OSCE XG 第三讲 病毒防护配置

  第三章《ACSE 产品必修课程》之任务 1《OSCE XG学习计划》课程 3《OSCE XG 第三讲 病毒防护配置》

扫描配置

基本配置（首次登陆 officescan 管理控制台）

1. 登陆管理控制台
   1. 地址：https://<服务器 FQDN 或 IP 地址>/officeScan
   2. 用户名：root
   3. 密码：安装时设定的密码
2. 确认产品使用授权：管理 → 设置 → 产品使用授权
3. 通知配置：管理 → 通知 → 常规设置、管理员、客户端

扫描方法

  客户端 → 客户端管理 → 设置 → 扫描方法

1. 云安全扫描：使用云安全扫描的客户端将受益于文件信誉服务提供的本地扫描和云端扫描
2. 传统扫描：使用传统扫描的客户端将所有 Officescan 组件存储在客户端终端上，并在本地扫描所有文件

扫描类型

1. 实时扫描：在接受、打开、下载、复制或修改终端上的文件时，会自动扫描该文件
2. 手动扫描：由终端用户启动的扫描，扫描用户请求的一个文件或一组文件
3. 预设扫描：根据配置的时间表，自动扫描终端上的文件
4. 立即扫描：管理员启动的扫描，扫描一个或多个目标计算机上的文件

预设扫描

  客户端 → 客户端管理 → 设置

扫描对象

1. 所有可扫描文件
2. IntelliScan 扫描的文件类型 IntelliScan 通过使用真实文件类型识别检查文件头并且仅扫描已知可能包含恶意代码的文件类型来优化性能。 真实文件类型识别有助于确定通过无害扩展名进行伪装的恶意代码。
3. 带指定扩展名的文件
4. 可设置扫描例外：例外目录、例外文件、文件扩展名例外

优化扫描

  客户端 → 全局客户端配置 → 安全设置

1. 扫描设置
2. 全局客户端扫描配置
3. CPU 使用率（实时扫描无法设置）

处理措施

  清除、隔离、删除、不予处理（不可用于实时扫描）、更名、ActiveAction

  ActiveAction 是针对特定类型的病毒/恶意软件的一组预配置的扫描处理措施。如果您不确定对每种类型的病毒/恶意软件采取何种扫描处理措施，亚信安全建议您使用 ActiveAction

扫描时间

  客户端 → 全局客户端配置 → 安全设置

扫毒功能测试

Eicar 验证

1. 新建文本文档，输入

   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
   

2. 保存文本文档

3. 检查 OfficeScan 是否会拦截

隔离恢复

  场景：公司终端查杀到病毒文件并进行隔离，但该文件中包含重要资料需要从隔离区恢复出来

1. 集中隔离恢复 客户端 > 客户端管理 > 任务 > 集中隔离恢复

2. 工具恢复

   <客户端安装目录>/VSEncode.exe     #被隔离文件在客户端
   <服务器安装文件夹>\PCCSRV\Admin\Utility\VSEncrypt\Vsencode     #被隔离文件在服务端或指定目录
   

勒索软件防护

  目的：通过启用恶意行为阻止，保护终端不受勒索软件的威胁

前置条件

  客户端 → 客户端管理 → 设置 → 其他服务设置

  需先开启：未授权更改阻止服务

勒索软件防护

  客户端 → 客户端管理 → 设置 → 恶意行为监控设置

Web 信誉联动

1. 开启 Web 信誉服务：客户端 → 客户端管理 → 设置 → Web 信誉设置
2. 启用监控最近遇到的程序：客户端 → 客户端管理 → 设置 → 恶意行为监控设置

反漏洞防护

CVE 弱点攻击扫描

1. ATSE（高级威胁扫描引擎）及时防护经由网页/电子邮件下载的文档漏洞利用（CVE）
2. 客户端 → 客户端管理 → 设置 → 实时扫描

漏洞攻击行为阻止

1. 终止表现出漏洞攻击相关的异常行为的程序
2. 客户端 → 客户端管理 → 设置 → 恶意行为监控设置

时间监控

  客户端 → 客户端管理 → 设置 → 恶意行为监控设置

  处理措施：评估、允许、必要时询问、拒绝

未知威胁防护

预测机器学习

1. 目的：通过启用机器学习功能，保护终端不受新威胁和未知威胁的侵扰
2. 前置条件 客户端 → 客户端管理 → 设置 → 其他服务设置 需先开启：未授权更改阻止服务、高级保护服务
3. 开启机器学习功能：客户端 → 客户端管理 → 设置 → 预测机器学习设置

可疑连接服务

1. 目的：监控终端与可能的 C&C 服务器建立的连接行为
2. 开启服务 客户端 → 客户端管理 → 设置 → 其他服务设置 需先开启：可疑连接服务
3. 编辑 IP 列表：客户端 → 全局客户端设置 → 编辑定义的 IP 列表
4. 配置可疑连接：客户端 → 客户端管理 → 设置 → 可疑连接设置

样本提交

1. 目的：将可能包含以前未识别的威胁的文件样本提交给沙盒虚拟平台
2. 前置条件：确认 OSCE 已注册在 TMCM 上、TMCM 已注册 DDAN
3. 开启样本提交：客户端 → 客户端管理 → 设置 → 样本提交

其他威胁防护

移动设备管控（预防 U 盘病毒）

  客户端 → 客户端管理 → 设置 → 移动设备权限管理设置

  存储设置的权限：完全访问、修改、读取和执行、读取、仅列出设备内容、阻止

爆发阻止（可能会影响日常办公，谨慎操作）

  客户端 → 爆发阻止

1. 限制/禁止访问共享文件
2. 封闭端口
3. 禁止对文件和文件夹写入

无法拒绝对映射的网络驱动器进行写人访问

4. 拒绝访问压缩可执行文件
5. 在恶意软件进程/文件上创建互相排斥（互斥）处理

联动配置

与 TMCM

  管理 → 设置 → 控制管理中心

与 DDAN

1. 管理 → 设置 → 可疑对象列表
2. 客户端 → 客户端管理 → 设置 → 样本提交

与 CTDI

1. CTDI web 控制台 → 探针 → 防毒墙集成
2. OSCE web 控制台 → 插件 → 注册
3. OSCE web 控制台 → 插件 → 管理程序