创建安全策略的重要性

使用 VirusScan Enterprise 保护您的客户端系统免受病毒、蠕虫和特洛伊木马程序文件的攻击需要一个精心策划的策略:定义威胁预防和检测、对威胁的响应以及持续分析和优调。


预防 — 避免威胁

定义安全需求,确保您的所有数据源受到保护,然后开发一种有效策略,在入侵获取访问您环境的权限之前阻止它。配置以下功能防止入侵:
  • 用户界面安全 – 设置显示和密码保护,控制对 VirusScan Enterprise 用户界面的访问。
  • 访问保护 – 使用访问保护规则保护计算机免受关于文件、注册表和端口的不良行为。
  • 缓冲区溢出保护 – 在向缓冲区写入数据时能够防止异常程序或威胁溢出缓冲区边界并覆盖相邻的内存。这些利用的缓冲区溢出可以在您计算机上执行任意代码。
  • 有害程序保护 – 从您的计算机上删除可能有害的程序(例如间谍程序和广告程序)。

检测 – 查找威胁

开发一种有效的策略,以便在发生入侵时进行检测。配置以下功能以便检测威胁:
  • 更新任务 – 从 McAfee 下载网站获取 DAT 和扫描引擎的自动更新。
  • 按访问进行的扫描程序 – 从磁盘读取文件或将文件写入磁盘时检测来自任何可能来源的潜在威胁。您也可以扫描 Cookie 文件夹中可能有害的 Cookie。
  • 按需扫描任务 – 使用即时扫描任务和计划扫描任务检测潜在的威胁。您也可以扫描以前尚未清除的各种可能有害的 Cookie 和间谍程序相关注册表项。
  • 发送时扫描电子邮件和按需扫描电子邮件扫描程序 – 可通过对邮件、附件和公共文件夹进行传递扫描,检测 Microsoft Outlook 电子邮件客户端上存在的潜在威胁。访问邮件时检测 Lotus Notes 电子邮件客户端上的潜在威胁。
  • Quarantine Manager 策略 – 指定隔离位置和保留隔离项目的时间长度。必要时恢复隔离的项目。

响应 – 处理威胁

使用产品日志文件、自动操作和其他通知功能决定进行检测的最佳方式。
  • 操作 – 配置针对检测项采取操作的功能。
  • 日志文件 – 监视产品日志文件以查看检测到的项目历史记录。

  • 查询和信息显示板 – 使用 ePolicy Orchestrator 查询和信息显示板监视扫描活动和检测项。

优调 – 对保护进行监控、分析和优调

在对 VirusScan Enterprise 进行初始配置之后,建议对您的配置进行监控和分析。这可以提高系统和网络的性能,而且在必要时还能增强病毒防护的级别。例如,作为您监控、分析和优调过程的一部分,可对以下 VirusScan Enterprise 工具和功能进行修改:
  • 日志文件(V
    irusScan 控制台
    ) – 查看已检测项目的历史记录。通过分析此信息,您可以了解是否需要增强保护或更改配置来提高系统性能。
  • 查询和信息显示板(ePolicy Orchestrator 控制台)- 监控扫描活动和检测项。通过分析此信息,您可以了解是否需要增强保护或更改配置来提高系统性能。
  • 计划任务 – 修改任务(如 AutoUpdate)和扫描时间,并通过在非高峰期时间运行这些任务来提高性能。
  • DAT 存储库 – 通过将这些源文件移近需要更新的客户端,缩减企业 Internet 或 intranet 间的网络通讯。
  • 修改扫描策略 – 根据您对日志文件或查询的分析,可以提高性能或病毒防护能力。例如,配置排除项为何时使用高风险和低风险配置文件扫描以及何时禁用写入时扫描均可以提高性能。
    注意:
    无法启用“在从磁盘中读取时”扫描将使您的系统置于大量恶意软件攻击的风险中。

创建安全策略的重要性