管理「下載鑑識」偵測

「自動防護」包含一項名為「下載鑑識」的功能,該功能可檢查使用者試圖透過網頁瀏覽器、文字訊息用戶端以及其他入口網站下載的檔案。
支援的入口網站包含 Internet Explorer、Firefox、Microsoft Outlook、Outlook Express、Google Chrome、Windows Live Messenger 和 Yahoo Messenger。
「下載鑑識」根據有關檔案信譽的相關證據,決定下載的檔案是否存在風險。只有 Windows 電腦上執行的用戶端支援「下載智慧型掃描」。
如果您針對用戶端電腦上的電子郵件安裝「自動防護」,則「自動防護」也會掃描使用者以電子郵件附件形式收到的檔案。
管理「下載鑑識」偵測
工作
說明
了解「下載鑑識」如何使用信譽資料做出關於檔案的決策
「下載鑑識」只會使用信譽資訊進行有關下載檔案的決策。它不會使用特徵或啟發式技術進行決策。如果「下載鑑識」允許檔案,則「自動防護」或 SONAR 將在使用者開啟或執行該檔案時掃描該檔案。
檢視下載風險分布報告以檢視「下載鑑識」偵測
您可以使用下載風險分布報告,檢視「下載智慧型掃描」在您的用戶端電腦上偵測到的檔案。您可以依照 URL、Web 網域或應用程式排序報告。您也可以查看使用者是否已選擇允許某個偵測到的檔案。
「下載智慧型掃描」偵測的風險詳細資料只顯示嘗試下載的第一個入口網站應用程式。例如,使用者可以使用 Internet Explorer 嘗試下載「下載鑑識」偵測的檔案。如果使用者接著使用 Firefox 嘗試下載該檔案,則風險詳細資料會將 Internet Explorer 顯示為入口網站。
顯示在報告中的使用者允許檔案可能表示偵測誤報。
您也可以指定在使用者允許進行任何新下載時,接收電子郵件通知。
使用者可以透過回應顯示的偵測通知允許下載檔案。
Symantec Endpoint Protection Manager
會產生並透過電子郵件傳送每週報告,其中包括提供給管理員的報告。您必須在安裝過程中為管理員指定電子郵件地址,或在管理員屬性中架構。您也可以從主控台的「
報告
」標籤中產生報告。
為特定檔案或 Web 網域建立例外
您可以為使用者下載的應用程式建立例外。您也可以為您認為受信任的特定 Web 網域建立例外。
如果用戶端電腦使用帶驗證功能的代理,您必須為 Symantec URL 指定信任的 Web 網域例外。這些例外可讓您的用戶端電腦與「賽門鐵克智慧型掃描」和其他重要的賽門鐵克網站進行通訊。
如需建議例外的相關資訊,請參閱下列文章:
依預設,「下載智慧型掃描」不會檢查使用者從信任的 Internet 或內部網路網站下載的任何檔案。您可以在 Windows「
控制台 > 網際網路選項 > 安全性
」標籤上,架構信任的網站和信任的本機內部網路網站。如果已啟用「
自動信任從內部網路網站下載的任何檔案
」選項,則
Symantec Endpoint Protection
會允許使用者從任何清單中的網站下載的任何檔案。
Symantec Endpoint Protection
會在使用者登入時及每四個小時檢查「網際網路選項」信任網站清單的更新。
「下載智慧型掃描」只辨識明確架構的信任網站。允許使用萬用字元,但不支援無法路由的 IP 位址範圍。例如,「下載鑑識」不會將 10.*.*.* 識別為信任網站。此外,「下載鑑識」不支援由「
網際網路選項 > 安全性 > 自動偵測內部網路
」選項搜尋到的網站。
確定已啟用智慧型掃描查詢
「下載智慧型掃描」需要使用來自賽門鐵克「智慧型掃描」的信譽資料進行關於檔案的決策。如果您停用「智慧型掃描查詢」,則「下載鑑識」會執行,但只會偵測信譽最差的檔案。依預設,「智慧型掃描查詢」已啟用。
自訂下載鑑識設定
您可能因以下原因需要自訂「下載鑑識」設定:
  • 增加或減少「下載鑑識」偵測的數目。
    您可以調整惡意檔案靈敏度滑動軸,以增加或減少偵測數目。靈敏度等級愈低,「下載鑑識」偵測到的惡意檔案愈少,偵測到的未證明的檔案愈多。誤報偵測也愈少。
    靈敏度等級愈高,「下載智慧型掃描」偵測到的惡意檔案愈多,偵測到的未證明的檔案愈少。誤報偵測也愈多。
  • 變更偵測到惡意檔案或未證明的檔案時採取的動作。
    您可以變更「下載鑑識」處理惡意檔案或未證明檔案的方式。指定的動作不僅會影響偵測結果,也會影響使用者是否可與偵測結果進行互動。
    例如,您可將針對未證明檔案採取的動作變更為「
    忽略
    」。然後,「下載智慧型掃描」會一律允許未證明的檔案,而不會向使用者發出警示。
  • 針對「下載鑑識」偵測結果向使用者發出警示。
    當啟用通知時,惡意檔案靈敏度的設定會影響使用者收到的通知數量。如果您提高靈敏度,則會增加使用者通知的數目,因為偵測的總數會增加。
    您可以關閉通知,讓使用者在「下載智慧型掃描」進行偵測時無法進行動作。如果您將通知保持啟用狀態,則可將針對未證明檔案進行的動作設為「
    忽略
    」,一律允許這些偵測,且不通知使用者。
    不論通知設定為何,當「下載鑑識」偵測到未證明的檔案且動作為「
    提示
    」時,使用者就可以允許或攔截檔案。如果使用者允許該檔案,則該檔案會自動執行。
    當啟用通知且「下載智慧型掃描」隔離某個檔案時,使用者可以復原隔離動作並允許使用檔案。
    如果使用者允許使用隔離的檔案,則此檔案不會自動執行。使用者可以從 Temporary Internet Files 資料夾執行此檔案。通常,資料夾位置為下列其中之一:
    • Windows 8 及更新版本:
      磁碟機
      :\Users\
      使用者名稱
      \AppData\Local\Microsoft\Windows\INetCache
    • Windows Vista / 7:
      磁碟機
      :\Users\
      使用者名稱
      \AppData\Local\Microsoft\Windows\Temporary Internet Files
    • Windows XP (適用於舊版 12.1.x 用戶端):
      磁碟機
      :\Documents and Settings\
      使用者名稱
      \Local Settings\Temporary Internet Files
允許用戶端將有關信譽偵測的資訊傳送給賽門鐵克
依預設,用戶端會將有關信譽偵測的資訊傳送給賽門鐵克。
賽門鐵克建議您為信譽偵測啟用傳送功能。此資訊有助於賽門鐵克處理威脅。