本文为您提供了配置计划的按需扫描(ODS)任务的最佳做法。
在计划
基于策略 和
自定义 按需扫描客户端任务时,可以使用两种不同的方法。作为最佳做法,请执行以下操作:
- 使用基于策略以配置每周和每日的常规扫描任务。
- 使用自 定义当需要补充扫描时进行扫描,并配置有扫描位置目标或计划。
以下是有关每种扫描类型的详细信息:
- 基于策略的扫描任务 -使用 "ods-完全扫描" 和 "ODS-快速扫描" 默认客户端在签入 ENS 或 VSE ePO 扩展时提供的任务来计划此类扫描。这些客户端任务允许配置计划参数,例如时间和随机选择。 但是,扫描行为本身是从分配给端点的 ODS 策略中定义的。要更改此类任务的扫描位置配置,请在 策略目录修改该策略, Endpoint Security 威胁防护、按需扫描。然后,在计划任务时,会遵守端点的策略及其设置。 客户端任务可确定用于计划扫描的每个策略选项卡(快速扫描或完全扫描)上的设置。策略更改可实时反映在端点上,供扫描配置使用。
- 自定义扫描任务- 与基于策略的扫描任务不同,自定义扫描在执行扫描时不会引用为端点分配的策略。 相反,所有扫描参数(例如,扫描位置和性能配置)、计划和随机选择都完全包含在任务配置中。 在下次计划运行任务之前,扫描行为更改不会在端点上反映。 自定义扫描不要ePO 产品属性 页面的报告信息,包括"最后一次完全扫描日期"和"最近快速扫描"等值。 通过 配置自定义扫描,客户端任务,Endpoint Security 威胁防护,新建任务,自定义按需扫描工作流。
注意: 对于自定义扫描任务,如果您在 ODS 期间重新启动系统,扫描在系统引导后不会恢复。
ODS 配置是两个阶段的过程:
配置要扫描的位置 和
计划扫描频率。要决定如何配置按需扫描程序,请断开扫描目标以最大程度减少扫描的数据:
- 将每日内存 ODSs 配置为基本保护的一部分 -每日扫描 内存 (在其中查找 Rootkit) 和 正在运行的进程 快速完成,实际上不会对用户产生任何影响。此结果作为一个提前警告,指示存在可疑问题。在通过此日扫描进行检测的任何系统上立即执行完整的 ODS。
- 配置 active user ODSs,并包含以下扫描位置 -这些扫描位置是经常受到恶意软件攻击的目标。至少每周(甚至每天)扫描这些位置:
- 用户配置文件文件夹
- Temp 文件夹
- 注册表
- 已注册文件
- Windows 文件夹
- 将正常的完整 ODSs 配置为基本保护的一部分 -至少应在常规 ODSs 中包含以下设置:
- 默认位置:
- 内存 (在其中查找 Rootkit)
- 正在运行的进程
- 所有本地驱动器
- 注册表
- 扫描选项:
- 我们强烈建议您按以下间隔计划 ODSs:
- 每天 -在重大恶意软件爆发期间
- 每周 -提供良好的保护
- 每月 -不太安全的保护,有风险
此外,根据需要配置以下 ODS 设置:
- 启用扫描缓存- 扫描程序会保留先前扫描文件的缓存,即使重新启动计算机后所扫描的文件也一样。 此设置通过使用现有扫描结果来确定是否需要扫描文件来提高性能。 清理文件即被添加到清理文件扫描缓存中。 下次访问文件时,如果文件在缓存中或自上次扫描后未更改,则不扫描这些文件。 配置在 ODS 策略中 使用扫描缓存 的选项。
- 配置系统 utilization -系统 utilization 设置映射到 Windows 优先级控制。此设置允许操作系统控制扫描程序CPU扫描程序所接收时间的时间量。 如果其他更高优先级的任务请求 CPU,操作系统会将 CPU 时间从按需扫描( scan32.exe )中删除,并将其分配给其他任务。当其他任务不再需要这么多 CPU 时,操作系统会给 CPU 带来时间回报 scan32.exe 。在 ODS 策略中配置选项 系统 utilization 。
根据通常在系统上执行的活动类型来配置系统 utilization 。有关此功能如何工作的详细信息,请参阅 KB55145-了解按需扫描性能设置。
注意: 将系统 utilization 设置得过低可能会导致您的扫描占用最多两倍的时间。
|
优先 |
低 |
对于平均操作系统用户活动。 改进其他正在运行的应用程序的性能。 |
低于正常水平 |
对于具有典型用户活动(例如个人计算机或笔记本电脑)的系统。 |
常规 |
适用于只有很少或无用户活动的系统,或者没有提供用户服务的应用程序。换言之,扫描会以扫描使用系统时的时间运行。 |
- 仅在系统空闲时扫描- ENS 可以检测用户在系统中存在且处于活动状态时。 ENS 可以相应地暂停扫描,以避免资源使用冲突。 此选项使用多个注意事项来确定系统当前是否正在使用,例如鼠标或键盘输入、磁盘 i/o 等。建议不要将此功能用于服务器,因为它们的后台资源使用率自然更高。但是,此选项在用户正常工作时间外具有可靠的停机时间的端点上很有用。 此选项不会在运行扫描时限制资源消耗。 此选项会遵守配置的 "系统使用率" 选项(由用于运行扫描的 ODS 任务或策略提供)。
- 限制最大 CPU 使用率 -此选项允许管理员定义 ENS refrains 在运行扫描时无法达到的阈值(CPU 使用率%)。例如,如果将 最大 CPU 使用率限制 为25%,ENS 会尝试使 mcshield.exe 处理扫描的进程达到最大值,但在存档中输入关键操作时除外。此选项在 ENS 10.7.0 中可用,并且在选择 "扫描" "选项时可供选择。不能将该选项与"仅在系统空闲时扫描"一起使用。 在 ODS 策略中,也需要考虑排除项,因为该功能在存在时不执行 CPU 限制。