使用下載鑑識 (SEP) 或密集型防護 (SES) 緩和勒索軟體散佈

若要防止勒索軟體變體,請架構「下載鑑識」隔離賽門鐵克客戶群已知為惡意的檔案,或是尚未證明為惡意的檔案。
需要有非受管偵測程式,才能考量可能沒有保護的端點。
對於 Symantec Endpoint Security,「下載鑑識」一律會予以啟用,而且是「
密集型防護
」政策的一部分。請參閱:使用密集型防護設定
在 Symantec Endpoint Protection 中修改「下載鑑識」:
  1. 在主控台中,開啟目標「病毒和間諜軟體防護」政策,然後按一下「
    下載防護
    」。
    如果新增政策,則請選取「
    病毒和間諜軟體防護政策 - 高度安全
    」政策。
  2. 在「
    下載鑑識
    」標籤上,確定勾選「
    啟用下載鑑識以根據檔案信譽偵測下載檔案中的潛在風險
    」。
  3. 檢查以下預設選項:
    • 使用者數量不超過:
      5
      個的檔案
    • 使用者已知不超過:
      2
      天的檔案
    低的預設值會迫使用戶端將尚未由超過五個使用者向賽門鐵克報告的任何檔案,或是將不足 2 天的任何檔案視為未證明的檔案。如果未證明的檔案符合這些準則,「下載鑑識」會將這些檔案偵測為惡意檔案。
  4. 請確定勾選「
    自動信任從信任的 Internet 或內部網路網站下載的任何檔案
    」。
  5. 在「
    動作
    」標籤的「
    惡意檔案
    」下方,使第一個動作保持為「
    隔離風險
    」,第二個動作則保持為「
    略過
    」。
  6. 在「
    未證明的檔案
    」下方,按下「
    隔離風險
    」。
  7. 按下「
    確定
    」。