关于扫描的类型和实时防护

Symantec Endpoint Protection
包括不同类型的扫描和实时防护,用于检测不同类型的病毒、威胁和风险。
从 14 开始,扫描将访问云中的完整定义集。
默认情况下,
Symantec Endpoint Protection
每天下午 12:30 运行一次活动扫描。
Symantec Endpoint Protection
还会在新定义到达客户端计算机时运行活动扫描。在非受管计算机上,
Symantec Endpoint Protection
还包括已禁用的默认启动扫描。
当客户端计算机关机或处于休眠或睡眠模式时,计算机可能会错过调度扫描。默认情况下,当计算机启动或唤醒时,会在指定的间隔时间内重试扫描。如果间隔时间已过期,
Symantec Endpoint Protection
则不会运行扫描,而会等到下次的调度扫描时间再运行。您可以修改错过调度扫描的设置。
您应该确保每天在网络中的计算机上运行活动扫描。如果怀疑网络中存在非活动威胁,则您可能需要调度每周或每个月运行一次的全面扫描。全面扫描会占用较多的计算机资源,并且可能会影响计算机性能。
扫描类型
扫描类型
说明
自动防护
“自动防护”会持续检查计算机写入或读取的文件和电子邮件数据。“自动防护”会自动破坏或清除检测到的病毒和安全风险。Mac 客户端和 Linux 客户端仅针对文件系统支持自动防护。
自 14 开始,在连接到云的标准和嵌入式/VDI 客户端上,自动防护会自动查找云中的最新定义。
下载智能分析
(仅限 Windows)
“下载智能分析”通过以下方法提升自动防护扫描的安全性:当用户尝试从浏览器及其他门户下载文件时对文件进行检查。它会使用来自“Symantec Insight”的信誉信息来允许或阻止下载尝试。
下载智能分析是自动防护的一部分,因此需要启用自动防护。
管理员定义的扫描
管理员定义的扫描通过检查客户端计算机上的所有文件和进程来检测病毒及安全风险。管理员定义的扫描还可检查内存及加载点。
可用的管理员定义的扫描类型如下:
  • 调度扫描
    调度扫描会于指定时间在客户端计算机上运行。任何调度时间相同的扫描均按顺序运行。若在调度扫描期间计算机为关闭、休眠或睡眠状态,除非计算机已配置为重试错过的扫描,否则不会运行此扫描。当计算机启动或唤醒时,
    Symantec Endpoint Protection
    会重试扫描,直到扫描开始或重试间隔时间过期。
    您可以针对 Windows 客户端调度活动扫描、全面扫描或自定义扫描。您只能对 Mac 客户端或 Linux 客户端调度自定义扫描。
    调度扫描设置可以保存为模板。您可使用另存为模板的任何扫描作为不同扫描的基础。配置多个策略时,使用扫描模板可节省时间。默认情况下,策略中会包括调度扫描模板。默认调度扫描可扫描所有的文件和目录。
  • 启动扫描和触发扫描
    启动扫描于用户登录计算机时运行。触发扫描会在计算机下载新的病毒定义后运行。
    启动扫描和触发扫描仅可用于 Windows 客户端。
  • 按需扫描
    按需扫描为当您在
    Symantec Endpoint Protection Manager
    中选择扫描命令时立即运行的扫描。
    您可以从“
    客户端
    ”选项卡或日志中选择该命令。
如果适用于 Windows 的
Symantec Endpoint Protection
客户端检测到大量病毒、间谍软件或者高风险的威胁,则会启用主动扫描模式。扫描将重新启动并且使用智能扫描查找。
扫描可能会在比策略为扫描持续时间定义的敏感度级别更高的级别记录检测。
SONAR
(仅限 Windows)
SONAR 针对零时差攻击提供实时防护。SONAR 甚至可以在基于特征的传统定义检测到威胁之前阻止进攻。SONAR 使用启发式和文件信誉数据做出有关应用程序或文件的决策。
与主动型威胁扫描相同,SONAR 也会检测击键记录程序、间谍软件以及任何其他可能具有恶意或具有潜在恶意的应用程序。
提前启动反恶意软件 (ELAM)
(仅限 Windows)
与 Windows 提前启动反恶意软件驱动程序配合使用。仅在 Windows 8 和 Windows Server 2012 以后的版本中受支持。
提早启动防恶意软件会在启动时,以及第三方驱动程序初始化之前,为您网络中的计算机提供防护。