管理“下载智能分析”检测

自动防护包含一项称作“下载智能分析”的功能,该功能可检查用户尝试通过 Web 浏览器、文本消息传送客户端及其他门户下载的文件。
支持的门户包括 Internet Explorer、Firefox、Microsoft Outlook、Outlook Express、Google Chrome、Windows Live Messenger 和 Yahoo Messenger。
“下载智能分析”根据文件信誉的相关证据确定下载的文件可能存在风险。只有在 Windows 计算机上运行的客户端支持“下载智能分析”。
如果您针对客户端计算机上的电子邮件安装自动防护,则自动防护也会扫描用户以电子邮件附件的形式收到的文件。
管理“下载智能分析”检测
任务
说明
了解“下载智能分析”如何使用信誉数据做出关于文件的决定
“下载智能分析”在做出有关下载的文件的决定时仅使用信誉信息。它不使用特征或启发式来进行决策。如果“下载智能分析”允许某个文件,则自动防护或 SONAR 将在用户打开或运行此文件时扫描此文件。
查看下载风险分布报告以查看“下载智能分析”检测
您可以使用下载风险分布报告来查看“下载智能分析”在您的客户端计算机上检测到的文件。您可以按 URL、Web 域或应用程序对报告进行排序。您还可以查看用户是否已选择允许某个检测到的文件。
“下载智能分析”检测到的风险的详细信息仅显示第一个尝试进行下载的门户应用程序。例如,用户可能会使用 Internet Explorer 来尝试下载将由“下载智能分析”检测的某个文件。如果用户随后使用 Firefox 来尝试下载此文件,则风险详细信息会将 Internet Explorer 显示为门户。
显示在报告中的“用户允许”文件可能会指示误报检测。
您也可以指定接收有关用户允许的新下载的电子邮件通知。
用户可通过回应显示的检测通知来允许文件。
管理员会收到报告,该报告是
Symantec Endpoint Protection Manager
所生成和通过电子邮件发送的每周报告的一部分。您必须在安装过程中已为管理员指定某个电子邮件地址,或配置为管理员属性的一部分。您还可以从控制台的“
报告
”选项卡中生成报告。
为特定文件或 Web 域创建例外
您可以为用户下载的某个应用程序创建例外。还可以为您认为可信的特定 Web 域创建例外。
如果您的客户端计算机使用需要身份验证的代理,则您必须为 Symantec URL 指定可信 Web 域例外。例外允许您的客户端计算机与 Symantec Insight 和 Symantec 的其他重要站点进行通信。
有关建议例外的信息,请参见以下文章:
默认情况下,“下载智能分析”不会检查用户从受信 Internet 或 Intranet 站点下载的任何文件。您可以在 Windows
“控制面板”>“Internet 选项”>“安全”
选项卡上配置受信任的站点和受信任的本地 Intranet 站点。如果已启用“
自动信任从 Intranet 网站下载的任何文件
”选项,则
Symantec Endpoint Protection
会允许用户从列表中任何站点下载的任何文件。
Symantec Endpoint Protection
会在用户登录时并每隔四个小时检查“Internet 选项”信任站点列表是否有更新。
“下载智能分析”只能识别明确配置的受信站点。允许使用通配符,但不支持不可路由的 IP 地址范围。例如,下载智能分析无法将 10.*.*.* 识别为受信任的站点。此外,
“下载智能分析”也不支持通过“Internet 选项”>“安全”>“自动检测 Intranet 网络”
选项发现的站点。
确保启用了“智能扫描查询”
“下载智能分析”需要来自 Symantec Insight 的信誉数据来做出关于文件的决定。如果您禁用“智能扫描查找”,则“下载智能分析”会运行,但是只会检测具有最差信誉的文件。默认情况下,智能扫描查找处于启用状态。
自定义下载智能分析设置
您可能会出于以下原因而需要自定义“下载智能分析”设置:
  • 增加或减少“下载智能分析”检测结果的数目。
    您可以调整恶意文件敏感度滑块,以增加或减少检测数目。敏感度级别越低,“下载智能分析”检测到的恶意文件就越少,检测到的未经验证的文件就越多,误报检测也越少。
    敏感度级别越高,“下载智能分析”检测到的恶意文件就越多,检测到的未经验证的文件就越少,误报检测也越多。
  • 更改检测到恶意文件或未经验证的文件时采取的操作。
    您可以更改“下载智能分析”处理恶意文件或未经验证的文件的方式。指定的操作不仅会影响检测结果,还会影响用户是否可与检测结果进行交互。
    例如,您可将针对未经验证文件的操作更改为“
    忽略
    ”。然后,“下载智能分析”就会始终允许未经验证的文件,而不会向用户发出警报。
  • 针对“下载智能分析”检测结果向用户发出警报。
    当已启用通知时,恶意文件敏感度设置会影响用户收到的通知数量。如果您提高敏感度,则会增加用户通知的数量,因为检测的总数会增加。
    您可以关闭通知,这样在“下载智能分析”进行检测时,用户将无法进行选择。如果您将通知保持为启用状态,则可将针对未经验证文件的操作设置为“
    忽略
    ”,以便始终允许这些检测,而不会通知用户。
    无论是否启用通知设置,只要“下载智能分析”检测到未经验证的文件,都会执行“
    提示
    ”操作,以便用户能够允许或禁止该文件。如果用户允许该文件,该文件将自动运行。
    如果启用通知,则当“下载智能分析”隔离文件时,用户可以撤消隔离操作并允许该文件。
    如果用户允许已隔离的文件,该文件不会自动运行。用户可以从 Temporary Internet Files 文件夹中运行该文件。通常,文件夹位置是下列之一:
    • Windows 8 及更高版本:
      驱动器
      :\Users\
      用户名
      \AppData\Local\Microsoft\Windows\INetCache
    • Windows Vista / 7:
      驱动器
      :\Users\
      用户名
      \AppData\Local\Microsoft\Windows\Temporary Internet Files
    • Windows XPf(适用于旧版 12.1.x 客户端):
      驱动器
      :\Documents and Settings\
      用户名
      \Local Settings\Temporary Internet Files
允许客户端将有关信誉检测的信息提交至 Symantec
默认情况下,客户端会将有关信誉检测的信息发送至 Symantec。
Symantec 建议您允许提交信誉检测结果。此信息可帮助 Symantec 应对威胁。