跳至主内容

实时防护

反恶意软件 > 实时防护 策略部分中,您可以配置终端用户访问本地和网络文件时的反恶意软件保护。

policy_antimalware_on_access_cp_48187_en.png

重要提示

此功能仅在终端安装的安全代理运行于 检测与防护 模式时启用。要访问此设置,请前往 安装包 页面并点击要使用的安装包。您可以在 运行模式 下的 安全模块与角色 部分找到该选项。

访问时扫描

访问时扫描通过在被访问(打开、移动、复制或执行)时扫描本地和网络文件、引导扇区及潜在有害应用程序(PUA),防止新的恶意软件威胁进入系统。

注意

该功能在基于Linux的系统上存在特定限制。详情请参阅 GravityZone .

配置访问时扫描:

  1. 点击切换开关启用 访问时扫描 .

    警告

    若关闭访问时扫描,终端将面临恶意软件威胁。

  2. 快速配置时,选择最适合需求的安全等级( 激进 , 普通 宽松 ).

    参考描述说明进行选择。

  3. 或直接开始配置任务设置,此时安全等级将自动变为 自定义 .

扫描任务设置按以下方式组织:

  • 文件位置 - 使用这些选项指定需扫描的文件类型。可分别为本地文件(存储在本地终端)和网络文件(存储在网络共享)配置扫描偏好。

    • 若网络内所有计算机均已安装反恶意软件防护,可禁用网络文件扫描以加快网络访问速度。

      可设置安全代理扫描所有被访问文件(无论扩展名)、仅扫描应用程序文件或您认为危险的具体文件扩展名。

    • 扫描所有被访问文件提供最佳防护,而仅扫描应用程序可提升系统性能。

      注意

      应用程序文件相比其他类型文件更易受恶意软件攻击。更多信息请参阅 应用程序文件类型 .

    • 若仅需扫描特定扩展名,请从菜单中选择 用户自定义扩展名 ,随后在编辑字段中输入扩展名,每个扩展名输入后按 回车键 确认。

      policy_antimalware_on_access_extensions_cp_48187_en.png

      要将扩展名列表用于他处,请点击 icon_copy_to_clipboard.png 复制到剪贴板 按钮。

      要逐个删除扩展名,点击对应条目旁的 icon_delete.png 删除 按钮。要清空所有扩展名,请点击 清除列表 选项。

      注意

      在Linux系统中,文件扩展名区分大小写,同名不同扩展名的文件被视为独立对象。例如 file.txt file.TXT .

    • 出于系统性能考虑,您还可将大文件排除在扫描范围外。

      勾选 最大尺寸 复选框并指定待扫描文件的尺寸上限。请审慎使用此选项,因恶意软件也可能感染大文件。

  • 扫描 - 勾选相应复选框以启用所需扫描选项:

    • 仅新文件或变更文件

      通过仅扫描新增和变更文件,可在最小化安全牺牲的前提下显著提升系统整体响应速度。

    • 引导扇区

      扫描系统的引导扇区。

      硬盘的这一扇区包含启动引导过程所需的代码。

      当病毒感染引导扇区时,驱动器可能无法访问,您可能无法启动系统并访问数据。

    • 进程内存

      扫描进程内存以检测内存中的恶意行为。

    • 针对键盘记录器

      键盘记录器会记录您在键盘上输入的内容,并通过互联网将报告发送给恶意人员(黑客)。

      黑客可以从窃取的数据中发现敏感信息,如银行账号和密码,并利用这些信息谋取个人利益。

    • 针对潜在有害程序(PUA)

      潜在有害程序(PUA)是指可能在电脑上不受欢迎的程序,有时会与免费软件捆绑。此类程序可能在未经用户同意的情况下安装(也称为广告软件),或默认包含在快速安装包中(广告支持)。这些程序的潜在影响包括弹出窗口的显示、在默认浏览器中安装不需要的工具栏或在后台运行多个进程并降低电脑性能。

    • 压缩包

      如果您希望启用对压缩文件的实时扫描,请选择此选项。扫描压缩包内部是一个缓慢且资源密集型的过程,因此不建议用于实时保护。包含感染文件的压缩包不会立即对系统安全构成威胁。只有在从压缩包中提取感染文件并在未启用实时扫描的情况下执行时,恶意软件才会影响系统。

      如果您决定使用此选项,可以配置以下优化选项:

      • 压缩包最大大小

        您可以设置实时扫描的压缩包的最大接受大小限制。

        选择相应的复选框并输入最大压缩包大小(以MB为单位)。

      • 压缩包最大深度(层级)

        选择相应的复选框并从菜单中选择最大压缩包深度。

        为获得最佳性能,请选择最低值;为获得最大保护,请选择最高值。

    • 延迟扫描

      延迟扫描在执行文件访问操作时提高系统性能。例如,复制大文件时不会影响系统资源。此选项默认启用。

  • 扫描操作 - 根据检测到的文件类型,将自动采取以下操作:

    • 对感染对象的操作

      Bitdefender 通过各种先进机制(包括恶意软件签名、机器学习和基于人工智能(AI)的技术)将对象(文件、注册表等)检测为感染对象。

      Bitdefender 安全代理通常可以将感染对象移动到隔离区,拒绝访问,并通过删除恶意代码并重建原始对象来尝试对其进行消毒。

      默认情况下,如果检测到感染对象, Bitdefender 安全代理将自动尝试修复该对象。

      您可以根据需要修改这一推荐流程。

      重要提示

      对于特定类型的恶意软件,由于检测到的文件完全为恶意代码,因此无法进行消毒处理。此类情况下,受感染对象将被从磁盘中删除。

    • 对潜在不需要应用程序的处理

      默认情况下,检测到的潜在不需要应用程序仅被报告而不会进行修复。

    • 对网络文件的处理

      默认情况下,对网络文件采取拒绝访问操作。

    虽然不推荐,但您可以修改默认操作。可选操作包括:

    • 拒绝访问

      禁止访问受感染对象。

      重要说明

      对于MAC终端, 移至隔离区 操作将替代 拒绝访问 .

    • 修复

      禁止访问受感染对象并将其移至隔离区。随后尝试通过移除恶意代码及恶意软件生成的任何产物来消毒系统。

      建议始终将此作为处理受感染对象的第一优先操作。

      注意

      要自动将受感染对象移至隔离区,请确保已在策略的 执行消毒操作前将文件复制到隔离区 选项中勾选 反恶意软件 > 设置 部分。

    • 移至隔离区

      受感染对象将从当前位置移至隔离文件夹。隔离对象无法执行或打开,从而消除感染风险。您可以通过控制台的 隔离 页面管理隔离对象。

    • 仅报告

      不会对受感染对象采取任何操作,这些对象仅会出现在扫描日志中。

  • Linux目录扫描 - 为Linux终端上的实时扫描输入目录路径。

    默认情况下,表格中包含五个条目,每个条目对应终端上的特定位置: /home , /bin , /sbin , /usr , /etc .

    添加更多条目的方法:

    1. 添加目录 字段中,每次输入一个自定义位置。

    2. 点击 add-icon_mdr_204803_en.png 添加 按钮。

    编辑现有位置的方法:

    1. 点击 edit.png 编辑 按钮(位于 操作 列。

    2. 编辑目录路径。

    3. 点击 exclusionsOKicon.png 确定 按钮保存更改。

      或者,点击 icon_cancel.png 取消 按钮放弃更改。

    要删除某个位置,请点击 icon_delete.png 删除 按钮所在的 操作 列。

    policy_antimalware_on_access_linux_cp_48187_en.png

DazukoFS第三方内核模块

DazukoFS第三方内核模块使 Bitdefender终端安全工具 能够在Linux上执行实时扫描。有关启用实时扫描及指定Linux扫描目录的信息,请参阅 反恶意软件实时扫描章节 .

Linux版 Bitdefender终端安全工具 包含一个实时扫描模块,该模块针对特定Linux发行版和内核版本需要第三方可加载内核模块DazukoFS。DazukoFS是一种堆叠式文件系统,允许第三方应用程序控制Linux系统上的文件访问。

Bitdefender终端安全工具 安装包已包含并自动为部分受支持的Linux内核版本安装DazukoFS。随 Bitdefender终端安全工具 附带的DazukoFS包已针对下表中列出的内核版本进行编译:

Linux发行版

内核版本

CentOS 6.x

2.6.32-754.35.1.el6

红帽企业版Linux 6.x

若要在内核版本较低且不受DazukoFS支持的Linux发行版上使用实时扫描功能,您必须手动编译并安装适用于对应内核的DazukoFS软件包。

重要提示

DazukoFS是传统解决方案。要在内核版本2.6.38及更高的Linux系统上执行实时扫描,需启用Fanotify功能。有关Linux实时扫描的要求(包括支持DazukoFS和Fanotify的内核列表),请参阅 本文 .

要了解Linux实时扫描可能存在的问题,请参考 Bitdefender终端安全工具 Linux版 .

其他实用主题:

手动编译安装DazukoFS模块

本节将指导您如何手动编译安装DazukoFS模块,请按以下步骤操作:

  1. 下载正确的内核头文件。

    • Ubuntu 系统上执行以下命令:

      $sudoapt-getinstalllinux-headers-'uname-r'

    • RHEL / CentOS 系统上执行以下命令:

      $sudoyuminstallkernel-develkernel-headers-'uname-r'

    • Ubuntu 系统上,需要安装 build-essential :

      $sudoapt-getinstallbuild-essential

    • RHEL / CentOS 系统上,需要安装 yum-utils :

      $yuminstall-yyum-utils

  3. 将DazukoFS源代码复制并解压到指定目录:

    #mkdir/tmp/Dazukotemp

    #cd/tmp/Dazukotemp

    #cp/opt/bitdefender-security-tools/share/src/dazukofs-source.tar.gz.

    #tar-xzvfdazukofs-source.tar.gz

    #cddazukofs-3.1.4

  4. 编译模块:

    #make

  5. 安装并加载模块:

    #makedazukofs_install

DazukoFS限制说明

要使DazukoFS与实时扫描模块协同工作,必须满足一系列条件。请检查以下任一情况是否适用于您的Linux系统,并遵循指南以避免问题:

  • SELinux策略必须禁用或设置为 宽容模式 。要检查和调整SELinux策略设置,请编辑 /etc/selinux/config 文件。

  • Bitdefender终端安全工具 仅与安装包内附带的DazukoFS版本兼容。若系统中已安装DazukoFS,请先卸载再安装 Bitdefender终端安全工具 .

  • DazukoFS支持以下内核版本:

    • 2.6.32-754.35.1.el6.x86_64

    • 2.6.32-754.35.1.el6.centos.plus.x86_64

    • 2.6.32-754.35.1.el6.i686

    • 2.6.32-754.35.1.el6.centos.plus.i686

    Bitdefender终端安全工具 附带的DazukoFS包与系统内核版本不兼容,模块将加载失败。此时您可升级内核至支持版本,或为当前内核版本重新编译DazukoFS模块。DazukoFS包位于 Bitdefender终端安全工具 安装目录:

    /opt/bitdefender-security-tools/share/modules/dazukofs/dazukofs-modules.tar.gz

  • 使用NFS、UNFSv3或Samba等专用服务器共享文件时,需先启用实时扫描再挂载网络共享,步骤如下:

    1. 通过 控制中心 的策略启用实时扫描。详情请参阅 实时扫描策略设置 .

    2. 启动网络共享服务。

      注意

      • NFS服务:

        #servicenfsstart

      • UNFSv3服务:

        #serviceunfs3start

      • Samba服务:

        #servicesmbdstart

      重要提示

      对于NFS服务,DazukoFS仅兼容NFS用户服务器。

本节内容 :