Sign In with your
Trend Micro Account
需要協助?
需要協助?

若您需要技術支援,請 按此建立案件。

如何在病毒爆發時透過OfficeScan(OSCE)來控制感染與擴散

    • 更新於:
    • 16 Aug 2018
    • 產品/版本:
    • OfficeScan 10.6
    • OfficeScan 11.0
    • OfficeScan XG.All
    • 作業系統:
    • Windows 2003 Enterprise
    • Windows 2003 Standard Server Edition
    • Windows 2008 Enterprise
    • Windows 2008 Standard
    • Windows 2012 Enterprise
    • Windows 7 32-bit
    • Windows Vista 32-bit
    • Windows XP Professional
概要

了解當感染惡意病毒時建議採取的步驟以防止病毒擴散。

詳情
Public

防止病毒擴散:

  1. 將OfficeScan伺服器以及用戶端的掃毒引擎, 病毒碼 與 損害清除及復原範本 (DCT). 更新到最新版本。如果想了解防範惡意病毒的正確病毒碼、掃毒引擎或是其他工具,可拜訪 病毒及威脅專區 頁面進行搜尋。
  2. 若您使用Windows XP,請關閉系統還原功能。
  3. 刪除所有Temporary Internet Files.
  4. 確認所有OfficeScan用戶端與伺服器的作業系統都已安裝微軟最新的安全性修補/更新。
  5. 啟動OfficeScan的病毒爆發防範功能(OPP) 以禁止病毒相關檔案的產生。要了解更多關於病毒爆發防範的設定,可參考 產品技術手冊
  6. 在病毒爆發期間,封鎖下列常被惡意病毒所使用的檔案:
    • desktop_.ini
    • _desktop.ini
    • autorun.inf
    • gamesetup.exe
    • new folder.exe
    • regsvr.exe
    • scvhost.exe
    • spoolsvc.exe
    • blastclnnn.exe
    • killdog.exe
    • scvshosts.exe
  7. 啟動病毒爆發防範策略保護您的應用程式檔案。您也可以禁用下方資料匣的寫入權限:
    • C:\program files\internet explorer (Protection from - browser hijacker)
    • C:\windows\system32\drivers (Protection from - Root kits)
    • C:\windows\system32\drivers\host (Protected from - DNS poisoning / browser redirection)
    • C:\WINDOWS\Downloaded Program Files (Protection from - plug-in)

    這會防止惡意病毒將惡意程式碼或檔案寫入/覆蓋至應用程式資料匣中。但仍允許使用者開啟並執行該應用程式。請先在您的網路環境中進行測試,只要該應用程式執行過程中不會有寫入相同路徑的動作,該應用程式應可正常執行。

  8. 透過病毒爆發防範功能封鎖惡意病毒/木馬常用的通訊Ports。
  9. 如果封鎖的通訊埠造成合法應用程式的正常運作,您可以從列表中選擇刪除某些要阻止的通訊埠。
  10. 確認保護OfficeScan用戶端的設定已啟用,防止不具管理者權限的使用者寫入OfficeScan程式的資料夾以避免受到感染。

    OfficeScan 10.6的用戶:

    1. 從OfficeScan網路主控台 代理程式管理 > 權限和其他設定 > 其他設定。
    2. 在代理程式安全設定中選擇"高"並套用至所有代理程式。 注意: 您也可以從OfficeScan伺服器中的ofcscan.ini檔中將"Client_Security" 參數設定為 "1" .
    3. 重新啟動OfficeScan master service使變更生效。

    OfficeScan 11.0/XG的用戶:

    1. 從 用戶端 > 用戶端管理 > 設定 > 權限與其他設定 > 其他設定。
    2. 在OfficeScan用戶端自我保護設定中, 啟用相關防護功能。
       
      注意: 您也可以從OfficeScan伺服器中的ofcscan.ini檔中將"Client_Security" 參數設定為 "1"。
    3. 重新啟動OfficeScan master service 使變更生效。
  11. 啟用IWSS與OfficeScan中的 網頁信譽評等 以封鎖惡意/可疑網站的連結。
  12. 啟用 URL 過濾機制以防止使用者前往潛在威脅的網站。
  13. 啟用IMSS與OfficeScan中的Intellitrap 功能攔阻即時壓縮的病毒檔案。
  14. 啟用OfficeScan防火牆功能中的入侵防範偵測功能。
  15. 在掃描設定中啟用 掃描網路磁碟機 特別是病毒爆發時,惡意程式常透過分享/網路磁碟進行病毒擴散。
  16. 啟用即時掃描中 所有可掃描的檔案 功能。(手動與預約掃描中的設定可繼續使用智慧型掃描)。
  17. 參考下方設定使用OfficeScan伺服器中的 增強型損害清除及復原服務。. 損害清除及復原服務會針對惡意病毒所竄改/新增的註冊機碼與程序進行清除,要執行此功能,請參考下方步驟進行操作:
    1. 至OfficeScan伺服器。
    2. 刪除 \PCCSRV\Download\hotfixnt.txt 檔案。
    3. 將 tsc.ini 更名為 "tsc.ini_old"。
    4. 更改 tsc.ini 文件中的餐入如下:

      DisableTaskMgr=1
      DisableRegistryTools=1
      NoRun=1
      NoCloseKey=1
      NoFind=1
      DisallowRun=1
      FirewallDisableNotify=0
      UpdatesDisableNotify=0
      AntiVirusDisableNotify=0
      FirewallOverride=0
      AntiVirusOverride=0
      NoAutoUpdate=0
      AUOptions=1
      EnableFirewall=0

    5. 儲存並關閉該檔案。檢查該檔案的時間戳記,它應該顯示今天的日期。
    6. 開啟PCCSRV\Autopcc.cfg\apnt.ini 文件。
    7. 尋找 "admin\Tsc.ini" 一行,如果不存在,請自行新增。
    8. 儲存並關閉該文件。
    9. 等待2-3 分鐘,"hotfixnt.txt"檔案會自動生成。
    10. 此時OfficeScan伺服器會通知OfficeScan的用戶端部署tsc.ini 文件。
    11. 如果"hotfixnt.txt"文件沒有自動產生,請嘗試重新啟動OfficeScan master service。
  18. 設定當偵測到惡意病毒時,損害清除及復原服務的處理行動。
    1. 在OfficeScan的安裝目錄, 開啟/PCCSRV/ofcscan.ini 文件進行編輯。
    2. 在Global Setting 段落, 參考下方數值所代表的意義,新增以下參數,並給予<x>與<y>適當的掃描行動值。

      [Global Setting]
      1stActForGenericVirus=<x>
      2ndActForGenericVirus=<y>

      掃描行動值:

      1 - Rename
      2 - Move
      3 - Clean
      4 - Delete
      5 - Pass (temporary)

    3. 儲存並關閉該文件。
    4. 登入OfficeScan主控台。
    5. 全域用戶端設定。
    6. 儲存並部署設定至所有用戶端。
 
由於"主動式處理行動"較"自訂處理行動"具有較高的優先順序,所以針對具備自行更改掃描設定權限的OfficeScan用戶端,必須將病毒處理行動設定為"自訂"而"主動式處理行動",如此才能確保伺服器上所設定的處理行動能套用至所有用戶端。
 
移除OSCE XG中的Intrusion Defense Firewall (IDF) 設定,因為它不支援IDF Plug-in Service (PLS).

您也可以聯繫趨勢科技以尋求進一步的技術支援。

Premium
Internal
評價:
分類:
配置; 佈署; 移除病毒 / 惡意軟體
解決方案ID:
1053673
評定這個解決方案
本文是否幫助解決您的問題?

感謝您的意見!

請留下您的Email方便進一步的聯繫,協助我們改進文章內容:
我們不會透過以上Email寄送任何可能騷擾您的垃圾信.

本意見調查系統為自動運作,將不會回覆如銷售、技術、產品等一般問題.

若您需要協助,請聯繫對應的技術支援窗口. 聯絡我們


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.