知识库

返回支持概述

有关由 ThreatDown 提供支持的 Endpoint Protection 服务正确配置进行充分利用至关重要。以下文章讨论设置部分和最佳配置选项(如果可能)。

本文适用于所有 TeamViewer Endpoint Protection 客户。

这些设置分为以下几个部分:

  • 扫描计划
  • 特例
  • 用户

扫描计划

为所有端点安排扫描对于保护所有系统免受各种威胁(例如恶意软件和病毒)至关重要。随着新威胁的不断出现,定期的每日扫描可确保持续检查并及早发现位于系统高风险区域的任何有害文件,例如临时文件和下载。每周扫描和每日扫描可以更深入地了解系统,因为更彻底的扫描可以利用更多资源。

扫描选项

自动隔离发现的威胁: 如果激活,所有潜在或已确认的威胁都将被自动隔离。 立即隔离文件可以防止在可能删除之前发生任何有害操作。当威胁被隔离时,您可以放心,潜在文件将被隔离,同时您进一步调查以确定必要的操作。

方法

扫描内存对象: 扫描操作系统进程、驱动程序和其他应用程序分配的所有内存。

扫描启动和注册表设置: 这将扫描计算机启动时启动的所有可执行文件或修改,以及对 Windows 注册表所做的任何配置更改。

在档案中扫描: 对存档文件类型(如 zip、7z、rar、cab 和 msi)的扫描最多可扫描两个级别的深度。 无法测试受密码保护的存档。

扫描 rootkit: Rootkit 是存储在计算机本地磁盘驱动器上的文件,对操作系统不可见,可能会影响系统行为。

扫描路径: 要扫描的驱动器/文件夹的文件路径。

将潜在有害程序 (PUP) 视为恶意软件: 您可以选择在检测到潜在有害程序 (PUP) 时如何处理。

将可能不需要的修改 (PUM) 视为恶意软件: 此选项允许您选择在检测到 PUM 时如何处理 PUM。

Hyper Scan 是一种检测和清除威胁的快速扫描。如果 Hyper Scan 发现任何威胁,请运行威胁扫描以更深层次地检查威胁。

Hyper Scans 会检查以下内容:

  • 内存对象:由操作系统进程、驱动程序和其他应用程序分配的内存。
  • Startup Objects:计算机启动期间所做的可执行文件和/或修改。

威胁扫描通过扫描端点上可能发生威胁的常规位置来检测最常见的威胁。威胁扫描使用启发式分析,这是一种在 Nebula 以前从未见过的文件中查找某些恶意行为的技术。 

威胁扫描会检查您的端点上的以下内容:

  • 内存对象:由操作系统进程、驱动程序和其他应用程序分配的内存。
  • 启动对象:计算机启动期间所做的可执行文件和修改。
  • 注册表对象:对 Windows 注册表所做的配置更改。
  • 文件系统对象:可能包含恶意程序或有害代码片段的文件。

自动隔离发现的威胁: 如果激活,所有潜在或已确认的威胁都将被自动隔离。 立即隔离文件可以防止在可能删除之前发生任何有害操作。当威胁被隔离时,您可以放心,潜在文件将被隔离,同时您进一步调查以确定必要的操作。

将潜在有害程序 (PUP) 视为恶意软件: 您可以选择在检测到潜在有害程序 (PUP) 时如何处理。

使用下拉菜单选择 忽略检测警告用户检测或 将检测视为恶意软件

自动隔离发现的威胁: 如果激活,所有潜在或已确认的威胁都将被自动隔离。 立即隔离文件可以防止在可能删除之前发生任何有害操作。当威胁被隔离时,您可以放心,潜在文件将被隔离,同时您进一步调查以确定必要的操作。

建议的扫描设置

我们建议至少进行以下扫描,以确保所有端点都得到适当保护:

常规 计划下拉列表 中选择 每天。在 Windows 下,从方法下拉列表中选择威胁扫描。

 

计划 下拉列表中选择 每周 。将 方法 设置为 自定义扫描,然后打开 扫描 rootkit

组允许您将设备置于同一设备组或位置之外,并对其应用标准规则(如策略和扫描计划),无需重复。

如何创建群组

要创建组,请从顶部菜单中选择 +添加组。选择所需的策略、扫描计划,然后选择要添加到组并保存的设备。

排除

排除项允许某些已知文件、路径或位置免于扫描和保护。

排除项的类型

类型 值 (示例) 类别

命令行
  • test.exe /switch
  • test?.bat
  • *testscript.bat*
  • Get-ADGroupMember
  • 可疑活动

文件扩展名
  • doc
  • PDF
  • 恶意软件防护

按路径文件(Wildcard)
  • C:\Windows\Foo\Bar.exe
  • C:\Users\*\Desktop\test*.exe
  • C:\temp\test?.exe
  • C:\temp\*.exe
  • C:\Development*\**\Alterhostsfile.exe
  • 勒索软件防护
  • 恶意软件防护
  • 可疑活动

 

按路径文件夹(Wildcard)
  • C:\Windows\temp\
  • C:\User\*\Documents\*
  • %PROGRAMFILES%\**
  • %PROGRAMDATA%\*
  • %PROGRAMFILES(X86)%\**
  • 勒索软件防护
  • 恶意软件防护
  • 可疑活动

MD5 Hash
  • e4d909c290d0fb1ca068ffaddf22cbd0
  • 9e107d9d372bb6826bd81d3542a419d6

 

  • Exploit Protection
  • 可疑活动

注册表
  • HKLM\SOFTWARE\Microsoft
  • HKU\*\Software\Microsoft

 

  • 恶意软件防护
  • 可疑活动

网站
  • www.TeamViewer.com
  • 网站保护

IP地址
  • 234.213.143.154
  • 192.168.0.0/24
  • 169.254.0.0-169.254.0.255
  • 192.168.0.0/255.255.255.0
  • 网站保护
  • 可疑活动

Web 监控
  • C:\Windows\TeamViewer\TeamViewer.exe

网站保护

用户

通过从公司配置文件添加用户,您的团队可以交互或查看来自 Endpoint Protection 的报告和警报。有两个级别的访问权限:

  • 只读:可以查看警报和报告,但不能执行任何操作。
  • Manager:可以查看警报、报表和其他 Endpoint Protection 服务并与之交互。

如何添加用户

若要将用户添加到 Endpoint Protection,请从顶部菜单中选择 +添加用户

选择所需的用户,然后选择用户应有权访问的访问级别和组。 或者,您可以将用户分配到 所有 Malwarebytes 组,包括将来创建的组。