在OfficeScan (OSCE) 11.0 Service Pack 1 (SP1)啟動Ransomeware防護功能

技術支援
解決方案編號 更新時間
1111377 2016/07/01 01:41 (PST)


對應產品 對應作業系統
OfficeScan - 11.0;
Windows - 2003 Datacenter 64-bit, 2003 Enterprise, 2003 Enterprise 64-bit, 2003 Server R2, 2003 Standard, 2003 Standard 64-bit, 2008 Datacenter, 2008 Datacenter 64-bit, 2008 Enterprise, 2008 Enterprise 64-bit, 2008 Server Core, 2008 Server R2 Enterprise, 2008 Standard, 2008 Standard 64-bit, 2008 Web Server Edition, 2008 Web Server Edition 64-bit, 2012 Datacenter R2, 2012 Enterprise, 2012 Enterprise R2, 2012 Server Essential R2, 2012 Server Essentials, 2012 Standard, 2012 Standard R2, 2012 Web Server Edition, 7 32-bit, 7 64-bit, 8 32-bit, 8 64-bit, Vista 32-bit, Vista 64-bit, XP Home, XP Professional, XP Professional 64-bit


原文連結
http://esupport.trendmicro.com/solution/en-US/1111377.aspx

問題描述

Ransomware是一種會加密目標電腦直到受害者支付贖金的惡意程式。這項威脅在持續蔓延中,因此趨勢科技也持續地加強對它的防護及偵測。OfficeScan新的方案是去尋找Ransomeware的行為,而不是只能依靠數位簽章或是特定移除工具。 它會在端點上監測任何可疑的檔案加密活動並藉由終止或隔離程序來停止加密。

典型的Ransomware 搜尋特定檔案類型的系統檔案並透過正常的檔案行為來作加密。 

Encrypted attack

解決方案

趨勢科技建議客戶啟用下列所有針對勒索病毒 (Ransomware) 的最佳防護:

  1. 登入OfficeScan網頁主控台。
  2. 瀏覽至 代理程式 > 代理程式管理。
  3. 點擊 設定 > 網頁信譽評等設定。
  4. 在內部代理程式頁籤,勾選“在下列作業系統啟動網頁信譽評等策略”的核取方塊,也勾選下列兩項設定:
    -   檢查 HTTPS URL
    -   傳送查詢至主動式雲端截毒技術伺服器
  5. 點擊“套用至所有代理程式”來部署變更。
  6. 在伺服器平台端點啟用網頁信譽評等服務
    a. 選擇安裝OfficeScan代理程式的伺服器平台端點。
    b. 重複步驟3及4。
    你必需設定並一次一台地來部署網頁信譽評等策略至安裝在伺服器平台上的OfficeScan代理程式。

  7. 點擊"儲存"來部署變更。

第一部分

  1. 登入OfficeScan網頁主控台。
  2. 瀏覽至 代理程式 > 代理程式管理。
  3. 點擊 設定 > 行為監控設定。
  4. 勾選對已知和潛在安全威脅啟動「惡意程式行為封鎖」並從下拉式選單選擇「已知和潛在安全威脅」。
     
  5. 在勒贖軟體防護之下,勾選下列的核取方塊:
    • 保護文件以防止未經授權的加密或修改
    • 自動備份可疑程式變更的檔案
    • 封鎖常與勒索軟體相關的程序
    • 啟動程式檢測以偵測並封鎖已遭到破壞的可執行檔(伺服器平台除外)


       
  6. 在伺服器平台端點啟用未經授權的變更阻止服務:
    a. 選擇欲設定的OfficeScan代理程式。
    b. 點擊 設定 > 其他服務設定
    c. 勾選在未經授權的變更阻止服務下的 "在下列作業系統啟動服務"。

  7. 點擊儲存來部署變更。
    ※ 行為監控不支援如UI上敘述的特定Windows平台。

第二部分

  1. 登入OfficeScan網頁主控台。
  2. 瀏覽至代理程式 > 全域代理程式設定 > 行為監控設定。
  3. 勾選“監控經由HTTP或電子郵件應用程式下載之新發現的程式(伺服器平台除外)”的核選方塊。

    此功能必需在代理程式上啟用"即時掃瞄"、"網頁信譽評等服務"來允許OfficeScan掃描HTTP流量。
  4. 從下拉式選單選擇"在執行前提示使用者"

  1. 登入OfficeScan網頁主控台。
  2. 在桌上型平台啟用瀏覽器弱點攻擊防護。
    a. 瀏覽至 代理程式 > 代理程式管理
    b. 點擊設定
    c. 瀏覽至 其他服務設定 > 進階服務設定。
    d. 勾選“在下列作業系統啟動服務”核取方塊以啟動"進階防護服務"
    e. 點擊 套用到所有代理程式 來部署變更。


  3. 在伺服器平台端點啟用瀏覽器弱點攻擊防護:
    a. 瀏覽至 代理程式 > 代理程式管理。
    b. 選擇安裝在伺服器平台上的OfficeScan代理程式。
    c. 點擊設定。
    d. 瀏覽至 其他服務設定 > 進階防護設定服務。
    e. 勾選 “在下列作業系統啟動服務”的核取方塊
    f.  點擊儲存來部署變更。


  4. 瀏覽至 代理程式 > 代理程式管理。
  5. 瀏覽至 設定 > 網頁信譽評等服務設定。
  6. 瀏覽至瀏覽器弱點攻擊防護區段並啟用"封鎖包含惡意程式檔的網頁"。

  7. 點擊儲存來部署變更。
  1. 登入OfficeScan網頁主控台。
  2. 瀏覽至 代理程式 > 代理程式管理 > 其他服務設定。
  3. 勾選在可疑連線服務下的“在下列作業系統啟動服務”的核取方塊

  4. 瀏覽至 代理程式 > 代理程式管理 > 可疑連線設定。
  5. 勾選下列核取方塊:
    • 記錄與全域 C&C IP 清單中位址之間建立的網路連線
    • 記錄並允許存取使用者定義的封鎖 IP 清單位址
    • 使用惡意程式網路特徵鑑別的記錄檔連線
    • 偵測到 C&C 回呼時清除可疑連線

  6. 點擊儲存。
  7. 在Windows伺服器平台啟用可疑連線策略:
    a. 選擇安裝在伺服器平台的OfficeScan代理程式。
    b. 重複步驟 3到5.

     
  8. 點擊儲存部署變更。


評定這個解決方案
此解決方案是否能解決您的問題?

請提供您的寶貴意見,幫助我們改進這一解決方案。

 
  *注意! 此為諮詢百科收集建議使用, 系統不會提供任何回覆
 

 

透過以下社群網站聯絡我們