • 仅新文件或已更改文件

      通过仅扫描新文件和已更改文件,您可以在安全影响最小的情况下显著提高系统整体响应速度。

    • 引导扇区

      扫描系统的引导扇区。

      硬盘的这个扇区包含启动引导过程所需的代码。

      当病毒感染引导扇区时,驱动器可能无法访问,您可能无法启动系统并访问数据。

    • 进程内存

      扫描进程内存以检测内存中的恶意行为。

    • 针对键盘记录器

      键盘记录器会记录您在键盘上输入的内容,并通过互联网将报告发送给恶意人员(黑客)。

      黑客可以从窃取的数据中发现敏感信息,如银行账号和密码,并利用这些信息谋取个人利益。

    • 针对潜在有害程序(PUA)

      潜在有害程序(PUA)是计算机上可能不需要的程序,有时会与免费软件捆绑。此类程序可能在未经用户同意的情况下安装(也称为广告软件),或默认包含在快速安装包中(广告支持)。这些程序的潜在影响包括弹出窗口显示、在默认浏览器中安装不需要的工具栏或在后台运行多个进程并降低计算机性能。

    • 压缩文件

      如果要启用对压缩文件的访问时扫描,请选择此选项。扫描压缩文件内部是一个缓慢且资源密集型的过程,因此不建议用于实时保护。包含受感染文件的压缩文件不会立即对系统安全构成威胁。只有在从压缩文件中提取受感染文件并在未启用访问时扫描的情况下执行时,恶意软件才会影响系统。

      如果决定使用此选项,可以配置以下优化选项:

      • 压缩文件最大大小

        您可以设置访问时扫描的压缩文件的最大接受大小限制。

        勾选相应复选框并输入最大压缩文件大小(以MB为单位)。

      • 压缩文件最大深度(层级)

        勾选相应复选框并从菜单中选择最大压缩文件深度。

        为获得最佳性能选择最低值,为获得最大保护选择最高值。

    • 延迟扫描

      延迟扫描在执行文件访问操作时提高系统性能。例如,复制大文件时不会影响系统资源。此选项默认启用。

  • 扫描操作 - 根据检测到的文件类型,自动采取以下操作:

    • 对受感染对象的操作

      Bitdefender 通过多种先进机制(包括恶意软件特征码、机器学习和基于人工智能(AI)的技术)将对象(文件、注册表等)检测为受感染状态。

      Bitdefender 安全代理通常会将受感染对象移至隔离区,拒绝访问该对象,并通过移除恶意代码并重建原始对象来尝试对其进行消毒。

      默认情况下,如果检测到受感染对象, Bitdefender 安全代理会自动尝试修复该对象。

      您可以根据需要更改此推荐流程。

      重要说明

      对于特定类型的恶意软件,由于检测到的文件完全具有恶意性,因此无法进行消毒。在此类情况下,受感染对象将从磁盘中删除。

    • 对潜在不需要应用程序(PUA)的操作

      默认情况下,检测到的潜在不需要应用程序仅被报告,而不会被修复。

    • 对网络文件的操作

      默认情况下,对网络文件的操作是拒绝访问。

    尽管不推荐,但您可以更改默认操作。以下是可用的操作:

    • 拒绝访问

      拒绝访问受感染对象。

      重要说明

      对于MAC端点, 移至隔离区 操作将替代 拒绝访问 .

    • 修复

      拒绝访问受感染对象并将其移至隔离区。随后尝试通过移除恶意代码及恶意软件创建的任意产物来对系统进行消毒。

      建议始终将此作为对受感染对象采取的首要操作。

      注意

      要自动将受感染对象移至隔离区,请确保已在 应用消毒操作前将文件复制到隔离区 选项中勾选 反恶意软件 > 设置 策略部分。

    • 移至隔离区

      受感染对象将从当前位置移至隔离文件夹。隔离对象无法执行或打开,因此感染风险消失。您可以通过控制台的 隔离 页面管理隔离对象。

    • 仅报告

      不会对受感染对象采取任何操作。这些对象仅会出现在扫描日志中。

  • Linux目录扫描 - 输入Linux终端上用于实时扫描的目录路径。

    默认情况下,表格中有五个条目,每个条目对应终端上的特定位置: /home , /bin , /sbin , /usr , /etc .

    要添加更多条目:

    1. 添加目录 字段中,每次输入一个自定义位置。

    2. 点击 add-icon_mdr_204803_en.png 添加 按钮。

    要编辑现有位置:

    1. 点击 edit.png 编辑 按钮,位于 操作 列中。

    2. 修改目录路径。

    3. 点击 exclusionsOKicon.png 确定 按钮保存更改。

      或点击 icon_cancel.png 取消 按钮放弃更改。

    要删除位置,请点击 icon_delete.png 删除 按钮,位于 操作 列中。

    policy_antimalware_on_access_linux_cp_48187_en.png

DazukoFS第三方内核模块

DazukoFS第三方内核模块使 Bitdefender端点安全工具 能够在Linux上执行实时扫描。有关启用实时扫描及指定Linux扫描目录的信息,请参阅 反恶意软件实时扫描章节 .

Linux版 Bitdefender端点安全工具 包含一个实时扫描模块,该模块针对特定Linux发行版和内核版本需要第三方可加载内核模块DazukoFS。DazukoFS是一种堆叠式文件系统,允许第三方应用程序控制Linux系统上的文件访问。

Bitdefender端点安全工具 安装包已包含并自动为部分受支持的Linux内核版本安装DazukoFS。随附的DazukoFS包 Bitdefender Endpoint Security Tools 已针对下表中列出的内核版本进行编译:

Linux发行版

内核版本

CentOS 6.x

2.6.32-754.35.1.el6

Red Hat Enterprise Linux 6.x

若要在内核版本较低且不受DazukoFS支持的Linux发行版上使用实时扫描功能,您必须手动编译并安装适用于对应内核的DazukoFS软件包。

重要提示

DazukoFS是旧版解决方案。要在内核版本2.6.38及更高的Linux系统上执行实时扫描,需启用Fanotify。有关Linux实时扫描的要求(包括支持DazukoFS和Fanotify的内核列表),请参阅 本文 .

要了解Linux实时扫描可能存在的问题,请参考 Linux版 Bitdefender Endpoint Security Tools 中的实时扫描 .

其他有用主题:

手动编译安装DazukoFS模块

本节将指导您如何手动编译安装DazukoFS模块。请按以下步骤操作:

  1. 下载对应的内核头文件。

    • Ubuntu 系统上,运行以下命令:

      $sudoapt-getinstalllinux-headers-'uname-r'

    • RHEL / CentOS 系统上,运行以下命令:

      $sudoyuminstallkernel-develkernel-headers-'uname-r'

    • Ubuntu 系统上,您需要安装 build-essential :

      $sudoapt-getinstallbuild-essential

    • RHEL / CentOS 系统上,您需要安装 yum-utils :

      $yuminstall-yyum-utils

  3. 将DazukoFS源代码复制并解压到指定目录:

    #mkdir/tmp/Dazukotemp

    #cd/tmp/Dazukotemp

    #cp/opt/bitdefender-security-tools/share/src/dazukofs-source.tar.gz.

    #tar-xzvfdazukofs-source.tar.gz

    #cddazukofs-3.1.4

  4. 编译模块:

    #make

  5. 安装并加载模块:

    #makedazukofs_install

DazukoFS限制条件

要使DazukoFS与实时扫描模块协同工作,必须满足一系列条件。请检查以下任一陈述是否适用于您的Linux系统,并遵循指南以避免问题:

  • SELinux策略必须被禁用或设置为 宽容模式 。要检查和调整SELinux策略设置,请编辑 /etc/selinux/config 文件。

  • Bitdefender终端安全工具 仅与安装包中附带的DazukoFS版本兼容。若系统中已安装DazukoFS,请在安装 Bitdefender终端安全工具 .

  • DazukoFS支持以下内核版本:

    • 2.6.32-754.35.1.el6.x86_64

    • 2.6.32-754.35.1.el6.centos.plus.x86_64

    • 2.6.32-754.35.1.el6.i686

    • 2.6.32-754.35.1.el6.centos.plus.i686

    Bitdefender终端安全工具 附带的DazukoFS包与系统内核版本不兼容,模块将无法加载。此时您可将内核更新至受支持版本,或为当前内核版本重新编译DazukoFS模块。DazukoFS包位于 Bitdefender终端安全工具 安装目录:

    /opt/bitdefender-security-tools/share/modules/dazukofs/dazukofs-modules.tar.gz

  • 当使用NFS、UNFSv3或Samba等专用服务器共享文件时,需先启用实时扫描再挂载网络共享,步骤如下:

    1. 通过 控制中心 的策略启用实时扫描。详情请参阅 实时扫描策略设置 .

    2. 启动网络共享服务。

      注意

      • 对于NFS:

        #servicenfsstart

      • 对于UNFSv3:

        #serviceunfs3start

      • 对于Samba:

        #servicesmbdstart

      重要提示

      对于NFS服务,DazukoFS仅兼容NFS用户服务器。

本节内容 :