Trend Micro™ Worry-Free™ Business Security Advanced Administrator’s Guide

Size: px

Start display at page:

Download "Trend Micro™ Worry-Free™ Business Security Advanced Administrator’s Guide"

堂堂绍
4 years ago
Views:

1 TM Worry-Free Business Security Advanced5 for Small and Medium Business

3 趨勢科技股份有限公司保留變更此文件與此處提及之產品的權利, 恕不另行通知安裝及使用本軟體之前, 請先參閱 Readme 檔和最新版的使用手冊, 您可至趨勢科技網站取得上述資訊 : Trend Micro Trend Micro t-ball 標誌 Trend Micro Internet Security Trend Micro Internet Security Pro HouseCall TrendSecure 和 TrendLabs 都是 Trend Micro Incorporated / 趨勢科技股份有限公司的商標或註冊商標所有其他產品或公司名稱則為其個別擁有者的商標或註冊商標所有其他廠牌與產品名稱則為其個別擁有者的商標或註冊商標版權所有 2008 Trend Micro Incorporated / 趨勢科技股份有限公司保留所有權利本軟體及所有附隨文件未經 Trend Micro Incorporated / 趨勢科技股份有限公司事前的書面同意, 不得重製複製或將其儲存於可存取系統中或以任何形式傳送文件編號 :WATM53966/81204 發行日期 :2008 年 12 月受美國專利保護, 專利編號 :5,951,698 和 7,188,36

4 Trend Micro Worry-Free Business Security Advanced 管理手冊的使用者文件介紹本軟體的主要功能, 並提供針對您作業環境的安裝說明安裝或使用軟體之前, 您應詳讀該文件如需有關如何使用軟體特定功能的詳細資訊, 請參閱線上說明檔和趨勢科技網站上的常見問題集趨勢科技向來十分重視文件品質的提升隨時歡迎您的指教請至下列網站並給予您對此文件的評估意見 :

5 目錄目錄序言第 1 章 : 訴求對象... P-xiv 產品文件...P-xiv 本管理手冊的內容...P-xvi 文件慣例和術語...P-xvii Worry-Free Business Security Advanced 簡介 Worry-Free Business Security Advanced 的總覽此版本的新增功能版的新功能版的新功能 Worry-Free Business Security Advanced 的功能 Web 主控台 Security Server Client/Server Security Agent Messaging Security Agent 掃瞄引擎病毒碼檔案病毒清除引擎一般防火牆驅動程式網路病毒碼檔案弱點病毒碼檔案瞭解安全威脅病毒 / 惡意程式間諜程式 / 可能的資安威脅程式網路病毒垃圾郵件入侵惡意行為 IM 應用程式中明確 / 限制的內容線上按鍵監聽程式封裝程式網路釣魚事件 iii

6 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊大量郵件攻擊 Worry-Free Business Security Advanced 如何保護您的電腦和網路關於元件其他附加的趨勢科技產品 Worry-Free Business Security Advanced 的其他功能? 從單一主控台管理安全分析網路的防護能力強制執行安全策略提供更新的防護隔離中毒檔案控制網路上的病毒爆發管理 Worry-Free Business Security Advanced 群組利用防火牆保護用戶端不受駭客攻擊保護電子郵件訊息過濾即時通訊內容根據位置控制安全設定行為監控保護用戶端以防止其造訪惡意網站促進安全線上交易核可的間諜程式 / 可能的資安威脅程式安全通訊可更新的元件 HotFix 修補程式和 Service Pack 第 2 章 : 使用 Web 主控台瀏覽 Web 主控台 Web 主控台的功能使用即時狀態和通知設定通知使用即時狀態安全威脅狀態系統狀態 iv

7 目錄第 3 章 : 第 4 章 : 第 5 章 : 安裝代理程式選擇安裝方法安裝升級或移轉 Client/Server Security Agent 代理程式系統需求執行初次安裝從內部網頁進行安裝以 Login Script Setup 安裝以 Windows 2000/Server 2003/Server 2008 程序檔進行安裝以用戶端包裝程式安裝以 MSI 檔案進行安裝以遠端安裝進行安裝以 Vulnerability Scanner 安裝從 Web 主控台安裝 MSA 驗證代理程式安裝升級或移轉作業使用 Vulnerability Scanner 來驗證用戶端安裝使用 EICAR 測試程序檔來測試用戶端安裝移除代理程式使用解除安裝程式移除 Client/Server Security Agent 使用 Web 主控台移除 Client/Server Security Agent 從 Microsoft Exchange Server 移除 Messaging Security Agent 使用解除安裝程式移除 Messaging Security Agent 使用群組群組總覽檢視群組中的用戶端安全設定的工具列新增群組移除群組將用戶端新增至群組移動用戶端複製群組設定設定桌上型電腦和伺服器群組桌上型電腦和伺服器群組的可設定選項概觀防毒 / 間諜程式防護設定即時掃瞄防火牆 v

8 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊設定防火牆網頁信譽評等服務設定網頁信譽評等服務行為監控環境變數設定行為監控 TrendSecure 設定 TrendSecure POP3 郵件掃瞄 POP3 郵件掃瞄需求垃圾郵件防護工具列需求啟動郵件掃瞄設定 POP3 郵件掃瞄以掃瞄其他通訊埠用戶端權限設定用戶端權限隔離設定隔離目錄第 6 章 : 設定 Microsoft Exchange Server 關於 Messaging Security Agent Microsoft Exchange Server 群組的可設定選項 Messaging Security Agent 的預設設定防毒設定 Messaging Security Agent 的即時掃瞄垃圾郵件防護電子郵件信譽評等服務內容掃瞄設定電子郵件信譽評等服務內容掃瞄內容過濾關鍵字一般表示式檢視內容過濾規則新增 / 編輯內容過濾規則重新排列規則順序附件封鎖 vi

9 目錄設定附件封鎖隔離隔離目錄設定隔離目錄查詢隔離目錄維護隔離的目錄管理終端使用者垃圾郵件隔離 (EUQ) 工具設定垃圾郵件資料夾作業通知設定垃圾郵件維護趨勢技術支援 / 偵錯工具第 7 章 : 第 8 章 : 使用疫情爆發防範疫情爆發防範策略疫情爆發防範的處理行動目前狀態安全威脅防範安全威脅防護安全威脅清除潛在的安全威脅設定疫情爆發防範疫情爆發防範設定設定弱點評估設定設定手動掃瞄和預約掃瞄 Worry-Free Business Security Advanced 掃瞄手動掃瞄預約掃瞄即時掃瞄掃瞄用戶端設定群組的掃瞄選項設定 Microsoft Exchange Server 的掃瞄選項預約掃瞄 vii

10 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊第 9 章 : 第 10 章 : 第 11 章 : 第 12 章 : 更新元件更新元件關於主動式更新可更新的元件預設更新時間更新 Security Server 更新來源設定更新來源使用更新代理程式手動更新和預約更新手動更新元件預約元件更新還原或同步處理元件檢視和解譯記錄檔與報告記錄檔報告解譯報告使用記錄查詢產生報告管理記錄檔和報告維護報告自動刪除記錄檔手動刪除記錄檔使用通知關於通知安全威脅事件系統事件設定通知自訂通知警訊設定通知設定設定全域設定 Internet Proxy 選項 SMTP 伺服器選項桌上型電腦 / 伺服器選項 viii

11 目錄位置感知一般掃瞄設定病毒掃瞄設定間諜程式 / 可能的資安威脅程式掃瞄設定網頁信譽評等服務行為監控 IM 內容過濾警訊設定 Watchdog 設定解除安裝代理程式卸載代理程式系統選項移除離線 Client/Server Security Agent 驗證用戶端與伺服器之間的連線能力維護隔離資料夾第 13 章 : 第 14 章 : 執行其他管理工作變更 Web 主控台密碼使用 Plug-in Manager 檢視產品使用授權詳細資料使用授權到期的結果變更使用授權參與 Smart Protection Network 變更代理程式的介面語言解除安裝 Trend Micro Security Server 使用管理工具和用戶端工具工具類型管理工具 Login Script Setup Vulnerability Scanner 用戶端工具用戶端包裝程式還原加密檔案 Touch Tool Client Mover 增益集 ix

12 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊安裝 SBS 及 EBS 增益集使用 SBS 和 EBS 增益集第 15 章 : 常見問題集疑難排解和技術支援常見問題集 (FAQs) 如何進一步保護用戶端? 註冊安裝升級和相容性 Intuit 軟體防護進行設定文件疑難排解有連線限制的環境未建立使用者的垃圾郵件資料夾內部寄件人 / 收件人混淆無法重新傳送隔離郵件複製設定失敗 MSA SQL Server 依存於 Exchange Server 在還原或重新安裝後儲存和恢復程式設定有些元件未安裝無法存取 Web 主控台 Web 主控台上的用戶端數目不正確無法從網頁或使用遠端安裝進行安裝安裝後用戶端圖示未出現在 Web 主控台上從協力廠商的防毒軟體移轉期間發生的問題無效 / 已到期的數位簽章趨勢科技安全資訊中心已知問題聯絡趨勢科技趨勢科技客戶服務部門常見問題集聯絡客戶服務部門傳送可疑檔案給趨勢科技關於 TrendLabs 關於趨勢科技 x

13 目錄附錄 A: 附錄 B: 附錄 C: 附錄 D: 附錄 E: 附錄 F: 系統檢查清單通訊埠檢查清單... A-1 伺服器位址檢查清單... A-2 趨勢科技產品例外清單 Microsoft Exchange Server 的例外清單...B-5 趨勢科技服務趨勢科技疫情爆發防範策略...C-2 趨勢科技損害清除及復原服務...C-2 損害清除及復原服務解決方案...C-2 趨勢科技弱點評估...C-3 趨勢科技智慧型掃瞄...C-4 趨勢科技主動式處理行動...C-4 預設主動式處理行動設定...C-5 Trend Micro IntelliTrap...C-6 真實檔案型態...C-6 趨勢科技電子郵件信譽評等服務...C-7 趨勢科技網頁信譽評等服務...C-7 用戶端資訊行動用戶端... D-2 32 位元和 64 位元用戶端... D-3 間諜程式 / 可能的資安威脅程式類型詞彙表索引 xi

14 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 xii

15 序言序言歡迎使用 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊本書包含有關安裝和設定 Worry-Free Business Security Advanced 時必須執行的工作的資訊本章討論下列主題 : 第 xiv 頁的訴求對象第 xiv 頁的產品文件第 xvii 頁的文件慣例和術語 xiii

16 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊訴求對象本書適合需要設定管理和使用 Worry-Free Business Security Advanced (WFBS-A) 產品的新手和有經驗的管理者產品文件 Worry-Free Business Security Advanced 隨附兩個元件 - 已裝載 / 離線的電子郵件防護服務 (InterScan Messaging Hosted Security), 以及內部部署的伺服器桌上型電腦和電子郵件防護軟體 InterScan Messaging Hosted Security 的文件可於下列位置中取得 : interscan-messaging-hosted-security/ Worry-Free Business Security Advanced 的文件包含下列項目 : 線上說明可以從 Web 主控台閱讀的 Web-based 文件 Worry-Free Business Security Advanced 線上說明提供產品功能的說明和使用指示其中包含自訂設定和執行安全工作的詳細資訊按一下, 開啟內容感應式說明線上說明的使用對象需要藉助於特定畫面的 WFBS-A 管理員使用手冊使用手冊提供安裝 / 升級產品與入門的指示同時說明 Worry-Free Business Security Advanced 的基本功能和預設的設定您可以從趨勢科技 SMB CD 取得使用手冊, 或從趨勢科技網站的下載專區下載 : 使用手冊的適用對象 : 需要安裝和著手使用 Worry-Free Business Security Advanced 的 WFBS-A 管理員 xiv

17 序言管理手冊管理手冊提供產品的設定和維護的完整說明您可以從趨勢科技 SMB CD 取管理手冊, 或從趨勢科技網站的下載專區下載 : 管理手冊的適用對象 : 需要自訂維護或使用 Worry-Free Business Security Advanced 的 WFBS-A 管理員 Readme 檔案 Readme 檔案包含線上或書面文件所沒有的最新產品資訊其中的主題包括新功能的說明安裝祕訣已知問題和授權資訊等常見問題集常見問題集是問題解決方法和疑難排解資訊的線上資料庫此資料庫提供有關產品已知問題的最新資訊如果要取得常見問題集, 請至下列網站 : 趨勢科技向來十分重視文件品質的提升對於本文件或其他趨勢科技文件如有任何問題意見或建議, 請與我們聯絡, 電子郵件信箱為 : docs@trendmicro.com 隨時歡迎您的指教您也可以在下列網站給予對此文件的評估意見 : rating.asp 注意 : 此手冊適用於使用本產品 Worry-Free Business Security Advanced 版本的使用者如果您所使用的是 Worry-Free Business Security 版本, 有關 Messaging Security Agent 的功能說明便不適用於您 xv

18 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊本管理手冊的內容本文件可分為四個主要篇章, 包括安裝規劃產品和元件安裝通訊埠安裝設定以及尋找說明第 1 和 2 章 : 這兩章介紹 Worry-Free Business Security Advanced 的主要功能第 3 章 : 本章說明安裝或升級代理程式所需的步驟本章也提供移除代理程式的相關資訊第 4 章 : 本章說明 Worry-Free Business Security Advanced 中群組的概念和使用方式第 5 和 6 章 : 這兩章說明設定群組的必要步驟第 7 章 : 本章說明疫情爆發防範策略如何設定疫情爆發防範, 以及如何用它來保護網路和用戶端第 8 章 : 本章說明如何使用手動掃瞄和預約掃瞄來保護您的網路和用戶端, 而不受病毒 / 惡意程式和其他安全威脅的侵擾第 9 章 : 本章說明如何使用與設定手動更新和預約更新第 10 章 : 本章說明如何使用記錄檔和報告來監控系統以及分析防護能力第 11 章 : 本章說明如何使用不同的通知選項第 12 章 : 本章說明如何使用全域設定第 13 章 : 本章說明如何使用其他管理工作, 例如 : 檢視產品使用授權使用 Plug-in Manager 和解除安裝 Security Server 第 14 章 : 本章說明如何使用 Worry-Free Business Security Advanced 隨附的伺服器管理工具和用戶端工具第 15 章 : 本章提供一般常問到的有關安裝和部署的問題, 並說明如何解決 Worry-Free Business Security Advanced 引起的問題, 以及提供聯絡趨勢科技客戶服務部門的資訊附錄 : 這些章節包含間諜程式 / 可能的資安威脅程式的系統檢查清單和例外清單, 並提供各種趨勢科技服務的相關資訊用戶端相關資訊不同類型的間諜程式 / 可能的資安威脅程式和詞彙 xvi

19 序言文件慣例和術語為了幫助您更輕鬆地尋找和解譯資訊,WFBS-A 文件會使用下列慣例表 P-1 文件中使用的慣例和術語慣例 / 術語說明大寫粗體斜體等寬注意 : 祕訣警告! 瀏覽路徑 Security Server Web 主控台頭字語縮寫特定的指令名稱和鍵盤上的按鍵功能表和功能表指令指令按鈕索引標籤選項和工作參考其他文件指令行範例程式碼 Web URL 檔案名稱和程式輸出組態設定注意事項建議重要的處理行動和組態設定選項可達到特定畫面的瀏覽路徑例如, 掃瞄 > 手動掃瞄表示按一下掃瞄, 然後按一下介面上的手動掃瞄 Security Server 會控管 Web 主控台, 也就是整個 Worry-Free Business Security Advanced 解決方案的集中式 Web-based 管理主控台 Web 主控台是一個集中式 Web-based 管理主控台, 可管理所有的代理程式 Web 主控台常駐在 Security Server 上 Agent/CSA/MSA Client/Server Security Agent 或 Messaging Security Agent 代理程式會保護安裝所在的用戶端用戶端用戶端可包含 Messaging Security Agent 或 Client/Server Security Agent 安裝所在的 Microsoft Exchange Server 桌上型電腦可攜式電腦和伺服器 xvii

20 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 xviii

21 Worry-Free Business Security Advanced 簡介第 1 章本章介紹 Worry-Free Business Security Advanced 主要功能的總覽本章討論下列主題 : 第 1-2 頁的 Worry-Free Business Security Advanced 的總覽第 1-2 頁的此版本的新增功能第 1-5 頁的 Worry-Free Business Security Advanced 的功能第 1-12 頁的瞭解安全威脅第 1-15 頁的 Worry-Free Business Security Advanced 如何保護您的電腦和網路第 1-20 頁的 Worry-Free Business Security Advanced 的其他功能第 1-26 頁的可更新的元件 1-1

22 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 Worry-Free Business Security Advanced 的總覽 Trend Micro Worry-Free Business Security Advanced (WFBS-A) 會保護您的企業及其信譽不受資料遭竊危險網站和大量垃圾郵件的威脅我們更安全更聰明且更簡單的安全防護會封鎖 Web-based 的威脅及其他惡意程式, 以保護您的商業資產與客戶資訊唯有趨勢科技可提供網頁信譽評等服務, 利用不會降低您電腦速度的持續更新, 來處理網路安全威脅的指數成長我們的常見問題集可快速部署, 以防護我們的所有客戶, 就像是全球夥伴關係觀察一樣 Worry-Free Business Security Advanced 包含 InterScan Messaging Hosted Security Standard, 可封鎖垃圾郵件以防止其進入您的網路 Worry-Free Business Security Advanced 可保護 Microsoft Exchange 和 Small Business Server Microsoft Windows 伺服器個人電腦和可攜式電腦此版本的新增功能 5.1 版的新功能此版本的 Worry-Free Business Security Advanced 為缺乏防毒管理專用資源的企業提供了許多好處 5.1 版繼承所有舊版的功能, 並提供下列新功能 : 支援 Windows Small Business Server 版支援 Windows Small Business Server (SBS) 2008, 可讓使用者在 SBS 2008 中處理內建的安全元件並避免發生衝突 5.1 版如下所示處理 SBS 2008 安全功能 : Worry-Free Business Security Advanced 安裝程式會提示使用者先移除 Microsoft Forefront Security for Exchange Server, 然後再繼續安裝 Security Server 安裝程式不會關閉或移除 Microsoft Windows Live OneCare for Server; 但 Client/Server Security Agent (CSA) 的安裝程式會從用戶端電腦移除 OneCare 5.1 版也提供增益集給 SBS 主控台, 可讓系統管理員即時檢視安全和系統資訊 1-2

23 Worry-Free Business Security Advanced 簡介支援 Windows Essential Business Server (EBS) 版支援 Windows Essential Business Server 2008, 可讓使用者在處理 EBS 2008 所支援之伺服器角色的電腦上安裝適用的 Worry-Free Business Security Advanced 元件 5.1 版可讓 EBS 2008 系統管理員 : 在處理任何伺服器角色的電腦上安裝 Security Server 使用所提供的增益集, 在 EBS 主控台上即時檢視安全和系統資訊在指定作為通訊伺服器的電腦上安裝 Messaging Security Agent (MSA) 先移除 Microsoft Forefront Security for Exchange Server (Forefront), 然後繼續安裝 MSA;MSA 安裝程式會提示使用者移除 Forefront 支援 Windows Server 2008 上的 Microsoft Exchange Server 版包含新版本的 Messaging Security Agent (MSA), 此版本支援 Windows Server 2008 上的 Exchange Server 2007 增強的安全引擎 5.1 版包含下列新型引擎 : 具備改良式意見回應機制的網頁信譽評等服務 (Web Threat Protection) ( 原來稱為 Web Reputation Services ) 引擎支援趨勢科技 Smart Protection Network, 可讓您快速發現和處理未知的網路安全威脅減少記憶體使用量且具備其他效能增強功能的掃瞄引擎行為監控引擎可提供安全威脅停用智慧型處理動態 ActiveX 安裝, 以及其他功能和增強功能安全群組樹狀結構上的其他掃瞄資訊系統管理員現在可在安全群組樹狀結構中看到選取之桌上型電腦或伺服器群組上次手動和預約掃瞄的日期和時間 1-3

24 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 5.0 版的新功能下列是 5.0 版中新增的功能 : Security Server 位置感知 : Worry-Free Business Security Advanced 會根據伺服器閘道資訊, 識別用戶端的位置系統管理員可以根據用戶端的位置, 採取不同的安全設定 ( 行動或在辦公室內 ) 安全威脅狀態 : 檢視即時狀態畫面中的網頁信譽評等服務和行為監控統計資料 Plug-in Manager: 新增 / 移除代理程式的外掛程式使用者介面 :Security Server 現在隨附新的改進後的使用者介面 Client/Server Security Agent Windows Vista 支援 :Client/Server Security Agent 現在可以安裝於 Windows Vista (32 位元和 64 位元 ) 電腦上如需 CSA 功能在不同平台上的對照比較, 請參閱第 D-3 頁的 32 位元和 64 位元用戶端行為監控 : 行為監控會保護用戶端, 可防止對於作業系統登錄項目其他軟體, 或是檔案和資料夾進行未經授權的變更網頁信譽評等服務 : 網頁信譽評等服務 (Web Threat Protection) ( 原為 Web Reputation Services) 可評估任何所要求 URL 的潛在安全威脅, 作法是每次出現 HTTP 要求時, 查詢趨勢科技安全資料庫即時通訊內容過濾 : 即時通訊內容過濾可以在使用即時通訊應用程式時, 限制使用某些字組或詞組軟體防護 : 利用軟體防護, 使用者可以限制會修改其電腦上資料夾內容的應用程式 POP3 郵件掃瞄 : POP3 郵件掃瞄會保護用戶端, 免於受到透過電子郵件傳輸之安全威脅和垃圾郵件的威脅注意 : POP3 郵件掃瞄無法偵測 IMAP 郵件中的安全威脅和垃圾郵件使用 Messaging Security Agent 偵測 IMAP 郵件中的安全威脅和垃圾郵件 1-4

25 Worry-Free Business Security Advanced 簡介 TrendSecure :TrendSecure 是由一套以瀏覽器為基礎的工具所組成 (TrendProtect), 可以讓使用者安全地使用 Web TrendProtect 會對使用者提出有關惡意程式和網路釣魚網站的警告 Intuit 防護 : 可保護您的所有 QuickBook 檔案和資料夾, 防止其他程式進行未經授權的變更 Plug-in Manager 支援 : 管理來自 Security Server 的 Client/Server Security Agent 的其他外掛程式使用者介面 : Client/Server Security Agent 現在隨附新的改進後的使用者介面 Messaging Security Agent 電子郵件信譽評等服務 : 啟動趨勢科技電子郵件信譽評等服務, 以封鎖來自已知和可疑垃圾郵件來源的郵件 Worry-Free Business Security Advanced 的功能 Web 主控台可從單一位置管理所有代理程式控管 Web 主控台的 Security Server 可以從趨勢科技的主動式更新伺服器下載更新收集和儲存記錄檔, 以及協助控制病毒 / 惡意程式爆發 Client/Server Security Agent 可以保護 Windows Vista/2000/XP/Server 2003/Server 2008 電腦, 以防止病毒 / 惡意程式間諜程式 / 可能的資安威脅程式特洛伊木馬程式及其他安全威脅 1-5

26 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 Messaging Security Agent 可以保護 Microsoft Exchange Server 過濾垃圾郵件並封鎖內容 Internet 防火牆閘道 Windows Server Exchange Server 區域網路圖 1-1 Worry-Free Business Security Advanced 會保護桌上型電腦伺服器及 Microsoft Exchange Server 表 1-1 圖例符號說明 A MSA SS 安裝於用戶端上的 Client/Server Security Agent 安裝於 Exchange Server 上的 Messaging Security Agent 安裝於 Windows 伺服器上的 Security Server 1-6

27 Worry-Free Business Security Advanced 簡介 Web 主控台 Web 主控台是集中式 Web-based 的管理主控台使用 Web 主控台來設定代理程式當您安裝 Trend Micro Security Server 並使用 Internet 技術 ( 例如 : ActiveX CGIHTML 及 HTTP/HTTPS) 時,Web 主控台即已安裝同時可以使用 Web 主控台 : 將代理程式部署至伺服器桌上型電腦及可攜式電腦將桌上型電腦可攜式電腦及伺服器結合為邏輯群組, 以便同時進行組態和管理為一個或多個群組設定防毒和間諜程式防護掃瞄架構, 並啟動手動掃瞄接收病毒 / 惡意程式活動的通知並檢視記錄報告當用戶端上偵測到威脅時, 可以透過電子郵件 SNMP Trap 或 Windows 事件記錄檔來接收通知並傳送病毒爆發警訊設定並啟動疫情爆發防範, 控制病毒爆發狀況 Security Server Worry-Free Business Security Advanced 的中心是 Security Server ( 透過圖 1-1 中的 SS 來表示 ) Security Server 控管 Web 主控台, 也就是 Worry-Free Business Security Advanced 的集中式 Web-based 管理主控台 Security Server 會將代理程式安裝至網路上的用戶端, 使用戶端和代理程式形成用戶端和伺服器的關係 Security Server 能從一個集中的位置, 來檢視安全狀態資訊檢視代理程式設定系統安全, 以及下載元件 Security Server 也包含資料庫, 儲存已偵測到的 Internet 威脅記錄檔, 這些偵測結果是由 Security Agent 報告的 1-7

28 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 Trend Micro Security Server 會執行這些重要功能 : 在網路上安裝監控及管理代理程式從趨勢科技更新伺服器下載病毒碼檔案間諜程式病毒碼檔案掃瞄引擎和程式更新檔, 然後分送至各代理程式 Internet Trend Micro Security Server 會從更新來源下載病毒碼檔案和掃瞄引擎含 HTTP Web 伺服器的 Trend Micro Security Server Web 主控台使用 Web 主控台來管理 Trend Micro Security Server 和代理程式 Client/Server Security Agent 和 Messaging Security Agent 圖 1-2 用戶端和伺服器之間的通訊如何透過 HTTP 運作 Client/Server Security Agent Client/Server Security Agent ( 透過圖 1-1 中的 A 來表示 ) 會從其安裝位置向 Trend Micro Security Server 報告為了向伺服器提供最新的用戶端資訊, 代理程式會即時傳送事件狀態資訊代理程式會報告下列事件 : 安全威脅偵測代理程式啟動代理程式關機掃瞄開始, 以及更新的完成等 Client/Server Security Agent 提供三種掃瞄方式 : 即時掃瞄預約掃瞄和手動掃瞄從 Web 主控台設定代理程式上的掃瞄設定如果要在網路上實施統一的桌上型電腦防護, 您可以選擇不授與使用者修改掃瞄設定或移除代理程式的權限 1-8

29 Worry-Free Business Security Advanced 簡介 Messaging Security Agent 保護 Microsoft Exchange Server 免於受到安全威脅的攻擊, 作法是在每部 Microsoft Exchange Server 上安裝 Messaging Security Agent ( 透過圖 1-1 中的 MSA 來表示 ) Messaging Security Agent 會保護 Microsoft Exchange Server, 以防止病毒 / 惡意程式特洛伊木馬程式電腦蠕蟲及其他安全威脅為了進一步增強安全性, 它也提供垃圾郵件封鎖內容過濾和附件封鎖的功能 Messaging Security Agent 提供三種掃瞄方式 - 即時掃瞄預約掃瞄和手動掃瞄 Messaging Security Agent 會從它的安裝位置向 Security Server 報告 Messaging Security Agent 會即時將事件和狀態資訊傳送給 Security Server 從 Web 主控台檢視事件和狀態資訊掃瞄引擎在所有趨勢科技產品的核心中, 都包含掃瞄引擎掃瞄引擎原先為了因應早期檔案型電腦病毒 / 惡意程式而開發, 現今已經發展得十分嚴密, 並且能夠偵測 Internet 電腦蠕蟲大量寄件程式特洛伊木馬程式威脅網路釣魚網站網路安全弱點, 以及病毒 / 惡意程式掃瞄引擎可以偵測兩種安全威脅型 : 到處肆虐散播 : 在 Internet 上到處肆虐散播的安全威脅已知且已控制 : 並未散播的已控制病毒 / 惡意程式, 是為了研究的目的所開發的與其掃瞄每個檔案的每個位元組, 不如將引擎與病毒碼檔案一起運用, 不但能夠識別病毒程式碼的明顯特性, 也能找出檔案中隱藏病毒 / 惡意程式的確切位置如果 Worry-Free Business Security Advanced 偵測到病毒 / 惡意程式, 會加以移除並回存檔案的完整性掃瞄引擎會逐漸從趨勢科技接收更新病毒碼檔案 ( 為了減少頻寬 ) 掃瞄引擎能夠解密所有主要的加密格式 ( 包括 MIME 和 BinHex 在內 ) 它能識別並掃瞄一般壓縮格式, 包括 ZIP ARJ 和 CAB Worry-Free Business Security Advanced 也可以掃瞄檔案中的多個壓縮層 ( 最多六層 ) 能夠讓掃瞄引擎的能力隨著最新的安全威脅維持進步, 是相當重要的趨勢科技透過使用兩種方式做到這一點 : 經常性更新病毒碼檔案由於病毒 / 惡意程式安全威脅的本質有所變更 ( 例如 : 出現 SQL Slammer 這類混合式安全威脅 ), 因而促成引擎軟體的更新趨勢科技的掃瞄引擎獲得國際電腦安全機構的年度認證, 其中包括 ICSA ( 國際電腦安全協會 ) 1-9

30 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊掃瞄引擎更新檔藉由將最容易隨著時間變更的病毒 / 惡意程式資訊儲存在病毒碼檔案中, 趨勢科技可以將更新掃瞄引擎的次數減到最少, 並同時保持更新的防護不過, 趨勢科技還是會定期提供新版的掃瞄引擎趨勢科技會在下列情況發行新的引擎 : 新的掃瞄和偵測技術已經併入軟體中發現新的潛在的有害病毒 / 惡意程式加強掃瞄效能增加對其他檔案格式指令語言編碼和 ( 或 ) 壓縮格式的支援如果要檢視最新版掃瞄引擎的版本號碼, 請造訪趨勢科技網站 : 病毒碼檔案趨勢科技的掃瞄引擎使用稱為病毒碼檔案的外部資料檔案其中所包含的資訊可以協助 Worry-Free Business Security Advanced 辨識最新的病毒 / 惡意程式和其他 Internet 安全威脅, 例如 : 特洛伊木馬程式大量寄件程式電腦蠕蟲和混合式攻擊每週建立數次並發行新的病毒檔案, 並在發現特別嚴重的安全威脅時發行所有趨勢科技防毒程式均使用主動式更新功能, 此功能可以偵測趨勢科技伺服器上可用的新病毒碼檔案系統管理員可以預約防毒程式, 每週每日或每小時輪詢伺服器, 以取得最新的檔案秘訣 : 趨勢科技建議您預約至少每小時自動更新一次, 這是所有趨勢科技產品的預設設定從下列網站下載病毒碼檔案 ( 提供有關目前版本發行日期, 以及包含在檔案中所有新病毒定義的清單等資訊 ): 掃瞄引擎會與病毒碼檔案一起運作, 使用稱為病毒碼比對的程序來執行第一個層級的偵測注意 : 病毒碼檔案掃瞄引擎和資料庫更新只有在維護合約有效的情況下, 才能供已註冊的使用者使用 1-10

31 Worry-Free Business Security Advanced 簡介病毒清除引擎 WFBS-A 使用掃瞄和損害清除及復原引擎 (DCE) 的損害清除工具, 找出並修復由病毒 / 惡意程式或其他 Internet 安全威脅所造成的損害病毒清除引擎可以找出並清除病毒 / 惡意程式特洛伊木馬程式和其他安全威脅病毒清除引擎使用資料庫來尋找目標電腦, 並評估是否已受到安全威脅的影響病毒清除引擎位於單一電腦上, 並且會在掃瞄時部署至網路上的目標用戶端病毒清除引擎會使用病毒清除病毒碼, 來回存由最新已知威脅所造成的損害 WFBS-A 會定期更新這些範本趨勢科技建議您在安裝並啟動 WFBS-A 之後, 立即更新元件趨勢科技會經常更新病毒清除病毒碼一般防火牆驅動程式一般防火牆驅動程式搭配使用防火牆的使用者所定義的設定, 可以在疫情爆發期間封鎖通訊埠一般防火牆驅動程式會使用網路病毒碼檔案來偵測網路病毒網路病毒碼檔案網路病毒碼檔案含有定期更新的封包層級網路病毒碼資料庫趨勢科技會經常 ( 每小時一次 ) 更新網路病毒碼檔案, 以確保 Worry-Free Business Security Advanced 可以辨識新的網路病毒弱點病毒碼檔案 Worry-Free Business Security Advanced 會在更新元件之後部署弱點病毒碼檔案使用立即掃瞄弱點工具時, 或是觸發預約的弱點評估時, 或是下載新的弱點病毒碼檔案時, 會在疫情爆發防範 > 潛在的安全威脅畫面中使用弱點病毒碼檔案下載新檔案之後,Worry-Free Business Security Advanced 會立即開始進行用戶端的弱點掃瞄 1-11

32 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊瞭解安全威脅電腦安全性是一個變化快速的主題管理員和資訊安全專家會創造並採用各種不同的術語和片語, 用以說明電腦和網路的潛在風險和意外事件以下對這些術語以及它們在本文中的意義進行討論病毒 / 惡意程式電腦病毒 / 惡意程式是一種程式 ( 一段可執行程式碼 ), 具有獨特的複製能力病毒 / 惡意程式可以將自身附加到任何類型的執行檔上, 然後隨著複製四處散播除了複製外, 部分電腦病毒 / 惡意程式有另一個共通點 : 傳遞病毒負載的破壞手法某些負載可能只會顯示訊息或影像, 某些也可能會損毀檔案重新格式化您的硬碟或造成其他損害惡意程式 : 惡意程式這類軟體的設計目的是在未經擁有者知情的許可下, 滲透或損害電腦系統特洛伊木馬程式 : 所謂特洛伊木馬程式是一種偽裝成無害應用程式的惡意程式特洛伊木馬程式雖不像病毒 / 惡意程式一樣會自行複製, 卻同樣極具破壞力某些特洛伊木馬程式聲稱能替電腦消滅病毒 / 惡意程式, 卻暗中將病毒 / 惡意程式引入您的電腦電腦蠕蟲 : 電腦蠕蟲是一種自含程式 ( 或一組程式集 ), 可將本身的功能或程式碼的一部份散播到其他電腦系統這種病毒通常透過網路連線或電子郵件的附件散播和病毒 / 惡意程式不同的是, 電腦蠕蟲無需將自身附加到主程式後門程式 : 後門程式是用來略過一般驗證掩護從遠端存取電腦, 和 ( 或 ) 取得資訊存取權的方法, 同時企圖保持不會被偵測到 Rootkit:Rootkit 這組程式的設計目的是透過其使用者損毀作業系統的合法控制項通常,Rootkit 將會隱藏它的安裝, 並嘗試防止透過標準系統安全的破壞因素來移除它巨集病毒 : 巨集病毒是僅針對特定應用程式的病毒病毒位於應用程式的檔案內, 例如 :Microsoft Word (.doc) 和 Microsoft Excel (.xls) 因此, 在具有可使用巨集的應用程式常用的副檔名的檔案中 ( 例如 :.doc.xls 和.ppt), 可以偵測到它們巨集病毒會在應用程式的資料檔案之間傳遞, 如果未受阻擋, 最後可以感染數百個檔案 Client/Server Security Agent 和 Messaging Security Agent 可以在防毒掃瞄期間偵測到病毒 / 惡意程式趨勢科技建議您對病毒 / 惡意程式執行清除處理行動 1-12

33 Worry-Free Business Security Advanced 簡介間諜程式 / 可能的資安威脅程式可能的資安威脅程式會執行非預期或未經授權的動作這是一般用語, 用來表示間諜程式廣告軟體惡意撥號程式惡作劇程式遠端存取工具及任何其他不受歡迎的檔案和程式視類型而定, 其可能會包含可以複製和無法複製的惡意程式碼間諜程式 : 間諜程式這一類電腦軟體可在不經使用者許可或知情的情況下安裝於電腦上, 並收集和傳輸個人資訊惡意撥號程式 : 進行非寬頻連線需要撥號程式以連接至 Internet 惡意撥號程式的設計目的是透過高費率付費號碼來連接, 而非直接連接至您的 ISP 這樣, 這些惡意撥號程式的提供者就得以私吞額外的費用惡意撥號程式的其他使用者包括那些傳輸個人資訊及下載惡意軟體的使用者駭客工具 : 駭客工具是設計用來協助駭客動作的一個程式或一組程式廣告軟體 : 廣告軟體 ( 或支援廣告的軟體 ) 是任意的軟體套件, 當此軟體安裝於電腦上之後, 或使用應用程式時, 即會自動在電腦上播放或顯示廣告, 或是將廣告下載到電腦上按鍵記錄程式 : 按鍵記錄程式是會記錄使用者的所有按鍵記錄的電腦軟體之後駭客便可擷取此資訊, 並供其個人使用 Bot:Bot ( 機器人 (Robot) 的簡稱 ) 是一種程式, 可做為使用者或其他程式的代理程式運作或模擬人類活動 Bot 一旦執行, 可能會自行複製壓縮和散播副本 Bot 可用於協調對用戶端電腦的自動攻擊 Client/Server Security Agent 和 Messaging Security Agent 可以偵測可能的資安威脅程式趨勢科技建議您對間諜程式 / 可能的資安威脅程式執行清除處理行動網路病毒嚴格說來, 透過網路傳播的病毒, 並不算是網路病毒只有本節提到的某些安全威脅 ( 例如 : 電腦蠕蟲 ), 才算的上是網路病毒具體來說, 網路病毒使用網路通訊協定 ( 例如 :TCP FTP UDP HTTP) 和電子郵件通訊協定來自行複製防火牆使用網路病毒碼檔案來辨識和封鎖網路病毒 1-13

34 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊垃圾郵件入侵垃圾郵件是由來路不明的電子郵件 ( 垃圾郵件 ) 所組成, 這類郵件通常屬於商業性質, 會隨機傳送至多個郵件清單個人或新聞群組垃圾郵件有兩種類型 : 來路不明的商業電子郵件 (UCE) 或來路不明的大型電子郵件 (UBE) 入侵是指藉由強制或沒有權限的方式, 進入網路或電腦它也表示略過網路或電腦的安全防護惡意行為惡意行為是指軟體對作業系統登錄項目其他軟體或檔案及資料夾進行未經授權的變更 IM 應用程式中明確 / 限制的內容組織中的明確或限制的內容均會透過即時通訊應用程式進行傳輸例如 : 公司的機密資訊線上按鍵監聽程式線上版本的按鍵記錄程式如需詳細資訊, 請參閱第 1-13 頁的間諜程式 / 可能的資安威脅程式封裝程式封裝程式是壓縮可執行程式的工具壓縮可執行程式會使傳統的防毒掃瞄產品更難偵測可執行程式中包含的程式碼封裝程式可能會隱藏特洛伊木馬式或電腦蠕蟲趨勢科技掃瞄引擎可以偵測封裝的檔案, 趨勢科技建議對封裝檔案執行隔離處理行動 1-14

35 Worry-Free Business Security Advanced 簡介網路釣魚事件網路釣魚事件的源頭是謊稱來自立案或合法公司的電子郵件訊息會鼓勵收件人按下會將他們的瀏覽器重新導向詐欺網站的連結該網站會要求使用者更新個人資訊 ( 例如 : 密碼社會安全號碼信用卡號碼 ), 企圖哄騙收件人提供私人資訊, 可能進而盜竊身份 Messaging Security Agent 使用垃圾郵件防護來偵測網路釣魚事件趨勢科技對網路釣魚事件的建議處理行動為刪除偵測到網路釣魚的整封郵件大量郵件攻擊透過電子郵件傳播的病毒 / 惡意程式, 可以藉由中毒電腦的電子郵件用戶端自動以電子郵件傳播病毒, 或者藉由病毒 / 惡意程式本身進行散播大量郵件行為指的是感染狀況在 Microsoft Exchange 環境中快速傳播的情況趨勢科技設計的掃瞄引擎可以偵測大量郵件攻擊的行為模式這些行為都記錄在病毒檔案中, 透過趨勢科技的主動式更新伺服器來更新 Messaging Security Agent 可以在防毒掃瞄期間偵測到大量郵件攻擊專為大量郵件行為所設定的預設處理行動將優先於其他的動作趨勢科技對大量郵件攻擊的建議中毒處理行動為刪除整封郵件 Worry-Free Business Security Advanced 如何保護您的電腦和網路下表說明 Worry-Free Business Security Advanced 的不同元件如何保護您的網路免於安全威脅表 1-2 安全威脅與 Worry-Free Business Security Advanced 防護安全威脅病毒 / 惡意程式病毒特洛伊木馬程式電腦蠕蟲後門程式及 Rootkit 間諜程式 / 可能的資安威脅程式間諜程式惡意撥號程式駭客工具密碼破解程式廣告軟體惡作劇程式及按鍵記錄程式 Worry-Free Business Security Advanced 防護防毒和間諜程式防護掃瞄引擎, 以及 Client/Server Security Agent 和 Messaging Security Agent 中的病毒碼程式 1-15

36 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊表 1-2 安全威脅與 Worry-Free Business Security Advanced 防護 ( 繼續 ) 透過電子郵件和垃圾郵件傳輸的病毒 / 惡意程式和間諜程式 / 可能的資安威脅程式網路蠕蟲 / 病毒入侵可想到的有害網站 / 網路釣魚網站惡意行為安全威脅 IM 應用程式中明確 / 限制的內容 Worry-Free Business Security Advanced 防護 Client/Server Security Agent 中的 POP3 郵件掃瞄和 Messaging Security Agent 中的 IMAP 郵件掃瞄 Client/Server Security Agent 中的防火牆 Client/Server Security Agent 中的防火牆 Client/Server Security Agent 中的網頁信譽評等服務和 TrendProtect Client/Server Security Agent 中的行為監控 Client/Server Security Agent 中的 IM 內容過濾關於元件 Worry-Free Business Security Advanced 為多層式應用程式, 使用下列元件來保護您的 Microsoft Exchange Server 桌上型電腦及伺服器 : 防毒 Client/Server Security Agent 和 Messaging Security Agent 的掃瞄引擎 (32 位元 /64 位元 ): 掃瞄引擎會使用病毒碼檔案, 來偵測使用者正在開啟和 ( 或 ) 儲存的檔案上的病毒 / 惡意程式和其他安全威脅掃瞄引擎會與病毒碼檔案一起運作, 使用稱為病毒碼比對的程序來執行第一個層級的偵測由於每種病毒均包含獨有的特徵, 或是包含能夠與其程式碼區分的描述字元所組成的字串, 因此趨勢科技的病毒專家會在病毒碼檔案中擷取此程式碼的內隱片段然後, 引擎會將每個已掃瞄檔案的特定部分與病毒碼檔案中的病毒碼做比較, 以尋找符合的項目病毒碼 : 協助 Security Agent 識別病毒特徵的檔案, 病毒特徵是指會發出病毒存在通知的獨特位元和位元組病毒碼病毒清除範本 : 此範本為病毒清除引擎所使用, 有助於辨識特洛伊木馬程式檔案及特洛伊木馬程式處理程序電腦蠕蟲及間諜程式 / 可能的資安威脅程式, 使引擎得以移除它們 1-16

37 Worry-Free Business Security Advanced 簡介病毒清除引擎 (32 位元 /64 位元 ): 清除及復原服務用來掃瞄並移除特洛伊木馬程式檔案及特洛伊木馬程式處理程序電腦蠕蟲及間諜程式 / 可能的資安威脅程式的引擎 IntelliTrap 例外病毒碼 :IntelliTrap 及掃瞄引擎用以掃瞄壓縮檔中惡意程式碼的例外病毒碼 IntelliTrap 病毒碼 :IntelliTrap 及掃瞄引擎用以掃瞄壓縮檔中惡意程式碼的病毒碼間諜程式防護間諜程式掃瞄引擎 (32 位元 ): 這是一個獨立的掃瞄引擎, 會在執行 i386 (32 位元 ) 作業系統 (Windows Vista Windows XP Windows Server 2003 及 Windows 2000) 的用戶端和伺服器上掃瞄偵測間諜程式 / 可能的資安威脅程式, 並在中毒時將其移除間諜程式掃瞄引擎 (64 位元 ): 類似適用於 32 位元系統的間諜程式 / 可能的資安威脅程式掃瞄引擎, 這個掃瞄引擎會在 x64 (64 位元 ) 作業系統 (Windows Vista x64 Windows XP Professional x64 Edition Windows 2003 x64 Edition) 上掃瞄偵測及移除間諜程式間諜程式病毒碼 : 包含已知的間諜程式病毒特徵, 並且可供間諜程式掃瞄引擎 (32 位元和 64 位元 ) 用於手動掃瞄和預約掃瞄, 以偵測電腦和伺服器上的間諜程式 / 可能資安威脅程式間諜程式主動式監控病毒碼 : 類似於間諜程式病毒碼, 但是掃瞄引擎會將它用於即時間諜程式防護掃瞄垃圾郵件防護垃圾郵件引擎 (32 位元 /64 位元 ): 可偵測來路不明的商業電子郵件 (UCE) 或來路不明的大型電子郵件 (UBE), 也就是所謂的垃圾郵件垃圾郵件病毒碼 : 包含垃圾郵件定義, 可讓垃圾郵件防護引擎偵測出電子郵件中的垃圾郵件電子郵件信譽評等服務 (ERS): 可在垃圾郵件侵襲閘道並使通訊基礎架構滿溢之前, 阻擋高達 80% 的垃圾郵件 1-17

38 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊疫情爆發防範疫情爆發防護提供 Internet 威脅和 ( 或 ) 其他全球爆發疫情形勢的早期警訊疫情爆發防護會自動回應預防措施, 以保護您電腦和網路的安全, 並提供防護措施來辨別問題並修復損害弱點病毒碼 : 是一個包含具有全部弱點資料庫的檔案弱點病毒碼為掃瞄引擎提供掃瞄已知弱點的指示防火牆一般防火牆引擎 (32 位元 /64 位元 ): 防火牆會搭配網路病毒碼檔案使用此引擎, 來保護電腦免於駭客的攻擊和網路病毒的侵擾一般防火牆病毒碼 : 與病毒碼檔案類似, 這個檔案可協助 Worry-Free Business Security Advanced 辨識網路病毒特徵傳輸驅動程式介面 (TDI) (32 位元 /64 位元 ): 此模組會將網路傳輸重新導向至掃瞄模組 WFP 驅動程式 (32 位元 /64 位元 ): 對於 Windows Vista 用戶端, 防火牆可將這個驅動程式與網路病毒碼檔案搭配使用, 以掃瞄網路病毒網頁信譽評等服務趨勢科技安全資料庫 : 網頁信譽評等服務會在顯示所要求的網頁之前, 先評估該網頁的潛在安全威脅根據資料庫所傳回的分級和所設定的安全層級,Client/Server Security Agent 將封鎖或核准該要求 URL 過濾引擎 (32 位元 /64 位元 ): 此引擎會查詢趨勢科技安全資料庫以評估網頁 TrendProtect 趨勢科技安全資料庫 :TrendProtect 會評估網頁上所顯示的超連結的潛在安全威脅根據資料庫所傳回的分級和瀏覽器外掛程式上所設定的安全層級, 此外掛程式會將連結分級軟體防護軟體防護清單 : 軟體防護清單包含可修改檔案或資料夾內容的程式如果程式不在清單中, 則無法建立修改或刪除檔案或資料夾 1-18

39 Worry-Free Business Security Advanced 簡介行為監控行為監控核心驅動程式 (32 位元 ): 此驅動程式會偵測用戶端上的處理程序行為行為監控核心服務 (32 位元 ):CSA 會使用此服務處理行為監控核心驅動程式策略強制執行病毒碼 :Security Server 上所設定的策略清單, 必須透過代理程式強制執行病毒碼白名單 : 趨勢科技認可的公司清單, 可安全使用其軟體行為監控組態病毒碼 : 此病毒碼會儲存預設的行為監控策略內容過濾限制字組 / 詞組清單 : 限制字組 / 詞組清單是由無法透過即時通訊應用程式傳輸的字組 / 詞組所組成即時狀態和通知即時狀態能讓您一覽疫情爆發防範防毒間諜程式防護和網路病毒的安全狀態如果 Worry-Free Business Security Advanced 所保護的是 Microsoft Exchange Server, 那麼您也可以檢視垃圾郵件防護狀態同樣地,Worry-Free Business Security Advanced 可以在發生重大事件時傳送通知給系統管理員其他附加的趨勢科技產品 Worry-Free Business Security Advanced 為區域網路上的 Microsoft Exchange Server Windows 桌上型電腦和伺服器提供完整的保護, 但是此版本並未針對閘道裝置和非 Windows 作業系統提供解決方案如果要擴充您的防護, 請考慮結合 Worry-Free Business Security Advanced 和 Trend Micro InterScan VirusWall for Small and Medium Business InterScan VirusWall 是最完整的閘道安全軟體, 可在病毒 / 惡意程式間諜程式 / 可能的資安威脅程式垃圾郵件網路釣魚 Bot 及不當內容對您的網路造成危害之前保護企業的安全 1-19

40 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 Worry-Free Business Security Advanced 的其他功能? 運用 Worry-Free Business Security Advanced, 系統管理員也可以 : 第 1-20 頁的從單一主控台管理安全第 1-20 頁的分析網路的防護能力第 1-21 頁的強制執行安全策略第 1-21 頁的提供更新的防護第 1-21 頁的隔離中毒檔案第 1-21 頁的控制網路上的病毒爆發第 1-21 頁的管理 Worry-Free Business Security Advanced 群組第 1-22 頁的利用防火牆保護用戶端不受駭客攻擊第 1-22 頁的保護電子郵件訊息第 1-22 頁的過濾即時通訊內容第 1-22 頁的根據位置控制安全設定第 1-23 頁的保護用戶端以防止其造訪惡意網站第 1-24 頁的促進安全線上交易第 1-25 頁的核可的間諜程式 / 可能的資安威脅程式第 1-25 頁的安全通訊從單一主控台管理安全 Trend Micro Security Server 可透過單一 Web 主控台 ( 亦稱為 Web 主控台 ) 來管理整個防毒系統 Web 主控台會與 Trend Micro Security Server 安裝在一起, 並使用標準的 Internet 技術, 例如 :Java CGI HTML 及 HTTP 分析網路的防護能力 Worry-Free Business Security Advanced 可以產生不同類型的記錄檔, 包括病毒 / 惡意程式記錄檔系統事件記錄檔和更新記錄檔您可以使用這些記錄檔來驗證更新部署檢查用戶端和伺服器之間的通訊, 並判斷哪些電腦容易遭受病毒攻擊而且能夠根據記錄檔資訊, 對網路的病毒防護進行設計與重新設計, 找出哪些電腦比較可能受到病毒感染, 然後依此來變更這些電腦的防毒設定 1-20

41 Worry-Free Business Security Advanced 簡介強制執行安全策略 Worry-Free Business Security Advanced 提供三種掃瞄類型 : 預約掃瞄手動掃瞄和即時掃瞄藉由設定這三種掃瞄類型, 強制執行組織的安全策略指定要掃瞄的檔案類型, 以及 Worry-Free Business Security Advanced 發現安全威脅時要採取的處理行動如果要將調整的掃瞄設定套用至所有代理程式, 請選擇不要將權限授與使用者, 並利用密碼鎖住代理程式, 以防止使用者改變設定關閉或移除防護提供更新的防護病毒撰寫者會經常建立新的病毒 / 惡意程式並四處散播為了免受最新安全威脅的侵襲, 趨勢科技會經常發佈新的病毒碼檔案 Worry-Free Business Security Advanced 可以自動下載病毒碼檔案並將其部署至所有代理程式隔離中毒檔案指定一個隔離資料夾, 以控制現有的病毒 / 惡意程式和中毒檔案 Trend Micro Security Server 接著會自動將中毒檔案移至隔離資料夾控制網路上的病毒爆發藉由啟動疫情爆發防範和設定疫情爆發通知, 可立即因應正在發展中的病毒爆發疫情爆發防範可藉由下列方式來協助防止病毒爆發導致整個網路癱瘓 : 封鎖用戶端上的共享資料夾與易受攻擊的通訊埠拒絕寫入資料夾封鎖附件和過濾內容管理 Worry-Free Business Security Advanced 群組 Worry-Free Business Security Advanced 中的群組就是用戶端的集合, 它們共用相同的組態並執行相同的工作 Worry-Free Business Security Advanced 群組和 Windows 網域不同可在任一指定的 Windows 網域中建立多個 Worry-Free Business Security Advanced 群組 1-21

42 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊利用防火牆保護用戶端不受駭客攻擊在用戶端和網路之間建立一道屏障, 協助保護用戶端不受駭客的攻擊和網路病毒的侵擾防火牆可封鎖或允許特定類型的網路傳輸此外, 防火牆會辨識網路封包中可能攻擊用戶端的行為模式保護電子郵件訊息 POP3 電子郵件訊息保護執行 Windows 2000/XP/Server 2003 的用戶端, 以防止郵件通訊協定 3 (POP3) 的郵件訊息和附件中毒偵測到安全威脅時, 使用者可以選擇刪除清除或暫不處理含有安全威脅的郵件訊息 IMAP 電子郵件訊息 Worry-Free Business Security Advanced 提供強大的掃瞄技術, 可偵測清除 / 隔離各種不同的安全威脅同時還可以提供附件封鎖內容過濾和其他功能 ; 所有功能均可從 Web 主控台存取過濾即時通訊內容利用 IM 內容過濾, 系統管理員可以限制透過常用的即時通訊應用程式傳輸的特定字詞如需詳細資訊, 請參閱第 12-8 頁的 IM 內容過濾根據位置控制安全設定利用位置感知, 系統管理員可以根據用戶端連接至網路的方式控制安全設定例如, 如果某員工不在辦公室, 系統管理員可以設定更嚴格的策略, 並啟動防火牆但是, 如果該員工正在工作, 即可關閉防火牆 Client/Server Security Agent 根據其位置而有不同的資料檔 WFBS-A 會將用戶端分類為 : 一般用戶端行動用戶端 1-22

43 Worry-Free Business Security Advanced 簡介一般用戶端一般用戶端指位置固定的電腦, 可以隨時與 Security Server 保持連線行動用戶端行動用戶端指不一定隨時與 Security Server 保持連線的電腦, 例如 : 可攜式電腦這類用戶端的 Client/Server Security Agent 仍可繼續提供病毒 / 惡意程式防護但不會立即傳送狀態給 Securtiy Server 通常會將行動權限指定給長時間與 Security Server 中斷連線的用戶端當用戶端獲得行動權限時, 即可直接從趨勢科技的主動式更新伺服器進行自動更新按一下 Client/Server Security Agent 捷徑功能表上的立即更新位置感知可控制在辦公室中 / 辦公室以外的地方連線設定請參閱第 12-5 頁的位置感知行為監控行為監控會持續監控用戶端嘗試修改作業系統和其他程式的動作當代理程式偵測到嘗試時, 即會通知使用者已發生變更, 而使用者可以允許或封鎖要求使用者 / 系統管理員可以將程式新增至例外清單例外清單中的程式可以變更其他程式和作業系統行為監控的其他功能可保護 EXE 和 DLL 檔案免遭刪除或修改具備此權限的使用者可以保護特定的資料夾此外, 使用者可以選取全面保護所有 Intuit QuickBooks 程式保護用戶端以防止其造訪惡意網站網頁信譽評等服務可增強防止造訪惡意網站的保護網頁信譽評等服務運用趨勢科技的龐大 Web 安全資料庫, 檢查使用者嘗試存取的 HTTP URL 信譽, 或者電子郵件內嵌的 URL 信譽 HTTP 網頁信譽評等服務可評估任何所要求的 URL 的潛在安全威脅, 作法是每當出現 HTTP 要求時, 查詢趨勢科技 Web 安全資料庫根據所設定的安全層級, 它可封鎖對於已知或疑似是 Web 威脅或者信譽資料庫上未分級的網站的存取網頁信譽評等服務可針對網頁信譽評等服務偵測, 為系統管理員提供電子郵件通知, 並對使用者提供線上通知請參閱第 5-14 頁的網頁信譽評等服務, 以設定網頁信譽評等服務 1-23

44 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊信譽評分 URL 的信譽評分會決定某個 URL 是否為網站安全威脅趨勢科技則使用專有度量來計算分數如果某個 URL 的分數落在專為網路威脅很可能是網路威脅或可能是網路威脅等其中一種類別所設的範圍內, 則趨勢科技會按照這些類別看待此 URL 如果 URL 的分數超過定義的門檻值, 趨勢科技將此 URL 視為可安全存取有三種安全層級可判斷代理程式將允許或封鎖對 URL 的存取高 : 封鎖未分級是網站威脅極可能是網站威脅, 或疑似網站威脅的 URL 中 : 封鎖未分級是網站威脅, 或極可能是網站威脅的 URL 低 : 僅封鎖是網站威脅的 URL 如需詳細資訊, 請參閱第 12-7 頁的網頁信譽評等服務和第 5-14 頁的網頁信譽評等服務促進安全線上交易 TrendSecure 透過判斷您的無線網路連線和所造訪的網頁是否安全, 協助保護您的 Internet 交易為了防範資訊竊取,TrendSecure 也可以加密您輸入網頁的資訊, 包括個人資訊密碼及信用卡號 TrendSecure 會新增瀏覽器工具列, 此工具列可根據無線網路連線的安全來變更顏色您也可以按一下工具列按鈕, 以存取下列功能 : 網頁分級 : 判斷網頁上超連結的安全 ( 適用於無線和有線的連線 ) 如需詳細資訊, 請參閱第 5-20 頁的 TrendSecure 1-24

45 Worry-Free Business Security Advanced 簡介核可的間諜程式 / 可能的資安威脅程式趨勢科技將某些應用程式歸類為間諜程式 / 可能的資安威脅程式, 不是因為它們會對其安裝的系統造成危害, 而是因為有可能讓用戶端或網路暴露在惡意程式的威脅或是駭客的攻擊之中例如,Hotbar 即為嵌入 Web 瀏覽器工具列的程式 Hotbar 會追蹤使用者造訪過的 URL, 並且記錄使用者輸入搜尋引擎中的字組或詞組您可以使用此資訊在使用者的瀏覽器上顯示目標廣告 ( 包括快顯視窗 ) 由於 Hotbar 所收集的資訊可能會傳送到第三方網站, 讓惡意程式或駭客用來收集使用者的相關資訊, Worry-Free Business Security Advanced 預設會阻止這種應用程式的安裝及執行如果使用者需要 Hotbar 或 Worry-Free Business Security Advanced 會分類為間諜程式 / 可能的資安威脅程式的任何其他應用程式, 可將它新增至間諜程式 / 可能的資安威脅程式例外清單如需詳細資訊, 請參閱第 8-7 頁的編輯間諜程式 / 可能的資安威脅程式例外清單藉由防止執行具有潛在風險的應用程式, 並允許您完全控制間諜程式 / 可能的資安威脅程式信任清單,Worry-Free Business Security Advanced 可協助確保用戶端上僅能執行所核可的應用程式安全通訊 Worry-Free Business Security Advanced 透過 Secure Socket Layer (SSL) 技術, 在 Trend Micro Security Server 與 Web 主控台之間提供安全通訊 Trend Micro Security Server 可以針對每一個作業階段產生憑證, 讓 Web 主控台可以根據公開金鑰基礎架構 (Public Key Infrastructure,PKI) 密碼編譯標準來加密資料憑證的預設期間為三年 1-25

46 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊可更新的元件如果要確保 Worry-Free Business Security Advanced 會使用最新元件來掃瞄辨識及清除用戶端, 趨勢科技會定期更新下列各項 : 元件 : 如需詳細資訊, 請參閱第 1-16 頁的關於元件和第 9-3 頁的可更新的元件 HotFix 和安全修補程式 : 針對客戶相關問題, 或最新發現的安全弱點的解決方案, 可從趨勢科技網站下載並安裝至 Trend Micro Security Server 和 ( 或 ) 代理程式如需每個元件的相關資訊, 請參閱第 1-16 頁的關於元件 HotFix 修補程式和 Service Pack 在官方產品發行之後, 趨勢科技通常會製作 HotFix 修補程式和 Service Pack 來處理問題, 以增強產品的效能或增加新功能以下是趨勢科技可能發行的項目摘要 : HotFix: 針對單一客戶回報的問題的處理方式或解決方案 HotFix 是為特定問題而發行, 因此不會發行給所有客戶 Windows HotFix 包括安裝程式您通常需要停止程式精靈複製檔案以覆寫安裝中的符合部份, 並重新啟動精靈安全修補程式 : 著重安全問題的 HotFix, 適合部署到所有客戶 Windows 安全修補程式包括安裝程式修補程式 : 一組 HotFix 和安全修補程式, 可解決多種程式問題趨勢科技會定期提供修補程式 Windows 修補程式包括安裝程式 Service Pack:HotFix 修補程式的合併, 如果增強的功能足夠大, 則足以視為產品升級 Windows 和非 Windows Service Pack 都包括安裝程式和安裝程序檔 1-26

47 Worry-Free Business Security Advanced 簡介您可以向技術客服經理 (TAM) 取得 HotFix 請查看趨勢科技常見問題集, 搜尋已發行的 HotFix: 請定期查閱趨勢科技網站以下載修補程式和 Service Pack: 注意 : 所有發行都包括內含安裝部署和設定產品所需之資訊的 Readme 檔安裝 HotFix 修補程式或 Service Pack 檔案之前, 請先仔細閱讀 Readme 檔 1-27

48 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 1-28

49 第 2 章使用 Web 主控台本章說明如何啟動和執行 Worry-Free Business Security Advanced 本章討論下列主題 : 第 2-2 頁的瀏覽 Web 主控台第 2-5 頁的使用即時狀態和通知 2-1

50 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊瀏覽 Web 主控台安裝 Trend Micro Security Server 時, 也會同時安裝集中式的 Web-based 管理主控台該主控台會使用 Internet 技術, 例如 :ActiveX CGI HTML 和 HTTP/HTTPS 如果要開啟 Web 主控台 : 1. 選取下列其中一個選項, 開啟 Web 主控台 : 按一下桌面的 Worry-Free Business Security 捷徑從 Windows 開始功能表, 按一下 Trend Micro Worry-Free Business Security Advanced > Worry-Free Business Security 您也可以透過網路上的電腦來開啟 Web 主控台開啟 Web 瀏覽器, 並在網址欄中輸入下列內容: number}/smb 如果您並未使用 SSL, 請輸入 http, 而非 https HTTP 連線的預設通訊埠為 8059, 而 HTTPS 連線的預設通訊埠則為 4343 秘訣 : 如果環境無法依照 DNS 解析伺服器名稱, 則以 {Server_IP_Address} 取代 {Security_Server_Name} 2-2

51 使用 Web 主控台 2. 瀏覽器會顯示 Trend Micro Worry-Free Business Security Advanced 登入畫面圖 2-1. Worry-Free Business Security Advanced 的登入畫面 3. 在密碼文字方塊中輸入密碼, 然後按一下登入, 瀏覽器會顯示 Web 主控台的即時狀態畫面請參閱第 2-6 頁的使用即時狀態 Web 主控台的功能下列說明 Web 主控台的主要功能表 2-1 Web 主控台的主要功能功能主功能表說明主功能表位於 Web 主控台的頂端此功能表隨時都可使用組態設定區域組態設定區域位於主功能表項目下方依照您所選取的功能表項目而定, 使用這個區域來選取選項功能表的功能區安全設定的工具列當您在安全設定畫面中選擇用戶端或群組後, 再按一下設定, 即可顯示功能表的功能區使用功能區來設定安全設定, 並掃瞄您的桌上型電腦和伺服器當您從安全設定畫面選擇 Microsoft Exchange Server 時, 您可以使用功能區來設定安全設定並掃瞄您的 Microsoft Exchange Server 開啟安全設定畫面後, 會看到包含許多圖示的工具列當您在安全設定畫面中按一下用戶端或群組後, 再按一下工具列上的圖示,Security Server 便會執行相關工作如需詳細資訊, 請參閱第 4-4 頁的安全設定的工具列 2-3

52 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊主功能表功能表的功能區組態設定區域圖 2-2 Web 主控台總覽 Web 主控台圖示下表說明在 Web 主控台中顯示的圖示, 並說明它們的用途表 2-2 Web 主控台圖示圖示說明說明圖示開啟線上說明重新整理圖示重新整理目前畫面的檢視 / 展開 / 收合區段圖示顯示 / 隱藏區段您一次只能展開一個區段資訊圖示顯示特定項目的資訊 2-4

53 使用 Web 主控台使用即時狀態和通知只要 Worry-Free Business Security Advanced 偵測到重大安全威脅或系統事件, 便會將結果顯示在即時狀態畫面中 ( 請參閱第 2-6 頁的圖 2-3) 您可以將 Worry-Free Business Security Advanced 設定為只要發生上述事件, 便傳送通知此外, 您也可以自訂能夠觸發通知並顯示於即時狀態畫面上的參數設定通知使用偏好設定 > 通知來設定事件通知或自訂事件的參數如需詳細資訊, 請參閱第 11-1 頁的使用通知趨勢科技建議使用的通知設定依預設, 會選取通知畫面中列出的所有事件, 並觸發 Security Server 將通知傳送給管理員如有必要, 按一下通知以顯示通知的詳細內容並自訂這些詳細資料下列設定是 Worry-Free Business Security Advanced 所使用的預設值防毒一小時內在桌上型電腦 / 伺服器上偵測到的病毒 / 惡意程式事件超過 5 次一小時內在 Microsoft Exchange Server 上偵測到的病毒 / 惡意程式事件超過 10 次間諜程式防護一小時內在桌上型電腦 / 伺服器上偵測到的間諜程式 / 可能的資安威脅程式事件超過 15 次垃圾郵件防護垃圾郵件超過總訊息的 10% 網頁信譽評等服務一小時內 URL 違規事件超過 200 次行為監控一小時內策略違規事件超過 20 次網路病毒一小時內偵測到的網路病毒事件超過 10 次特殊系統事件可用的磁碟空間低於 1% 2-5

54 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊使用即時狀態開啟 Web 主控台時, 第一個顯示的畫面是即時狀態畫面您需要知道的所有資訊都顯示在一個畫面上在即時狀態畫面中, 資訊的重新整理速率會依區段而有所不同一般而言, 重新整理速率介於 1 到 10 分鐘之間如果要手動重新整理畫面資訊, 請按一下重新整理圖 2-3 即時狀態畫面 2-6

55 使用 Web 主控台瞭解圖示即時狀態畫面使用圖示來說明威脅和系統的狀態下表說明不同圖示的意義 : 表 2-3 即時狀態圖示圖示說明正常只有少數用戶端需要修補您電腦和網路上的病毒間諜程式和其他惡意程式活動代表不重大的風險警告採取處理行動, 防止您的網路有其他風險一般而言, 警告圖示意指您有許多具有弱點的電腦, 回報的病毒或其他惡意程式事件過多當趨勢科技發出中度病毒警訊 ( 請參閱第 2-10 頁的中度病毒警訊 ) 時, 會顯示疫情爆發防範的警訊按一下警告圖示旁邊的 ( ) 以檢視詳細資訊按一下具有底線的連結, 以顯示詳細資訊並執行進一步的處理行動請馬上執行處理行動一般而言, 警告圖示意指您有許多具有弱點的電腦, 其回報了過多的病毒或間諜程式事件當趨勢科技發出高度病毒警訊 ( 請參閱第 2-10 頁的高度病毒警訊 ) 時, 會顯示疫情爆發防範的警訊按一下警告圖示旁邊的 ( ) 以檢視詳細資訊按一下具有底線的連結, 以顯示詳細資訊並執行進一步的處理行動即時狀態畫面中的各個項目旁都有一個圖示 ( ) 按一下圖示以顯示該項目的資訊窗格在展開的窗格中, 按一下即可導向其他畫面的連結, 然後您可以在開啟的畫面中執行處理行動, 解決該畫面中的特定問題 Security Server 所產生的資訊會顯示在即時狀態畫面上, 這些資訊取自於用戶端 2-7

56 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊安全威脅狀態安全威脅狀態 ( 屬於即時狀態畫面的一部份 ) 會根據趨勢科技建議的策略, 報告網路上的安全威脅圖示會警告您, 是否需要執行處理行動以保護網路上用戶端的安全展開區段以檢視詳細資訊您也可以按一下表格中的項目, 以檢視特定詳細資訊依預設, 每小時會重新整理資訊一次如果要手動重新整理資訊, 請按一下重新整理 ( ) 即時狀態畫面會顯示下列威脅 : 第 2-9 頁的疫情爆發防範第 2-10 頁的高度病毒警訊第 2-10 頁的中度病毒警訊第 2-11 頁的防毒第 2-11 頁的間諜程式防護第 2-11 頁的垃圾郵件防護第 2-11 頁的網頁信譽評等服務第 2-12 頁的行為監控第 2-12 頁的網路病毒 2-8

57 使用 Web 主控台疫情爆發防範 Security Server 會根據從趨勢科技下載的策略, 判斷您的網路是否有疫情爆發的問題如果有問題,Security Server 會顯示高度 ( 危險 ) 或中度 ( 警告 ) 病毒警訊圖示並觸發疫情爆發防範功能在疫情爆發防範期間,Security Server 可能會執行處理行動, 例如 : 封鎖通訊埠下載元件和執行掃瞄您可以從疫情爆發防範 > 目前狀態的安全威脅資訊區段中按一下檢視, 以檢視這些行動圖 2-4 自動回應詳細資訊 2-9

58 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊在疫情爆發警訊期間, 按一下具有弱點的電腦或需要清除的電腦區段中具有底線的連結, 會開啟目前安全威脅畫面, 顯示 Security Server 如何保護您的用戶端和網路在正常情況下, 按一下這些連結, 會開啟潛在的安全威脅畫面, 您可以在這個畫面中檢視有風險的用戶端並開始掃瞄, 以檢查有無弱點並清除受損的用戶端請參閱第 7-2 頁的疫情爆發防範策略圖 2-5 疫情爆發防範 > 潛在的安全威脅畫面高度病毒警訊來自每個分公司的幾份感染報告, 表示有病毒 / 惡意程式正在迅速散播, 許多閘道和電子郵件伺服器都可能需要修補防毒產業的第一個 45 分鐘的高度病毒警訊解決方案程序會啟動 : 已經部署 Official pattern release (OPR, 正式發佈的病毒碼 ) 和可用通知另外也已送出其他相關通知, 並在下載頁上張貼修復工具和關於弱點的資訊中度病毒警訊從幾個分公司收到的感染報告, 以及許多支援呼叫, 都已確認是散播的實體 OPR 會自動部署至部署伺服器, 以供下載如果出現電子郵件散播的惡意程式, 會送出名為疫情爆發防範策略 (OPP) 的內容過濾規則, 以便在安裝該產品功能的伺服器上自動封鎖相關的附件 2-10

59 使用 Web 主控台防毒防毒區段會顯示最新病毒掃瞄和病毒記錄項目的資訊最新的病毒掃瞄結果會顯示在病毒威脅事件表的事件數目欄位中間諜程式防護間諜程式防護區段會顯示某段特定時間內的間諜程式 / 可能的資安威脅程式事件數目間諜程式防護區段也會顯示為完成清除間諜程式 / 可能的資安威脅程式程序, 需要重新啟動的用戶端數目垃圾郵件防護垃圾郵件防護區段會顯示 Microsoft Exchange Server 上與垃圾郵件活動相關的資訊即時狀態會顯示目前垃圾郵件上限等級和 Microsoft Exchange Server 收到的垃圾郵件數量等相關資訊按一下高中或低連結, 重新導向至所選 Microsoft Exchange Server 的組態畫面, 您可以在其中利用垃圾郵件防護畫面設定上限等級偵測等級將決定 Messaging Security Agent 對於可疑電子郵件的容忍程度高這是最嚴格的垃圾郵件偵測等級 MSA 會監控所有電子郵件, 確認有無可疑的檔案或文字, 但是發生垃圾郵件誤判的機率也很高垃圾郵件誤判是指被 MSA 過濾為垃圾郵件的電子郵件, 然而這些郵件其實是合法的電子郵件中這是預設的設定 MSA 會以高垃圾郵件偵測等級監控, 但是發生垃圾郵件誤判的機率較為適中低這是最寬鬆的垃圾郵件偵測等級 MSA 將只過濾最明顯和最常見的垃圾郵件, 而發生垃圾郵件誤判的機率也非常低注意 : 此資訊會每小時更新如需最新資訊, 可產生報告如需詳細資訊, 請參閱第 10-7 頁的產生報告網頁信譽評等服務此資訊是根據使用者造訪的受限制 URL 數目來產生當造訪的 URL 數目超過門檻值時, 狀態圖示便會改變 2-11

60 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊行為監控此資訊是根據用戶端上的行為監控策略違規數目來產生當違規計數超過門檻值時, 狀態圖示便會改變網路病毒防火牆設定產生的資訊會顯示在網路病毒區段當手動預約或即時掃瞄偵測到網路病毒時, 資訊會顯示在即時狀態畫面的網路病毒區段中系統狀態檢視代理程式安裝所在伺服器上的使用授權狀態更新元件和可用空間的相關資訊使用授權您的產品使用授權的狀態資訊會顯示在即時狀態畫面中的使用授權區段, 特別是到期資訊如果要檢視產品使用授權的詳細資料, 請按一下產品使用授權連結您可以透過產品使用授權畫面續約或更新產品更新更新區段會顯示 Security Server 的元件更新狀態, 或代理程式的更新元件部署資訊依預設,Worry-Free Business Security Advanced 會從趨勢科技主動式更新伺服器下載元件, 然後提供給代理程式使用代理程式會從 Security Server 下載元件 ( 也就是說,Security Server 會將元件部署至代理程式 ) 如果要將更新元件部署至代理程式, 請按一下立即部署如果要透過主動式更新伺服器來手動更新 Security Server 元件, 請按一下立即更新特殊系統事件系統區段會顯示用來當作伺服器使用 ( 執行伺服器作業系統 ) 的用戶端的磁碟空間資訊 Client/Server Security Agent 會回報伺服器上可以使用的可用碟碟空間大小 2-12

61 第 3 章安裝代理程式本章說明安裝或升級代理程式所需的步驟本章也提供移除代理程式的相關資訊本章討論下列主題 : 第 3-2 頁的選擇安裝方法第 3-3 頁的安裝升級或移轉 Client/Server Security Agent 第 3-4 頁的代理程式系統需求第 3-6 頁的執行初次安裝第 3-17 頁的驗證代理程式安裝升級或移轉作業第 3-19 頁的使用 EICAR 測試程序檔來測試用戶端安裝第 3-20 頁的移除代理程式 3-1

62 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊選擇安裝方法 Worry-Free Business Security Advanced 提供安裝 Client/Server Security Agent 的多種方法本節提供不同方法的摘要秘訣 : 對於強制執行嚴格 IT 策略的組織, 趨勢科技建議使用遠端安裝或 Login Script Setup 內部網頁 : 指示組織中的使用者移至內部網頁並下載 Client/Server Security Agent 安裝檔案 ( 請參閱第 3-6 頁的從內部網頁進行安裝 ) Login Script Setup: 當未受保護的電腦登入網域時, 將 Client/Server Security Agent 自動安裝到該電腦 ( 請參閱第 3-7 頁的以 Login Script Setup 安裝 ) 用戶端包裝程式 : 透過電子郵件, 將 Client/Server Security Agent 安裝程式或更新檔案部署到用戶端 ( 請參閱第 3-9 頁的以用戶端包裝程式安裝 ) 遠端安裝 : 從 Web 主控台將代理程式安裝於所有的 Windows Vista/2000/XP/Server 2003/Server 2008 用戶端上 ( 請參閱第 3-12 頁的以遠端安裝進行安裝 ) Vulnerability Scanner (TMVS): 使用 Trend Micro Vulnerability Scanner, 在所有的 Windows Vista/2000/XP (Professional)/Server 2003/Server 2008 用戶端上安裝 Client/Server Security Agent ( 請參閱第 3-14 頁的以 Vulnerability Scanner 安裝 ) 3-2

63 安裝代理程式表 3-1 Trend Micro Client/Server Security Agent 部署方法網頁 Login Script Setup 用戶端包裝程式遠端安裝 TMVS 適合透過 WAN 進行部署是否是否否適合集中式管理是是否是是需要使用者的操作是否是否否需要 IT 資源否是是是是適合大規模部署否是否是是耗用頻寬低 ( 如果已經排定 ) 高 ( 如果同時啟動多個用戶端 ) 低 ( 如果已經排定 ) 低 ( 如果已經排定 ) 低 ( 如果已經排定 ) 必要權限所有安裝方法所需的系統管理員權限注意 : 如果要使用這些 Client/Server Security Agent 部署方法, 則您必須具有目標用戶端的本機管理員權限安裝升級或移轉 Client/Server Security Agent 本節提供下列項目的相關資訊 : 第 3-4 頁的代理程式系統需求使用您選擇的安裝方法, 執行 Client/Server Security Agent 初次安裝 ( 請參閱第 3-2 頁的選擇安裝方法 ) 從 Client/Server Security Agent 的舊版本升級到目前的版本 ( 請參閱第 3-17 頁的驗證代理程式安裝升級或移轉作業 ) 從其他廠商的防毒安裝移轉成 Worry-Free Business Security Advanced 的目前版本 ( 請參閱第 3-17 頁的驗證代理程式安裝升級或移轉作業 ) 注意 : 安裝 Client/Server Security Agent 之前, 請先關閉用戶端上所有執行中的應用程式如果安裝時有其他應用程式正在執行, 安裝程序可能需要較長的時間來完成 3-3

64 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊代理程式系統需求下表說明 Client/Server Security Agent 的最低系統需求.. 表 3-2 代理程式系統需求需求最低規格處理器 Intel Pentium x86 或相容的處理器支援 AMD64 和 Intel EM64T 技術的 x64 處理器時鐘速度需求視作業系統而定 : 1GHz (Windows Server 2008, SBS 2008, 或 EBS 2008) 800MHz (Windows Vista ) 450MHz (Windows 2000, SBS 2000, XP, Server 2003, SBS 2003, 或 Home Server) 記憶體 512MB (x86 系統 ) 1GB (x64 系統 ) 4GB (Windows Essential Business Server 2008 或 Windows Small Business Server 2008 系統 ) 磁碟空間 300MB 3-4

65 安裝代理程式表 3-2 代理程式系統需求 ( 繼續 ) 需求最低規格作業系統系列支援的 Service Packs 或版本 Windows 2000 Windows Small Business Server (SBS) 2000 Windows XP Windows Server 2003 ( 包括 Storage Server 2003) Windows SBS 2003 Windows Vista Windows Home Server Windows Server 2008 Windows SBS 2008 Windows Essential Business Server (EBS) 2008 SP2, SP3, 或 SP4 沒有 service pack 或 SP1a 沒有 service pack, SP1, SP2, 或 SP3 沒有 service pack, SP1, R2, 或 SP2 沒有 service pack, SP1, R2, 或 SP2 沒有 service pack 或 SP1 沒有 service pack 沒有 service pack 沒有 service pack 沒有 service pack 注意 : 除非特別註明, 否則這些作業系統的所有主要版本和 64 位元版本都支援 Web 瀏覽器 ( 用於 Web-based 安裝 ) 顯示器 Internet Explorer 5.5 SP2 或更新版本 256 色或更高的顯示器, 且具有 800x600 像素或更高的解析度 3-5

66 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊執行初次安裝如果這是您第一次在目標電腦上安裝 Client/Server Security Agent, 請依照下列其中一種程序進行從內部網頁進行安裝如果您將 Trend Micro Security Server 安裝在執行 Windows 2000 Windows XP 或 Windows Server 2003, 並且已安裝 Internet Information Server (IIS) 5.0 或 6.0 或 Apache 的電腦上, 使用者就可以從主安裝時建立的內部網站安裝 Client/Server Security Agent 用這種方式部署 Client/Server Security Agent 非常簡便您只要指示使用者前往內部網頁, 並下載 Client/Server Security Agent 的安裝檔案即可秘訣 : 您可使用 Vulnerability Scanner, 查看哪些使用者沒有遵循指示從 Web 主控台進行安裝 ( 如需詳細資訊, 請參閱第 3-17 頁的使用 Vulnerability Scanner 來驗證用戶端安裝 ) 使用者必須擁有 Microsoft Internet Explorer 5.5 或更新版本, 並將安全層級設定為允許 ActiveX 控制項, 才能成功下載 Client/Server Security Agent 安裝檔案下列的指示是以使用者的觀點撰寫的您可以將下面指示以電子郵件傳送給使用者, 讓他們從內部 Web 伺服器安裝 Client/Server Security Agent 從內部網頁安裝 : 1. 開啟 Internet Explorer 視窗, 並輸入 : Micro Security Server_name}:{port}/SMB/console/html/client 如果您並未使用 SSL, 請輸入 http, 而非 https 2. 按一下立即安裝開始安裝 Client/Server Security Agent 注意 : 從 Windows Vista, 確定已啟動受保護的模式如果要啟動受保護的模式, 在 Internet Explorer 中, 按一下工具 > Internet 選項 > 安全性安裝便會開始安裝完成後, 畫面上會顯示已完成 Agent 安裝訊息 3-6

67 安裝代理程式 3. 檢查 Windows 系統匣中是否出現 Client/Server Security Agent 圖示, 以驗證是否安裝成功以 Login Script Setup 安裝透過 Login Script Setup, 可以在未受保護的電腦登入網域時, 將 Client/Server Security Agent 自動安裝到該電腦 Login Script Setup 會將一個名為 autopcc.exe 的程式加入伺服器的登入程序檔 autopcc.exe 程式會執行下列功能 : 判斷未受保護電腦的作業系統和 Client/Server Security Agent 更新掃瞄引擎病毒碼檔案損害清除及復原服務元件清除檔案和程式檔注意 : 如果要強制使用登入程序檔安裝方法, 用戶端必須列在執行安裝的伺服器的 Windows Active Directory 中如果要使用 Login Script Setup 將 autopcc.exe 加入登錄程序檔 : 1. 在安裝 Worry-Free Business Security Advanced 的電腦上, 開啟 C:\Program Files\Trend Micro\Security Server\ PCCSRV\Admin\SetupUsr.exe 接著會載入 Login Script Setup 公用程式主控台會顯示一個樹狀結構, 顯示網路上的所有網域 2. 瀏覽至要修改其登入程序檔的 Windows 2000/Server 2003/Server 2008 電腦並加以選取, 然後按一下選取伺服器必須是主網域控制器, 而且您必須具有管理員存取權限 Login Script Setup 會提示您輸入使用者名稱和密碼 3. 請輸入您的使用者名稱與密碼按一下確定繼續會出現使用者選項畫面使用者清單會顯示登入伺服器的電腦選定的使用者清單會顯示要修改其電腦登入程序檔的使用者如果要修改單一或多個使用者的登入程序檔, 請從使用者清單中選取, 然後按一下新增如果要修改所有使用者的登入程序檔, 請按一下全部新增如果要排除先前已修改其電腦的使用者, 請在選定的使用者清單中選擇使用者名稱, 然後按一下刪除如果要重設選擇, 請按一下全部刪除 3-7

68 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 4. 當選定的使用者清單中已列出所有目標使用者時, 按一下套用接著會出現一則訊息, 通知您已成功修改伺服器的登入程序檔 5. 按一下確定 Login Script Setup 公用程式會回到其起始畫面如果要修改其他伺服器的登入程序檔, 請重複步驟 2 到 4 如果要關閉 Login Script Setup, 請按一下結束注意 : 當未受保護的電腦登入已修改登入程序檔的伺服器時,autopcc.exe 就會自動為其安裝代理程式以 Windows 2000/Server 2003/Server 2008 程序檔進行安裝如果您已有現存的登入程序檔,Login Script Setup 會附加一個執行 autopcc.exe 的指令 ; 否則, 會建立一個名為 ofcscan.bat 的批次檔 ( 內含執行 autopcc.exe 的指令 ) Login Script Setup 會在程序檔的檔尾附加下列指令 : \\{Server_name}\ofcscan 其中 : {Server_name} 是已安裝 Trend Micro Security Server 的電腦名稱或 IP 位址秘訣 : 如果環境無法依照 DNS 解析伺服器名稱, 則以 {Server_IP_Address} 取代 {Server_name} Windows 2000 登入程序檔位於 Windows 2000 伺服器 ( 透過網路登入共享目錄 ) 的下列目錄中 : \\Windows 2000 server\{system drive}\winnt\sysvol\ domain\scripts\ofcscan.bat Server 2003 登入程序檔位於 Server 2003 伺服器 ( 透過網路登入共享目錄 ) 的下列目錄中 : \\Windows 2003 server\{system drive}\%windir%\sysvol\ domain\scripts\ofcscan.bat 3-8

69 安裝代理程式 Server 2008 登入程序檔位於 Server 2008 伺服器 ( 透過網路登入共享目錄 ) 的下列目錄中 : \\Windows 2008 server\{system drive}\%windir%\sysvol\ domain\scripts\ofcscan.bat 以用戶端包裝程式安裝用戶端包裝程式可將安裝和更新檔案壓縮到自動解壓縮檔內, 藉由電子郵件光碟或類似媒體傳送檔案, 以簡化檔案的傳送工作當使用者收到套件時, 只需連按兩下該檔案, 即可執行安裝程式使用用戶端包裝程式安裝的 Client/Server Security Agent 會向用戶端包裝程式建立該安裝套件的伺服器報告在部署代理程式或更新檔案到低頻寬遠端辦公室中的用戶端時, 此工具特別有用注意 : 用戶端包裝程式至少需要用戶端上有 370MB 的可用磁碟空間在用戶端執行 MSI Package 需要先安裝 Windows Installer 2.0 用戶端包裝程式可以建立兩種類型的自動解壓縮檔 : 可執行檔注意 : 在 Windows Vista 中, 必須用管理員權限來執行程式 ( 以系統管理員身分執行 ) Microsoft Installer 套件格式 (MSI): 此檔案類型符合 Microsoft Windows 安裝程式套件規格, 而且可用於無訊息和 ( 或 ) Active Directory 部署如需關於 MSI 的詳細資訊, 請參閱 Microsoft 網站秘訣 : 趨勢科技建議您使用 Active Directory, 以電腦組態設定而非使用者組態設定來部署 MSI Package 如此, 有助於確保無論哪個使用者登入電腦, 都能完成 MSI Package 安裝 3-9

70 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要以用戶端包裝程式 GUI 建立套件: 1. 在 Trend Micro Security Server 上, 開啟 Windows 檔案總管 2. 請移至 \PCCSRV\Admin\Utility\ClientPackager 3. 按兩下 ClnPack.exe 即可執行此工具此時會開啟用戶端包裝程式主控台注意 : 您必須只從 Trend Micro Security Server 執行程式 4. 在目標作業系統中選擇要建立套件的作業系統 5. 選擇您要建立的套件類型 : 安裝 : 如果要安裝代理程式, 請選取此選項更新 : 如果只要更新 Client/Server Security Agent 元件, 請選取此選項 6. 在選項下選擇下列安裝選項 : 自動安裝 : 會建立在用戶端上背景安裝的套件, 使用者不會注意到不會出現安裝狀態視窗 MSI 套件 : 會建立符合 Microsoft Windows Installer Package 格式的套件注意 :MSI Package 僅適用於 Active Directory 部署如果要在本機安裝, 請建立.exe 套件關閉安裝前掃瞄 ( 僅適用於初次安裝 ): 關閉 Worry-Free Business Security Advanced 在開始安裝前執行的一般檔案掃瞄 7. 在元件下, 選擇要包含在安裝套件中的元件 : 程式 : 所有元件掃瞄引擎 :Trend Micro Security Server 上的最新掃瞄引擎病毒碼 :Trend Micro Security Server 上的最新病毒碼檔案弱點病毒碼 :Trend Micro Security Server 上的最新弱點病毒碼檔案間諜程式元件 :Trend Micro Security Server 上的最新間諜程式元件一般防火牆驅動程式 : 防火牆的驅動程式網路病毒碼 : 專門針對網路病毒的最新病毒碼檔案 3-10

71 安裝代理程式 DCE/DCT:Trend Micro Security Server 上的最新病毒清除引擎和範本 IntelliTrap 病毒碼 :Trend Micro Security Server 上的最新 IntelliTrap 病毒碼檔案 8. 請確定 ofcscan.ini 檔案的位置確實在來源檔旁邊如果要修改路徑, 請按一下, 以瀏覽 ofcscan.ini 檔案依預設, 這個檔案位於 Trend Micro Security Server 的 \PCCSRV 資料夾中 9. 在輸出檔案中, 按一下, 指定要建立套件的檔名 ( 例如 : ClientSetup.exe) 及位置 10. 按一下建立以建置套件當用戶端包裝程式建立好套件之後, 會出現套件建立成功訊息如果要驗證套件是否已建立成功, 請檢查您所指定的輸出目錄 11. 透過電子郵件將套件傳送給您的使用者, 或將其複製到 CD 或類似媒體, 然後分送給您的使用者警告! 您只能傳送套件給會向建立套件的伺服器進行報告的 Client/Server Security Agent 請勿將套件傳送給向其他 Trend Micro Security Server 報告的 Client/Server Security Agent 以 MSI 檔案進行安裝如果使用 Active Directory, 可藉由建立 Microsoft Windows Installer 檔案的方式, 安裝 Client/Server Security Agent 使用用戶端包裝程式建立副檔名為.msi 的檔案您可以使用 Active Directory 的功能, 以 MSI 檔案同時將代理程式自動部署到所有用戶端, 而不需要各個使用者分別自行安裝 Client/Server Security Agent 如需有關 MSI 的詳細資訊, 請參閱 Microsoft 網站 ( 如需有關建立 MSI 檔案的說明, 請參閱第 3-9 頁的以用戶端包裝程式安裝 ) 3-11

72 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊以遠端安裝進行安裝您可以同時從遠端將 Client/Server Security Agent 安裝到多部 Windows Vista 2000 XP ( 僅限 Professional Edition) Server 2003 Server 2008 SBS 2008 和 EBS 2008 電腦注意 : 您必須擁有目標電腦的管理員權限, 才能使用遠端安裝針對 Windows Vista Server 2008 SBS 2008 及 EBS 2008, 因為有 Windows 使用者帳戶控制 (UAC) 功能, 所以您需要使用內建的網域管理員密碼如果要以遠端安裝進行 CSA 安裝 : 注意 : 在 Windows Vista 上安裝 Client/Server Security Agent 需要幾個額外的步驟如需詳細資訊, 請參閱第 3-13 頁的在 Windows Vista 用戶端上啟動 Client/Server Security Agent 遠端安裝 1. 在 Web 主控台的主功能表上, 按一下安全設定 > 新增, 會出現新增電腦畫面 2. 在電腦類型區段中, 選取桌上型電腦或伺服器 3. 在方式區段中, 選取遠端安裝 4. 按一下下一步會出現遠端安裝畫面 5. 從群組和電腦方塊的電腦清單中, 選取用戶端, 然後按一下新增 >, 會出現提示, 要求您輸入目標電腦的使用者名稱和密碼 6. 輸入使用者名稱和密碼, 然後按一下登入目標電腦便會出現在選定的電腦清單方塊中 7. 重複這些步驟, 直到清單顯示選定的電腦清單方塊中所有的 Windows 電腦為止 8. 按一下安裝將 Client/Server Security Agent 安裝到目標電腦, 會出現確認方塊 9. 按一下是以確認要將代理程式安裝到用戶端當程式將 Client/Server Security Agent 檔案複製到每部目標電腦時, 會出現進度畫面 3-12

73 安裝代理程式當 Worry-Free Business Security Advanced 完成對目標電腦的安裝時, 在選定電腦清單的結果欄位中會出現安裝狀態, 而且會出現帶著綠色核取標記的電腦名稱注意 : 遠端安裝不會在已執行 Trend Micro Security Server 的電腦上安裝 Client/Server Security Agent 在 Windows Vista 用戶端上啟動 Client/Server Security Agent 遠端安裝在 Windows Vista 用戶端上安裝 Client/Server Security Agent 需要額外的步驟如果要在 Windows Vista 用戶端上啟動遠端安裝 : 1. 在用戶端上, 暫時啟動檔案及印表機共用注意 : 如果公司的安全策略是關閉 Windows 防火牆, 繼續進行步驟 2 以啟動遠端登錄服務 a. 開啟控制台中的 Windows 防火牆 b. 按一下允許程式透過 Windows 防火牆通訊如果出現提示需要管理員密碼或確認, 請輸入密碼或提供確認會出現 Windows 防火牆設定視窗 c. 在例外標籤的程式或通訊埠清單下, 確定勾選了檔案及印表機共用核取方塊 d. 按一下確定 2. 暫時啟動遠端登錄服務 a. 開啟 Microsoft Management Console 秘訣 : 在執行視窗中輸入 services.msc, 以開啟 Microsoft Management Console b. 在遠端登錄上按滑鼠右鍵, 然後選取開始 3. 在 Windows Vista 用戶端上安裝 Client/Server Security Agent 之後, 視需要回復為原始設定 3-13

74 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊以 Vulnerability Scanner 安裝使用 Trend Micro Vulnerability Scanner (TMVS) 偵測已安裝的防毒解決方案搜尋網路上未受保護的電腦, 以及在這些電腦上安裝 Client/Server Security Agent 為了判斷電腦是否需要保護,Vulnerability Scanner 會傳送 ping 指令給防毒解決方案常用的通訊埠本節說明如何使用 Vulnerability Scanner 安裝代理程式如需有關如何使用 Vulnerability Scanner 偵測防毒解決方案的說明, 請參閱第 3-17 頁的使用 Vulnerability Scanner 來驗證用戶端安裝注意 : 您可以在執行 Windows 2000 或 Server 2003 的電腦上使用 Vulnerability Scanner; 但是, 該電腦上不得執行 Terminal Server 如果用戶端已安裝 Trend Micro Security Server, 您就無法使用 Vulnerability Scanner 在該用戶端上安裝 Client/Server Security Agent 如果要使用 Vulnerability Scanner 安裝 Client/Server Security Agent: 1. 在安裝 Trend Micro Security Server 的磁碟中, 移到下列位置 :Worry-Free Business Security Advanced > PCCSRV > Admin > Utility > TMVS 按兩下 TMVS.exe 會出現 Trend Micro Vulnerability Scanner 主控台 3-14

75 安裝代理程式 2. 按一下設定, 會出現設定畫面圖 3-1. TMVS 設定畫面 3. 在 Trend Micro Security Server 設定 ( 適用於安裝和記錄報告 ) 下, 輸入 Trend Micro Security Server 名稱或 IP 位址和通訊埠號碼 4. 請選取在未受保護的電腦上自動安裝 Client/Server Security Agent 核取方塊 3-15

76 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 5. 按一下安裝帳號 6. 輸入對伺服器 ( 或網域 ) 具有管理員權限的使用者名稱和密碼, 然後按一下確定 7. 按一下確定回到 TMVS 主畫面 8. 按一下開始, 開始檢查網路上的電腦, 並且開始安裝 Client/Server Security Agent 從 Web 主控台安裝 MSA 也可以從 Web 主控台安裝 Messaging Security Agent (MSA) 如果要從 Web 主控台安裝 MSA: 1. 登入 Web 主控台 2. 按一下安全設定標籤, 然後按一下新增按鈕 3. 在電腦類型區段下, 按一下 Microsoft Exchange Server 4. 在 Microsoft Exchange Server 資訊下, 輸入下列資訊 : 伺服器名稱您要在其上安裝 MSA 的 Microsoft Exchange Server 名稱帳號網域管理員的使用者名稱密碼網域管理員的密碼 5. 按一下下一步 Microsoft Exchange Server 設定畫面隨即顯示 6. 在 Web 伺服器類型下, 選取要在 Microsoft Exchange Server 上安裝的 Web 伺服器類型您可以選取 IIS 伺服器或 Apache 伺服器 7. 在垃圾郵件管理類型下, 選取垃圾郵件管理選項您可以選取終端使用者垃圾郵件隔離或與 Outlook 垃圾郵件整合 8. 在目錄下, 變更或接受 MSA 安裝預設的目標目錄和共享目錄預設的目標目錄和共享目錄分別為 C:\Program Files\Trend Micro\Messaging Security Agent 和 C$ 9. 按一下下一步 Microsoft Exchange Server 設定畫面隨即顯示 10. 驗證在上一個畫面中所指定的 Microsoft Exchange Server 設定正確無誤, 然後按下一步, 開始安裝 MSA 11. 如果要檢視 MSA 安裝的狀態, 按一下即時狀態標籤 3-16

77 安裝代理程式驗證代理程式安裝升級或移轉作業完成安裝或升級之後, 請驗證是否正確安裝 Client/Server Security Agent 如果要驗證安裝.. 在執行代理程式的用戶端的 Windows 開始功能表上尋找 Worry-Free Business Security Advanced 程式捷徑檢查 Worry-Free Business Security Advanced 是否列在用戶端控制台的新增或移除程式清單中使用 Vulnerability Scanner ( 請參閱第 3-17 頁的使用 Vulnerability Scanner 來驗證用戶端安裝 ) 使用 Client Mover 工具 ( 請參閱第頁的 Client Mover 或第 4-8 頁的移動用戶端 ) 使用 Vulnerability Scanner 來驗證用戶端安裝驗證網路中的所有用戶端是否已安裝代理程式建立預約工作, 可使 Vulnerability Scanner 自動化如需如何自動化 Vulnerability Scanner 的詳細資訊, 請參閱 Worry-Free Business Security Advanced 的線上說明注意 : 您可以在執行 Windows 2000 和 Server 2003 的電腦上使用 Vulnerability Scanner; 但是, 該電腦上不得執行 Terminal Server 如果要使用 Vulnerability Scanner 來驗證代理程式安裝 : 1. 在已安裝 Trend Micro Security Server 的磁碟中, 移到 Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS 按兩下 TMVS.exe 會出現 Trend Micro Vulnerability Scanner 主控台 2. 按一下設定, 會出現設定畫面 3. 在產品查詢下, 選取 Security Server 核取方塊, 然後指定伺服器用來與用戶端通訊的通訊埠 4. 在說明擷取設定下, 按一下要使用的擷取方法一般擷取比較正確, 但需要較多時間來完成如果您按的是一般擷取, 可勾選擷取可用的電腦說明核取方塊, 以設定 Vulnerability Scanner 嘗試擷取電腦說明 ( 如果有提供 ) 3-17

78 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 5. 如果要自動傳送結果給您本人或您公司的其他系統管理員, 請勾選警訊設定下的將結果以電子郵件寄給系統管理員核取方塊然後按一下設定, 指定電子郵件設定在收件人中, 輸入收件人的電子郵件信箱在寄件人中, 輸入您的電子郵件信箱在 SMTP 伺服器中, 輸入 SMTP 伺服器的位址例如 : 輸入 smtp.example.com SMTP 伺服器是必要資訊在主旨中, 輸入訊息的新主旨或使用預設的主旨 6. 按一下確定, 儲存設定 7. 如果要在未受保護的電腦上顯示警訊, 請勾選在未受保護的電腦上顯示警訊核取方塊然後, 按一下自訂以設定警視訊息, 會出現中毒警訊畫面 8. 在文字方塊中輸入新的警示警訊, 或接受預設訊息, 然後按一下確定 9. 如果要將結果存成逗號分隔值 (CSV) 資料檔, 請選取自動將結果儲存到 CSV 檔核取方塊在預設情況下,Vulnerability Scanner 會將 CSV 資料檔案儲存在 TMVS 資料夾如果要變更預設 CSV 資料夾, 請按一下瀏覽, 接著選取電腦上或網路上的目標資料夾, 然後按一下確定 10. 在 Ping 設定下, 指定 Vulnerability Scanner 傳送封包給電腦以及等候回覆的方式接受預設設定, 或在封包大小和逾時欄位中輸入新的值 11. 按一下確定會出現 Vulnerability Scanner 主控台 12. 如果要對 IP 位址範圍執行手動安全弱點掃瞄, 請執行下列作業 : a. 在要檢查的 IP 範圍下, 輸入 IP 位址範圍, 以檢查範圍內是否有已安裝的防毒軟體與未受防護的電腦 b. 按一下開始, 開始檢查網路上的電腦 13. 如果要在從 DHCP 伺服器要求 IP 位址的電腦上執行手動安全弱點掃瞄, 請執行下列作業 : a. 按一下結果方塊中的 DHCP 掃瞄標籤會出現 DHCP 啟動按鈕 b. 按一下 DHCP 啟動 Vulnerability Scanner 開始監聽 DHCP 要求, 並且對登入網路的用戶端進行系統弱點預警偵測 Vulnerability Scanner 會檢查網路, 並在結果表格中顯示結果驗證所有伺服器桌上型電腦和可攜式電腦是否已安裝代理程式 3-18

79 安裝代理程式如果 Vulnerability Scanner 發現任何未受保護的伺服器桌上型電腦或可攜式電腦, 請使用您喜歡的代理程式安裝方法在電腦上安裝代理程式請參閱第 3-2 頁的選擇安裝方法使用 EICAR 測試程序檔來測試用戶端安裝趨勢科技建議您使用 EICAR 測試程序檔來測試您的產品, 確保產品能夠正常運作歐洲電腦防毒研究學會 (EICAR) 已開發出一套測試程序檔, 可以安全地確認防毒軟體能夠正確地加以安裝與設定如需詳細資訊, 請造訪 EICAR 網站 : EICAR 測試程序檔是一個具有.com 副檔名的內隱文字檔這個檔案並不是病毒, 也不包含任何病毒碼的片段, 不過多數防毒軟體都會對此檔案做出回應, 就像它是病毒一樣請使用此檔案來模擬病毒事件, 並確認電子郵件通知 HTTP 掃瞄和病毒記錄檔都能正常地運作警告! 絕對不要使用真正的病毒 / 惡意程式來做病毒防護測試如果要使用 EICAR 測試程序檔來測試代理程式安裝 : 1. 請確定已在代理程式上啟動即時掃瞄 2. 在用戶端上, 複製下列字串, 並貼到記事本或任何純文字編輯器中 : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FI LE!$H+H* 3. 以 EICAR.com 的名稱將檔案儲存到暫存目錄中 Client/Server Security Agent 會立即偵測到檔案 4. 如果要測試網路上的其他用戶端, 請將 EICAR.com 檔案附加到電子郵件, 然後傳送給其中一個用戶端注意 : 趨勢科技也建議您測試 EICAR 檔案的壓縮版本請使用壓縮軟體, 壓縮測試程序檔, 並執行上述步驟 3-19

80 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要測試代理程式安裝 HTTP 掃瞄功能 : 您可以從下列的 URL 下載 EICAR.com 測試程序檔 : Client/Server Security Agent 會顯示偵測到 EICAR 測試檔移除代理程式有兩種方法可移除代理程式 - 一種是從 Web 主控台移除, 另一種則是執行代理程式的解除安裝程式使用解除安裝程式移除 Client/Server Security Agent 警告! 移除代理程式會使用戶端容易遭受威脅如果您已授與使用者移除代理程式的權限, 即可指示使用者從所屬電腦執行代理程式解除安裝程式如果要執行代理程式解除安裝程式 : 1. 在 Windows 開始功能表上, 按一下設定 > 控制台 > 新增或移除程式 2. 選取 Trend Micro Client/Server Security Agent, 然後按一下變更 / 移除會出現 Client/Server Security Agent 解除安裝畫面, 並提示您輸入解除安裝的密碼 ( 如果已設定 ) 3. 輸入解除安裝密碼, 然後按一下確定 Client/Server Security Agent 解除安裝畫面會顯示解除安裝的進度在解除安裝完成以後, 會出現解除安裝已完成的訊息 3-20

81 安裝代理程式使用 Web 主控台移除 Client/Server Security Agent 您也可以使用 Web 主控台從遠端移除 Client/Server Security Agent 警告! 移除代理程式會使用戶端容易遭受威脅如果要使用 Web 主控台從遠端移除代理程式.. 1. 登入 Web 主控台 2. 按一下安全設定標籤 3. 在安全群組樹狀結構中, 選取要從中移除代理程式的用戶端, 然後按一下移除移除電腦畫面隨即顯示 4. 在移除類型下, 按一下解除安裝選取的代理程式, 然後按一下套用接著會出現確認訊息 5. 按一下確定彈出式畫面隨即出現, 顯示伺服器所傳送以及用戶端所接收的解除安裝通知次數 6. 按一下確定如果要驗證代理程式是否已經移除, 請重新整理安全設定畫面用戶端不應該再出現於安全群組樹狀結構中從 Microsoft Exchange Server 移除 Messaging Security Agent 警告! 移除代理程式會使用戶端容易遭受威脅如果要使用 Web 主控台移除 Messaging Security Agent.. 1. 在 Web 主控台的主功能表上, 按一下安全設定, 會出現安全設定畫面 2. 選取要從中解除安裝 Messaging Security Agent 的 Microsoft Exchange Server 3-21

82 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 3. 按一下工具列中的移除工具, 會出現移除電腦畫面, 顯示下列選項 : 移除選取的離線代理程式從安全設定畫面選擇移除 Messaging Security Agent 的圖示解除安裝選取的代理程式從安全設定畫面選擇完全從伺服器解除安裝 Messaging Security Agent 並移除其圖示 4. 按一下套用如果必要的話, 請輸入 Microsoft Exchange Server ( 要從其中移除 Messaging Security Agent 的伺服器 ) 的帳號名稱和密碼系統會提示您驗證是否要從選取的 Exchange Server 解除安裝 Messaging Security Agent 5. 按一下確定, 從選取的 Microsoft Exchange Server 移除 Messaging Security Agent 使用解除安裝程式移除 Messaging Security Agent 警告! 移除代理程式會使用戶端容易遭受威脅如果要移除 Messaging Security Agent.. 1. 以管理員權限登入 Microsoft Exchange Server 2. 在 Microsoft Exchange Server 上, 按一下開始, 然後按一下控制台 3. 開啟新增 / 移除程式 4. 選取 Trend Micro Messaging Security Agent, 然後按一下移除請遵循畫面上的說明 3-22

83 第 4 章使用群組本章說明 Worry-Free Business Security Advanced 中群組的概念和使用方式本章討論下列主題 : 第 4-2 頁的群組總覽第 4-2 頁的檢視群組中的用戶端第 4-5 頁的新增群組第 4-6 頁的移除群組第 4-7 頁的將用戶端新增至群組第 4-8 頁的移動用戶端第 4-9 頁的複製群組設定 4-1

84 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊群組總覽在 Worry-Free Business Security Advanced 中, 群組是共用相同組態設定並執行相同工作的電腦和伺服器 ( 而非 Microsoft Exchange Server) 的集合將用戶端分組, 即可同時設定和管理多個代理程式為便於管理, 請依據用戶端所屬部門或所執行的功能來進行分組, 並將比較容易中毒的用戶端分為一組, 只需用一組設定就可以同時對這些用戶端套用比較安全的設定如需詳細資訊, 請參閱第 5-1 頁的設定桌上型電腦和伺服器群組 Microsoft Exchange Server 不能群組在一起如果要設定 Microsoft Exchange Server, 請參閱第 6-1 頁的設定 Microsoft Exchange Server 依預設,Security Server 會根據您現有的 Windows Server 網域建立群組, 並根據電腦名稱參照每個用戶端您可以刪除或重新命名 Security Server 建立的群組, 或將用戶端轉移到另一個群組檢視群組中的用戶端在安全設定畫面中, 您可以管理所有已安裝 Client/Server Security Agent 和 Messaging Security Agent 的用戶端, 並自訂這兩個代理程式的安全設定瀏覽路徑 : 安全設定 > 選取群組圖 4-1 顯示群組中的用戶端的安全設定畫面 4-2

85 使用群組用戶端會依據其在安全群組樹狀結構中的群組來顯示安全群組樹狀結構是用戶端的邏輯群組的可擴充清單當您選取左邊的群組並按一下設定時,Web 主控台會顯示新的組態設定區域秘訣 : 如果要選擇多個連續的用戶端, 請先按一下範圍中的第一部電腦, 再按住 <Shift> 鍵, 然後按一下範圍中的最後一部電腦如果要選取不連續的用戶端, 請按一下範圍中的第一部電腦按住 <CTRL> 鍵, 然後按一下您要選取的用戶端注意 : 已安裝 Messaging Security Agent 的 Microsoft Exchange Server 會註冊到伺服器群組中但是, 在安全群組樹狀結構中, 它們會個別顯示當您在左邊的安全群組樹狀結構中選取群組時, 右邊便會出現群組中的用戶端清單安全設定畫面會提供有關特定群組中用戶端的下列資訊 : 名稱 IP 位址線上 / 離線狀態預約掃瞄手動掃瞄平台架構病毒碼病毒引擎偵測到的病毒事件數目偵測到的間諜程式事件數目版本違規的 URL 偵測到的垃圾郵件事件數目 POP3 郵件掃瞄的狀態 4-3

86 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊請使用此資訊 : 確認您的代理程式使用的是最新的引擎根據病毒和間諜程式事件數目來調節安全設定對於計數異常高的用戶端採取特殊行動瞭解整體網路狀況您可以在這裡 : 設定群組 : 請參閱第 5-1 頁的設定桌上型電腦和伺服器群組和第 6-1 頁的設定 Microsoft Exchange Server 將某個群組的設定複製到另一個群組請參閱第 4-9 頁的複製群組設定新增群組 : 請參閱第 4-5 頁的新增群組移除群組 : 請參閱第 4-6 頁的移除群組將某個群組的用戶端移到另一個群組, 或將某部 Security Server 的用戶端移到另一部伺服器 : 請參閱第 4-8 頁的移動用戶端重設計數器 : 按一下安全設定工具列上的重設計數器重設垃圾郵件病毒 / 惡意程式間諜程式 / 可能的資安威脅程式和 URL 違規事件升級之後如果您從舊版或試用版升級 Worry-Free Business Security Advanced, Worry-Free Business Security Advanced 會在安全群組樹狀結構中保留舊電腦和群組 Worry-Free Business Security Advanced 5.1 不支援群組中用戶端的個別設定如果您的舊版本包含這些設定, 它們會顯示為混合式群組如果要個別設定用戶端, 請建立新群組且只將此用戶端新增至群組中視需要設定群組安全設定的工具列安全設定工具列包含了管理群組和用戶端所需的工具圖 4-2 安全設定的工具列 4-4

87 使用群組本節簡單說明安全設定畫面中工具列的工具如需如何使用這些工具來設定您的 Client/Server Security Agent 和 Messaging Security Agent 的詳細資訊, 請參閱線上說明表 4-1 安全設定的工具工具設定複製設定新增群組新增移除說明設定諸如掃瞄防火牆用戶端的權限和隔離目錄等群組層級的用戶端設定為 Microsoft Exchange Server 設定垃圾郵件防護內容過濾和附件封鎖如需詳細資訊, 請參閱第 5-1 頁的設定桌上型電腦和伺服器群組和第 6-1 頁的設定 Microsoft Exchange Server 使用這個工具, 將組態設定從某個用戶端群組複製到另一個或其他多個用戶端群組如需詳細資訊, 請參閱第 4-9 頁的複製群組設定使用這個工具來建立新的用戶端群組如需詳細資訊, 請參閱第 4-5 頁的新增群組使用新增來安裝 Client/Server Security Agent Messaging Security Agent, 或新增圖示到已有代理程式的用戶端在新增用戶端之後, 將圖示拖放至適當的群組中使用這個工具從 Web 主控台移除用戶端或群組圖示, 或從選定的用戶端解除安裝 Client/Server Security Agent 或 Messaging Security Agent 請參閱第 4-6 頁的移除群組或第 3-20 頁的移除代理程式移動使用這個工具將用戶端從某部 Security Server 移動到另一部 Security Server 如需詳細資訊, 請參閱第 4-8 頁的移動用戶端重設計數器重設垃圾郵件病毒 / 惡意程式間諜程式 / 可能的資安威脅程式和 URL 違規事件新增群組建立群組, 以集合方式管理多個用戶端注意 : 用戶端必須與群組產生關聯用戶端不能位於群組之外 4-5

88 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊瀏覽路徑 : 安全設定 > 新增群組圖 4-3 新增群組畫面如果要新增群組 : 1. 從新增群組畫面, 視需要更新下列項目 : 群組類型桌上型電腦伺服器名稱從群組匯入設定 : 從選取的群組匯入安全設定 2. 按一下儲存移除群組當系統管理員移除群組時, 群組中的所有用戶端會根據其作業系統, 重新向 Security Server 註冊並納入預設群組中例如, 如果用戶端為伺服器, 則會納入預設伺服器群組中瀏覽路徑 : 安全設定如果要移除群組 : 1. 從安全設定畫面, 選取群組 2. 按一下移除 4-6

使用群組將用戶端新增至群組在 Worry-Free Business Security Advanced 中, 使用下列任何一種方法, 將用戶端新增至群組 : 電子郵件通知安裝遠端安裝建立網域登入程序檔瀏覽路徑 : 安全設定圖 4-4 新增電腦畫面如果要將用戶端新增至群組 : 1. 從安全設定畫面, 按一下工具列中的新增工具 2.

89 使用群組將用戶端新增至群組在 Worry-Free Business Security Advanced 中, 使用下列任何一種方法, 將用戶端新增至群組 : 電子郵件通知安裝遠端安裝建立網域登入程序檔瀏覽路徑 : 安全設定圖 4-4 新增電腦畫面如果要將用戶端新增至群組 : 1. 從安全設定畫面, 按一下工具列中的新增工具 2. 視需要更新下列項目 : 電腦類型 : 用戶端的類型方法桌上型電腦或伺服器 Exchange Server 遠端安裝 : 從遠端在用戶端上安裝代理程式如需詳細資訊, 請參閱第 3-12 頁的以遠端安裝進行安裝建立網域登入程序檔 : 使用網域登入程序檔安裝代理程式下次用戶端登入網路時, 就會安裝代理程式如需詳細資訊, 請參閱第 3-7 頁的以 Login Script Setup 安裝 4-7

90 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 Microsoft Exchange Server 資訊伺服器名稱目標 Microsoft Exchange Server 的名稱或 IP 位址帳號網域管理員的帳號名稱密碼網域管理員的帳號密碼 3. 按一下下一步請遵循畫面上的指示秘訣 : 如需有關安裝代理程式的詳細資訊, 請參閱第 3-1 頁的安裝代理程式移動用戶端 Worry-Free Business Security Advanced 可讓您選擇將某個群組的用戶端移到另一個群組, 或將某部 Security Server 的用戶端移到另一部伺服器瀏覽路徑 : 安全設定 > 選取群組圖 4-5 移動桌上型電腦 / 伺服器畫面如果要將某個群組的用戶端移到另一個群組 : 1. 從安全設定畫面, 選取群組, 再選取用戶端 2. 將用戶端拖曳到另一個群組中用戶端將會沿用新群組的設定如果要將某部 Security Server 的用戶端移到另一部伺服器 : 1. 從安全設定畫面, 選取群組, 再選取用戶端 2. 按一下移動 3. 輸入新的伺服器名稱與通訊埠 4. 按一下移動 4-8

91 使用群組複製群組設定使用複製設定將網路內某個群組的設定複製到另一個群組設定將會套用到目標群組中的所有用戶端瀏覽路徑 : 安全設定 > 選取群組圖 4-6 複製設定畫面如果要將某個群組的設定複製到另一個群組 : 1. 從安全設定畫面, 選取必須將其設定複製到其他群組的來源群組 2. 按一下複製設定 3. 選取必須沿用來源群組設定的目標群組 4. 按一下套用 4-9

92 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 4-10

93 第 5 章設定桌上型電腦和伺服器群組本章說明設定桌上型電腦和伺服器群組所需的步驟本章討論下列主題 : 第 5-2 頁的桌上型電腦和伺服器群組的可設定選項概觀第 5-2 頁的防毒 / 間諜程式防護第 5-7 頁的防火牆第 5-14 頁的網頁信譽評等服務第 5-16 頁的行為監控第 5-20 頁的 TrendSecure 第 5-22 頁的 POP3 郵件掃瞄第 5-24 頁的用戶端權限第 5-28 頁的隔離 5-1

94 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊桌上型電腦和伺服器群組的可設定選項概觀在 Worry-Free Business Security Advanced 中, 群組就是用戶端的集合, 它們共用相同的組態並執行相同的工作將用戶端分組, 就可同時設定和管理多個用戶端如需詳細資訊, 請參閱第 4-1 頁的使用群組從安全設定畫面中選取某個群組, 然後按一下設定, 即可存取下列項目 : 表 5-1 對安全威脅的建議處理行動選項說明預設為啟動? 防毒 / 間諜程式防護設定即時掃瞄防毒和間諜程式防護選項防火牆設定防火牆關閉網頁信譽評等服務設定在辦公室中與辦公室以外的地方網頁信譽評等服務選項行為監控設定行為監控選項關閉 TrendSecure 設定 TrendProtect 的在辦公室中和辦公室以外的地方選項 POP3 郵件掃瞄設定掃瞄 POP3 電子郵件關閉用戶端權限設定用戶端主控台設定的存取權無隔離指定隔離目錄無啟動 ( 即時掃瞄 ) 在辦公室中 : 啟動, 低辦公室以外 : 啟動, 高在辦公室中 : 關閉辦公室以外 : 啟動注意 : 其他用戶端設定 ( 像是 IM 內容過濾 ) 可套用到所有用戶端, 並可經由偏好設定 > 全域設定畫面的桌上型電腦 / 伺服器標籤存取防毒 / 間諜程式防護病毒 / 惡意程式掃瞄是 Worry-Free Business Security Advanced 策略的核心掃瞄期間, 趨勢科技掃瞄引擎會結合病毒碼檔案執行初級偵測, 採用的程序稱為病毒碼比對由於每種病毒 / 惡意程式都包含獨有特徵, 或是包含能夠與其他程式碼區分的描述字元所組成的字串,TrendLabs 的病毒專家會在病毒碼檔案中擷取此程式碼的內隱片斷然後, 引擎將每個已掃瞄檔案的特定部分與病毒碼檔案中的病毒碼做比較, 以尋找符合的項目如果掃瞄引擎偵測的檔案中包含安全威脅, 則掃瞄引擎會執行清除隔離刪除或以文字 / 檔案取代等處理行動您可以在設定掃瞄工作時自訂這些處理行動 5-2

95 設定桌上型電腦和伺服器群組 Worry-Free Business Security Advanced 提供三種掃瞄類型, 可以保護用戶端不受 Internet 安全威脅入侵 : 即時掃瞄 : 即時掃瞄會一直持續進行每當接收開啟下載複製或修改檔案時, 即時掃瞄即會掃瞄檔案中的安全威脅如需詳細資訊, 請參閱第 5-4 頁的設定即時掃瞄就電子郵件而言,Messaging Security Agent 會即時掃瞄所有收到的郵件 SMTP 郵件張貼於公共資料夾的文件, 以及從其他 Microsoft Exchange Server 複製的所有檔案, 藉此防護所有已知的病毒進入點請參閱第 6-7 頁的防毒手動掃瞄 : 手動掃瞄會依要求執行手動掃瞄可去除用戶端與 Microsoft Exchange 信箱內的檔案所含的安全威脅這種掃瞄亦可消滅任何舊有的中毒檔案, 而盡可能降低重複中毒的可能性手動掃瞄期間, Worry-Free Business Security Advanced 會根據系統管理員所設定的處理行動, 針對安全威脅採取處理行動如需詳細資訊, 請參閱第 8-2 頁的手動掃瞄預約掃瞄 : 預約掃瞄與手動掃瞄類似, 但會依設定的時間與頻率掃瞄所有檔案與電子郵件使用預約掃瞄可針對用戶端自動進行例行掃瞄, 並增進安全威脅管理效率如需詳細資訊, 請參閱第 8-2 頁的預約掃瞄預設即時掃瞄設定根據預設,Worry-Free Business Security Advanced 會將代理程式設定為執行即時掃瞄使用者無需輸入其他內容, 即可保護用戶端代理程式掃瞄 Internet 安全威脅時, 會使用趨勢科技建議的設定代理程式在偵測到安全威脅時會執行預設的處理行動, 以防範安全威脅並且記錄處理行動您可以在即時狀態畫面中檢視結果, 或藉由產生報告或記錄查詢來檢視結果趨勢科技建議的預設即時掃瞄設定為 : 啟動即時掃瞄代理程式會使用智慧型掃瞄決定要掃瞄的檔案代理程式不會掃瞄趨勢科技產品的安裝資料夾代理程式偵測到安全威脅時, 預設的處理行動為主動式處理行動代理程式偵測到間諜程式 / 可能的資安威脅程式時, 預設的處理行動為清除代理程式會刪除無法清除的檔案 5-3

96 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊代理程式對偵測到的安全威脅執行處理行動之前, 會先備份所有檔案表 5-2 對安全威脅的建議處理行動安全威脅建議的處理行動所有類型病毒 / 惡意程式電腦蠕蟲 / 特洛伊木馬程式惡作劇封裝的檔案測試病毒其他安全威脅清除清除隔離隔離隔離暫不處理清除設定即時掃瞄瀏覽路徑 : 安全設定 > 選取群組 > 設定 > 防毒 / 間諜程式防護圖 5-1 安全設定 > 防毒 / 間諜程式防護畫面 5-4

97 設定桌上型電腦和伺服器群組如果要設定即時掃瞄 : 1. 從防毒 / 間諜程式防護畫面的目標標籤, 視需要進行下列更新 : 啟動即時防毒 / 間諜程式防護要掃瞄的檔案所有可掃瞄的檔案 : 只會排除加密或受密碼保護的檔案智慧型掃瞄 : 根據真實檔案類型掃瞄檔案如需詳細資訊, 請參閱第 C-4 頁的趨勢科技智慧型掃瞄掃瞄具有下列副檔名的檔案 :Worry-Free Business Security Advanced 會掃瞄具有選取之副檔名的檔案請以半形逗號 (,) 分隔多個項目選取掃瞄檔案的時機在建立修改或擷取檔案時掃瞄在擷取檔案時掃瞄在建立或修改檔案時掃瞄例外 : 將特定檔案資料夾或具有特定副檔名的檔案排除於掃瞄作業外啟動例外不掃瞄趨勢科技產品的安裝目錄不掃瞄下列目錄 : 輸入要排除於掃瞄作業之外的資料夾名稱按一下新增如果要移除資料夾, 請選取該資料夾, 然後按一下刪除不掃瞄下列檔案 : 輸入要排除於掃瞄作業之外的檔案名稱按一下新增如果要移除檔案, 請選取該檔案, 然後按一下刪除不掃瞄具有下列副檔名的檔案 : 輸入要排除於掃瞄作業之外的副檔名名稱按一下新增如果要移除副檔名, 請選取該副檔名, 然後按一下刪除注意 : 如果用戶端上已安裝 Microsoft Exchange Server, 趨勢科技建議您在掃瞄時排除所有 Microsoft Exchange Server 資料夾如果不掃瞄全域的 Microsoft Exchange Server 資料夾, 請移至偏好設定 > 全域設定, 按一下桌上型電腦 / 伺服器標籤, 然後選取安裝在 Microsoft Exchange Server 上時不掃瞄 Microsoft Exchange Server 的資料夾 5-5

98 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊進階設定啟動 IntelliTrap ( 適用於防毒 ):IntelliTrap 可以偵測到壓縮檔中是否含有 Bot 之類的惡意程式碼如需詳細資訊, 請參閱第 C-6 頁的 Trend Micro IntelliTrap 掃瞄網路上的網路磁碟機和共享資料夾 ( 適用於防毒 ) 在系統關機期間掃瞄軟碟機 ( 適用於防毒 ) 掃瞄壓縮檔 ( 適用於防毒 ): 選取要掃瞄的層數間諜程式 / 可能的資安威脅程式例外清單 ( 適用於間諜程式防護 ): 此清單包含核可的間諜程式 / 可能的資安威脅程式的詳細資訊按一下此連結可更新清單如需詳細資訊, 請參閱第 8-7 頁的編輯間諜程式 / 可能的資安威脅程式例外清單 2. 從防毒 / 間諜程式防護畫面的處理行動標籤, 指定 Worry-Free Business Security Advanced 應如何處理偵測到的安全威脅 : 偵測到病毒時的處理行動主動式處理行動 : 使用趨勢科技預先設定的處理行動來處理安全威脅如需詳細資訊, 請參閱第 C-4 頁的趨勢科技主動式處理行動對偵測到的所有 Internet 安全威脅執行相同的中毒處理行動 : 選取暫不處理刪除重新命名隔離或清除如果您選取清除, 請設定對於無法清除的安全威脅所應採取的處理行動下列偵測到的安全威脅所適用的自訂處理行動 : 針對各種安全威脅類型, 選取暫不處理刪除重新命名隔離或清除如果您選取清除, 請設定對於無法清除的安全威所應採取的處理行動清除病毒前先備份偵測到的檔案 : 會在用戶端的下列目錄中儲存中毒檔案的加密副本 : C:\Program Files\Trend Micro\Client Server Security Agent\Backup 偵測到間諜程式 / 可能的資安威脅程式時的處理行動清除 : 清除間諜程式 / 可能的資安威脅程式時,Worry-Free Business Security Advanced 可能會刪除相關的登錄項目檔案 Cookie 和捷徑與清除間諜程式 / 可能的資安威脅程式相關的處理程序也可能隨之結束 5-6

99 設定桌上型電腦和伺服器群組拒絕存取警告! 拒絕間諜程式 / 可能的資安威脅程式存取用戶端, 並不能從中毒的用戶端移除間諜程式 / 可能的資安威脅程式的安全威脅進階設定當偵測到病毒 / 間諜程式時, 會在桌上型電腦或伺服器上顯示警告訊息 3. 按一下儲存此外, 請設定在事件發生時將由誰接收通知請參閱第 11-2 頁的關於通知防火牆在用戶端和網路之間建立一道屏障, 協助保護用戶端不受駭客的攻擊和網路病毒的侵擾防火牆可封鎖或允許特定類型的網路傳輸此外, 防火牆會辨識網路封包中可能攻擊用戶端的行為模式 WFBS-A 提供兩種方式可用以設定防火牆 : 簡易模式和進階模式簡易模式會使用趨勢科技建議的預設設定來啟動防火牆請使用進階模式自訂防火牆設定秘訣 : 趨勢科技建議您在部署和啟動防火牆之前, 先解除安裝其他防火牆軟體如需有關其他廠商之防火牆相容性問題的最新資訊, 請參閱預設的防火牆簡易模式設定防火牆提供的預設設定, 讓您能夠啟動用戶端防火牆的防護策略預設值是用來包含用戶端上常會產生的情況, 例如必須存取 Internet, 以及使用 FTP 下載或上傳檔案等注意 : 依預設,WFBS-A 會關閉所有新群組和用戶端上的防火牆 5-7

100 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊表 5-3 預設的防火牆設定安全層級說明低允許入站和出站流量, 只封鎖網路病毒設定狀態入侵偵測系統警訊 ( 傳送 ) 已關閉已關閉例外名稱處理行動方向通訊協定通訊埠 DNS 允許輸入和輸出 TCP/UDP 53 NetBIOS 允許輸入和輸出 TCP/UDP 137,138,139,445 HTTPS 允許輸入和輸出 TCP 443 HTTP 允許輸入和輸出 TCP 80 Telnet 允許輸入和輸出 TCP 23 SMTP 允許輸入和輸出 TCP 25 FTP 允許輸入和輸出 TCP 21 POP3 允許輸入和輸出 TCP 110 MSA 允許輸入和輸出 TCP 16372,16373 位置防火牆設定在辦公室中辦公室以外的地方關閉關閉 5-8

101 設定桌上型電腦和伺服器群組傳輸過濾功能防火牆可監控所有輸入和輸出的傳輸, 並根據下列條件封鎖特定類型的傳輸 : 方向 ( 輸入 / 輸出 ) 通訊協定 (TCP/UDP/ICMP) 目標通訊埠目標電腦如果要過濾傳輸, 請參閱第 5-13 頁的使用防火牆例外入侵偵測系統防火牆也包含入侵偵測系統 (IDS) 入侵偵測系統 (IDS) 啟動時, 可協助辨識網路封包中可能攻擊用戶端的病毒碼防火牆有助於預防下列知名的入侵行為 : Oversized Fragment: 這項攻擊會在 IP 資料包中放入極大的片段某些作業系統無法正確處理大型片段, 因此可能產生例外或其他異常行為 Ping of Death:Ping of Death ( 縮寫為 POD ) 是對電腦的一種攻擊, 會傳送變形或其他形式的惡意 ping 到電腦 Ping 的大小通常為 64 個位元組 ( 連同 IP 標頭為 84 個位元組 ), 而許多電腦系統無法處理超過 IP 封包大小上限 (65,535 個位元組 ) 的 ping 傳送此大小的 ping 可能導致目標電腦當機 Conflicting ARP: 來源與目標 IP 位址完全相同時, 即會出現此狀況 SYN Flood:SYN flood 是一種拒絕服務攻擊, 其攻擊手法為傳送一連串的 SYN 要求至目標系統 Overlapping Fragment: 這項攻擊包含同一個 IP 資料包中的兩個片段, 而這兩個片段包含指出在資料包內共用位置的偏移這表示片段 A 可能完全被片段 B 覆寫, 或片段 A 部分被片段 B 覆寫某些作業系統無法正確處理重疊片段, 因此可能產生例外或其他異常行為此為 Teardrop ( 淚滴 ) 拒絕服務攻擊的基礎 Teardrop Attack:Teardrop attack 會傳送重疊過大而超載的 IP 片段至目標機器許多作業系統的 TCP/IP 片段重組程式碼中都含有錯誤, 致使片段處理不當而導致當機 Tiny Fragment Attack: 最後一個片段以外的片段若小於 400 個位元組, 表示該片段可能別有用意小型片段可用於拒絕服務攻擊, 或用以規避安全機制或偵測 5-9

102 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 Fragmented IGMP: 用戶端接收到片段式 Internet 群組管理通訊協定 (Internet Group Management Protocol,IGMP) 封包時, 用戶端的效能可能會降低或電腦可能停止回應 ( 當機 ), 要重新啟動系統以恢復功能 LAND Attack:LAND 攻擊是一種 DoS ( 拒絕服務 ) 攻擊, 其手法為傳送有害的特殊詐騙封包至電腦, 使電腦行為異常攻擊者會以目標主機的 IP 位址與開放通訊埠做為來源與目標, 傳送詐騙 TCP SYN 封包 ( 連線初始化 ) 狀態檢測防火牆是狀態檢測防火牆, 它會監控所有與用戶端的連線, 以確保交易有效它也可識別交易中的特定條件預測應遵循的交易以及偵測是否違反正常條件因此, 過濾的決策不僅是根據資料檔和策略, 同時也根據分析連線和過濾已通過防火牆的封包內容而建立設定防火牆注意 : 設定在辦公室中與辦公室以外的地方適用的防火牆關閉位置感知時, 辦公室以外的地方連線將會使用在辦公室中的設定請閱第 12-5 頁的位置感知 5-10

103 設定桌上型電腦和伺服器群組瀏覽路徑 : 安全設定 > 選取群組 > 設定 > 防火牆 > 在辦公室中 / 辦公室以外的地方圖 5-2 防火牆 - 在辦公室中畫面 5-11

104 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要設定防火牆 : 1. 在防火牆畫面中, 視需要更新下列選項 : 啟動防火牆 : 選取此選項可啟動群組和位置的防火牆簡易模式 : 以預設設定啟動防火牆請參閱第 5-8 頁的預設的防火牆設定進階模式 : 以自訂設定啟動防火牆如需組態選項, 請參閱第 5-12 頁的進階防火牆選項 2. 按一下儲存變更會立即生效進階防火牆選項使用進階防火牆選項, 可為用戶端的特定群組設定自訂的防火牆設定如果要設定進階防火牆選項 : 1. 在防火牆畫面中, 選取進階模式 2. 視需要更新下列選項 : 安全層級 : 安全層級可控制要對不在例外清單中的通訊埠執行的流量規則設定高 : 封鎖入站和出站流量中 : 封鎖入站流量, 允許出站流量低 : 允許入站和出站流量啟動入侵偵測系統 : 入侵偵測系統可辨識網路封包中具有攻擊徵象的病毒碼如需詳細資訊, 請參閱第 5-9 頁的入侵偵測系統啟動警訊 :Worry-Free Business Security Advanced 偵測到違規時, 會傳送通知給系統管理員如需詳細資訊, 請參閱第 11-3 頁的設定通知例外 : 將不會封鎖例外清單中的通訊埠如需詳細資訊, 請參閱第 5-13 頁的使用防火牆例外 3. 按一下儲存 5-12

105 設定桌上型電腦和伺服器群組使用防火牆例外例外由根據方向通訊協定通訊埠與機器而決定允許或封鎖不同傳輸類型的特定設定所組成例如, 在疫情爆發期間, 您可能會選擇封鎖所有用戶端傳輸, 包括 HTTP 通訊埠 ( 通訊埠 80) 不過, 如果您仍然要將 Internet 存取權限授與封鎖的用戶端, 則可以將 Web Proxy 伺服器加入例外清單新增例外如果要新增例外 : 1. 在防火牆 - 進階模式畫面的例外區段中, 按一下新增 2. 視需要更新下列選項 : 名稱 : 指定例外的唯一名稱處理行動 : 對選取的通訊協定通訊埠和用戶端封鎖或允許其傳輸方向 : 入站是指從 Internet 進入您網路的流量出站是指從您的網路進入 Internet 的流量通訊協定 : 此例外的網路傳輸通訊協定通訊埠機器所有通訊埠 ( 預設值 ) 範圍指定的通訊埠 : 請以逗號分隔各個項目所有 IP 位址 ( 預設值 ) IP 範圍單一 IP: 特定用戶端的 IP 位址 3. 按一下儲存防火牆組態設定畫面會隨即出現, 並顯示例外清單中的新例外 5-13

106 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊編輯例外如果要編輯例外 : 1. 在防火牆 - 進階模式畫面的例外區段中, 選取您要編輯的例外 2. 按一下編輯 3. 視需要更新選項如需詳細資訊, 請參閱第 5-13 頁的新增例外 4. 按一下儲存移除例外如果要移除例外 : 1. 在防火牆 - 進階模式畫面的例外區段中, 選取您要刪除的例外 2. 按一下移除網頁信譽評等服務網頁信譽評等服務可根據趨勢科技 Web 安全資料庫檢查要求的 URL, 以防止使用者存取具有潛在安全威脅的 URL 請根據用戶端的所在位置 ( 在辦公室中 / 辦公室以外的地方 ), 設定不同的安全層級如果網頁信譽評等服務封鎖了您認為安全無虞的 URL, 請將該 URL 新增至核可的 URL 清單中如需有關新增 URL 至核可的 URL 清單的資訊, 請參閱第 12-7 頁的網頁信譽評等服務設定網頁信譽評等服務網頁信譽評等服務可評估全部所要求 URL 的潛在安全威脅, 作法是每次出現 HTTP 要求時, 查詢趨勢科技安全資料庫注意 : 設定適用於在辦公室中與辦公室以外的地方的網頁信譽評等服務設定關閉位置感知時, 辦公室以外的地方連線將會使用在辦公室中的設定請參閱第 12-5 頁的位置感知 5-14

107 設定桌上型電腦和伺服器群組瀏覽路徑 : 安全設定 > 選取群組 > 設定 > 網頁信譽評等服務 > 在辦公室中 / 辦公室以外的地方圖 5-3 安全設定 > 網頁信譽評等服務畫面如果要編輯網頁信譽評等服務設定: 1. 在網頁信譽評等服務畫面中, 視需要更新下列項目 : 啟動網頁信譽評等服務安全層級高 : 封存下列網頁 : 經驗證的欺詐網頁或安全威脅來源可疑的欺詐網頁或安全威脅來源與垃圾郵件相關或可能遭到破壞未分級的網頁中 : 封存下列網頁 : 經驗證的欺詐網頁或安全威脅來源可疑的欺詐網頁或安全威脅來源低 : 封鎖經驗證的欺詐網頁或安全威脅來源 2. 按一下儲存 5-15

108 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊行為監控代理程式會持續監控用戶端上的作業系統或已安裝的軟體是否遭到異常修改系統管理員 ( 或使用者 ) 可建立例外清單, 以允許特定程式在違反受監控變更的情況下啟動, 或完全封鎖特定程式此外, 一律允許啟動具備有效數位簽章的程式如果要疑難排解數位簽章的有效性, 請參閱第頁的無效 / 已到期的數位簽章如果要檢視監控之變更的描述和預設值, 請參閱第 5-16 頁的表 5-4 表 5-4 監控之變更的描述和預設值受監控的變更說明預設值新的啟動程式主機檔案的修改程式庫植入新增 Internet Explorer 外掛程式 Internet Explorer 設定的修改 Shell 的修改新增服務安全策略的修改許多惡意程式皆有能力設定 Windows, 而使所有應用程式自動載入程式庫 (DLL) 如此將使 DLL 中的惡意常式得以隨著應用程式啟動而執行主機檔案會比對網域名稱與 IP 位址許多惡意程式皆有能力修改主機檔案, 而使網路瀏覽器重新導向至中毒不存在或偽造的網站許多惡意程式皆有能力設定 Windows, 而使所有應用程式自動載入程式庫 (DLL) 如此將使 DLL 中的惡意常式得以隨著應用程式啟動而執行間諜程式 / 可能的資安威脅程式常會安裝不需要的 Internet Explorer 外掛程式, 包括工具列與瀏覽器協助物件許多病毒 / 惡意程式皆有能力變更 Internet Explorer 設定, 包括首頁信任的網站 Proxy 伺服器設定和功能表擴充項目等許多惡意程式皆有能力修改 Windows Shell 設定, 使其與特定檔案類型產生關聯此常式將使惡意程式在使用者以 Windows 檔案總管開啟關聯的檔案時自動動 Windows Shell 設定變更後, 也將使惡意程式得以追蹤所使用的程式, 並隨著合法應用程式而啟動 Windows 服務是具有特殊功能的處理程序, 通常會以完整的管理存取權持續在背景中執行惡意程式有時會自行安裝為服務, 並隱藏起來 Windows 安全策略若遭修改, 不需要的應用程式即可執行並變更系統設定需要時詢問永遠封鎖需要時詢問需要時詢問永遠封鎖需要時詢問需要時詢問永遠封鎖 5-16

109 設定桌上型電腦和伺服器群組表 5-4 監控之變更的描述和預設值受監控的變更說明預設值防火牆策略的修改系統檔案的修改重複的系統檔案分層服務提供器 Windows 防火牆策略可決定可存取網路的應用程式可供通訊使用的通訊埠以及可與電腦通訊的 IP 位址許多惡意程式皆有能力修改策略, 進而存取網和 Internet 某些 Windows 系統檔案可決定系統行為, 包括啟動程式和螢幕保護程式設定許多惡意程式皆有能力修改系統檔案, 進而在開機時自動啟動並控制系統為許多惡意程式皆有能力以 Windows 系統檔案所使用的檔案名稱, 建立本身或其他惡意程式的副本其用意通常為覆寫或取代系統檔案規避偵測或防止用者刪除惡意檔案分層服務提供器 (LSP) 可操控入站和出站網路流量惡意程式可利用 LSP 攔截網路通訊, 並取得網路存取需要時詢問永遠封鎖需要時詢問需要時詢問環境變數 Worry-Free Business Security Advanced 支援使用環境變數指定用戶端的特定資料夾您可以使用這些變數建立特定資料夾的例外下表說明可用的變數 : 表 5-5 支援的變數環境變數指向... $windri$ $rootdir$ $tempdir$ $programdir$ Windows 資料夾根資料夾 Windows 暫存資料夾 Program Files 資料夾設定行為監控行為監控可讓用戶端無法對作業系統登錄項目其他軟體或檔案和資料夾執行未經授權的變更 5-17

110 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊瀏覽路徑 : 安全設定 > 選取群組 > 設定 > 行為監控圖 5-4 行為監控畫面 5-18

111 設定桌上型電腦和伺服器群組如果要編輯行為監控設定 : 1. 在行為監控畫面中, 視需要更新下列項目 : 啟動行為監控注意 : 瀏覽至安全設定 > 選取群組 > 設定 > 用戶端權限, 並選取行為監控區段中的編輯例外清單啟動 Intuit QuickBooks Protection: 可防止其他程式對所有 Intuit QuickBooks 檔案和資料夾進行未經授權的變更啟動此功能將不會影響從 Intuit QuickBooks 程式內部進行的變更, 而只會防止檔案遭其他未經授權的應用程式變更支援的產品如下 : QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online 秘訣 : 趨勢科技建議您啟動此功能受監控的變更 : 針對每項受監控的變更, 選取永遠允許需要時詢問或永遠封鎖如需不同變更的相關資訊, 請參閱第 5-16 頁的表 5-4 例外 : 例外包括核可的程式清單和封鎖的程式清單 : 核可的程式清單中的程式即使違反受監控的變更仍可啟動, 而封鎖的程式清單中的程式則一律無法啟動完整的程式路徑 : 輸入完整的程式路徑請以半形分號 (;) 分隔多個項目按一下新增至核可的程式清單或新增至封鎖的程式清單您可以視需要使用環境變數指定路徑如需支援的變數清單, 請參閱第 5-17 頁的表 5-5 ( 支援的變數 ) 核可的程式清單 : 可以啟動此清單中的程式 ( 最多 100 個 ) 按一下對應的圖示即可進行刪除封鎖的程式清單 : 始終無法啟動此清單中的程式 ( 最多 100 個 ) 按一下對應的圖示即可進行刪除 2. 按一下儲存 5-19

112 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 TrendSecure TrendSecure 是由一套以瀏覽器為基礎的工具所組成 (TrendProtect), 可以讓使用者安全地使用 Web TrendProtect 會對使用者提出有關惡意程式和網路釣魚網站的警告 TrendSecure 會新增瀏覽器工具列, 此工具列可根據無線網路連線的安全來變更顏色您也可以按一下工具列按鈕, 以存取下列功能 : 網頁分級 : 可決定現行網頁的安全性注意 : 設定在辦公室中和辦公室以外的地方的 TrendSecure 設定關閉位置感知時, 辦公室以外的地方連線將會使用在辦公室中的設定請參閱第 12-5 頁的位置感知設定 TrendSecure 根據使用者所在的位置, 設定 TrendSecure 工具的可用性注意 : 設定在辦公室中和辦公室以外的地方連線的 Trend Secure 關閉位置感知時, 辦公室以外的地方連線將會使用內部連線設定請參閱第 12-5 頁的位置感知 5-20

113 設定桌上型電腦和伺服器群組瀏覽路徑 : 安全設定 > 選取群組 > 設定 > TrendSecure 工具列 > 在辦公室中 / 辦公室以外的地方圖 5-5 TrendSecure 工具列 - 在辦公室中畫面編輯 TrendSecure 工具的可用性 : 1. 在 TrendSecure 在辦公室中 / 辦公室以外的地方畫面中, 視需要更新下列項目 : 啟動網頁分級 : 可決定現行網頁的安全性 2. 按一下儲存注意 :TrendSecure 工具列僅可透過 Web 主控台, 供代理程式使用使用者必須從代理程式的主控台來安裝或解除安裝工具 5-21

114 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 POP3 郵件掃瞄 POP3 郵件掃瞄和趨勢科技垃圾郵件防護工具列外掛程式可即時保護用戶端不受安全威脅和透過 POP3 電子郵件傳送的垃圾郵件的入侵注意 : 依預設, POP3 郵件掃瞄只會掃瞄收件匣和垃圾郵件資料夾中, 透過通訊埠 110 傳送的新郵件不支援 Exchange Server 2007 預設會使用的安全 POP3 (SSL-POP3) POP3 郵件掃瞄需求 POP3 郵件掃瞄支援下列郵件用戶端 : Microsoft Outlook (XP) 2003 和 2007 Outlook Express 6.0 ( 含 Service Pack 2)( 僅適用於 Windows XP) Windows Mail ( 僅適用於 Microsoft Vista) Mozilla Thunderbird 1.5 和 2.0 注意 : POP3 郵件掃瞄無法偵測 IMAP 郵件中的安全威脅和垃圾郵件使用 Messaging Security Agent 偵測 IMAP 郵件中的安全威脅和垃圾郵件垃圾郵件防護工具列需求趨勢科技垃圾郵件防護工具列支援下列郵件用戶端: Microsoft Outlook (XP) 2003 和 2007 Outlook Express 6.0 ( 含 Service Pack 2)( 僅適用於 Windows XP) Windows Mail ( 僅適用於 Windows Vista) 垃圾郵件防護工具列支援下列作業系統: 32 位元的 Windows XP SP2 32 位元和 64 位元的 Windows Vista 5-22

115 設定桌上型電腦和伺服器群組啟動郵件掃瞄瀏覽路徑 : 安全設定 > 選取群組 > 設定 > 郵件掃瞄圖 5-6 郵件掃瞄畫面如果要編輯郵件掃瞄的可用性: 1. 在郵件掃瞄畫面中, 視需要更新下列項目 : 啟動 POP3 郵件的即時掃瞄啟動趨勢科技垃圾郵件防護工具列 2. 按一下儲存設定 POP3 郵件掃瞄以掃瞄其他通訊埠可以設定 POP3 郵件掃瞄, 以掃瞄透過預設通訊埠 110 以外的其他通訊埠傳送的郵件注意 : 此進階程序需要修改 Windows 登錄並重新啟動個別用戶端上的趨勢科技 Proxy 服務請只在必要時執行這個程序, 並確保在開始前先備份登錄如果要設定 POP3 郵件掃瞄來掃瞄非預設的通訊埠 : 1. 按一下開始 > 執行 2. 輸入 REGEDIT 並按一下確定登錄編輯程式便會開啟 3. 瀏覽至下列登錄子機碼 : HKEY_LOCAL_MACHINE\Software\TrendMicro\NSC\TmProxy\ ProtocolHandler\pop3\Redirect\Pop3Mailer 4. 在名稱為 Port 的值上按滑鼠右鍵並選取修改 5-23

116 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 5. 確定選取十進位作為底數, 然後在數值資料底下指定您要掃瞄的通訊埠號碼 6. 按一下確定, 然後關閉登錄編輯程式 7. 按一下開始 > 執行 8. 輸入 CMD 並按一下確定 9. 在命令提示字元中輸入指令 net stop tmproxy, 停止趨勢科技 Proxy 服務 10. 服務停止後, 輸入指令 net start tmproxy 啟動 Proxy 服務用戶端權限授與用戶端權限可讓使用者修改電腦上已安裝的代理程式設定秘訣 : 如果要在整個組織中強制實施規定的安全策略, 趨勢科技建議僅授與使用者有限的權限如此可確保使用者不會修改掃瞄設定或卸載 Client/Server Security Agent 5-24

117 設定桌上型電腦和伺服器群組設定用戶端權限瀏覽路徑 : 安全設定 > 選取群組 > 設定 > 用戶端權限圖 5-7 用戶端權限畫面 5-25

118 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要授與用戶端權限 : 1. 在用戶端權限畫面中, 視需要更新下列項目 : 防毒 / 間諜程式防護手動掃瞄設定預約掃瞄設定即時掃瞄設定停止預約掃瞄啟動行動模式防火牆顯示防火牆標籤允許用戶端啟動 / 關閉防火牆注意 : 如果您允許使用者啟動或關閉防火牆, 便無法自 Web 主控台變更這些設定如果您未將此權限授與使用者, 則可自 Web 主控台變更這些設定在代理程式上, 本機防火牆設定下的資訊一律顯示從代理程式設定的設定值, 而不是從 Web 主控台設定的設定值網頁信譽評等服務編輯核可的 URL 清單行為監控顯示行為監控標籤, 並允許使用者自訂清單 : 允許使用者啟動 / 關閉行為監控, 並設定例外清單和軟體防護清單郵件掃瞄允許使用者設定 POP3 郵件的即時掃瞄 Proxy 設定允許使用者設定 Proxy 設定更新權限執行立即更新啟動 / 關閉預約更新 5-26

119 設定桌上型電腦和伺服器群組更新設定從趨勢科技的主動式更新伺服器下載 : 當使用者開始更新時, 代理程式會從更新來源畫面上指定的更新來源取得更新檔如果更新失敗, 代理程式會嘗試從 Security Server 進行更新選取從趨勢科技的主動式更新伺服器下載, 讓代理程式在無法從 Security Server 更新時, 可嘗試從趨勢科技的主動式更新伺服器進行更新秘訣 : 為確保可攜式用戶端上的代理程式在辦公室以外的地方也可進行更新, 請啟動從趨勢科技的主動式更新伺服器下載啟動預約更新關閉程式升級和 HotFix 部署用戶端安全層級高 : 禁止存取代理程式資料夾檔案和登錄項目正常 : 提供代理程式資料夾檔案和登錄項目的讀寫權限注意 : 如果您選取高, 則代理程式資料夾檔案和登錄項目的存取權限設定將繼承自 Program Files 資料夾 ( 適用於執行 Windows Vista/2000/XP/Server 2003 的用戶端 ) 因此, 如果設定 WINNT 檔案或 Program Files 資料夾的權限設定 (Windows 中的安全性設定 ) 為允許完整讀 / 寫權限, 則選取高時, 仍然可以讓用戶端具有 Client/Server Security Agent 資料夾檔案和登錄項目的完整讀 / 寫權限 2. 按一下儲存 5-27

120 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊隔離隔離目錄會儲存中毒檔案隔離目錄可位於用戶端本身或其他伺服器上如果指定的是無效的隔離目錄, 代理程式會使用用戶端上的預設隔離目錄 : C:\Program Files\Trend Micro\Client Server Security Agent\SUSPECT 伺服器上的預設資料夾為 : C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus 注意 : 如果 CSA 因故 ( 例如 : 網路連線問題 ) 無法將檔案傳送至 Security Server, 檔案就會保留在用戶端的 Suspect 資料夾中代理程式會在與 Security Server 重新連線時, 嘗試重新傳送檔案設定隔離目錄瀏覽路徑 : 安全設定 > 選取群組 > 設定 > 隔離圖 5-8 隔離目錄畫面如果要設定隔離目錄 : 1. 在隔離目錄畫面中, 視需要更新下列項目 : 隔離目錄 : 輸入網址 (URL) 或通用命名慣例 (UNC) 路徑, 以儲存中毒檔案例如, 或 \\TempServer\Quarantine 2. 按一下儲存 5-28

121 第 6 章設定 Microsoft Exchange Server 本章簡介 Messaging Security Agent 並且說明如何對 Microsoft Exchange Server 設定即時掃瞄選項設定垃圾郵件防護內容過濾附件封鎖和隔離維護選項本章討論下列主題 : 第 6-2 頁的關於 Messaging Security Agent 第 6-7 頁的防毒第 6-11 頁的垃圾郵件防護第 6-19 頁的內容過濾第 6-32 頁的附件封鎖第 6-35 頁的隔離第 6-44 頁的作業 6-1

122 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊關於 Messaging Security Agent 在 Worry-Free Business Security Advanced 中,Messaging Security Agent 會保護 Microsoft Exchange Server Messaging Security Agent 會掃瞄 Microsoft Exchange 信箱儲存區收到和寄出的電子郵件, 以及在 Exchange Server 與外部目的地之間傳遞的電子郵件, 以防止透過電子郵件傳播的威脅此外,Messaging Security Agent 可以 : 減少垃圾郵件根據內容封鎖電子郵件封鎖或限制含附件的電子郵件 Messaging Security Agent 僅能安裝於 Microsoft Exchange Server 上群組樹狀結構會顯示網路上的所有 Messaging Security Agent 注意 : 無法將多個 Messaging Security Agent 結合為一個群組分別管理每個 Messaging Security Agent Worry-Free Business Security Advanced 會使用 Messaging Security Agent, 從 Microsoft Exchange Server 收集安全資訊例如,Messaging Security Agent 會向 Trend Micro Security Server 報告垃圾郵件偵測或元件更新完成此資訊會顯示於 Web 主控台中 Trend Micro Security Server 也會使用此資訊, 來產生有關 Microsoft Exchange Server 安全狀態的記錄檔和報告注意 : 每個偵測到的安全威脅都會產生一個記錄項目 / 通知這表示如果 Messaging Security Agent 在單一電子郵件中偵測到多個安全威脅, 則會產生多個記錄項目和通知也可能會發生偵測到數次相同安全威脅的實體, 特別是如果有使用 Outlook 2003 的快取模式當啟動快取模式時, 可能會同時在傳輸佇列資料夾和寄件備份資料夾 ( 或在寄件匣資料夾 ) 中偵測到相同的安全威脅 6-2

123 設定 Microsoft Exchange Server Messaging Security Agent 掃瞄電子郵件的方式 Messaging Security Agent (MSA) 會按照下列順序掃瞄電子郵件 : 1. 掃瞄垃圾郵件 ( 垃圾郵件防護 ) a. 將電子郵件與系統管理員的核可 / 封鎖的寄件人清單進行比較 b. 檢查網路釣魚事件 c. 將電子郵件與趨勢科技提供的例外清單進行比較 d. 將電子郵件與垃圾郵件特徵資料庫進行比較 e. 套用自動邏輯分析掃瞄規則 2. 掃瞄內容過濾規則違規 3. 掃瞄超過使用者定義之參數的附件 4. 掃瞄病毒 / 惡意程式 ( 防毒 ) MSA 中毒處理行動系統管理員可以將 Messaging Security Agent 設定成依據病毒 / 惡意程式特洛伊木馬程式和電腦蠕蟲所呈現的安全威脅類型, 執行中毒處理行動如果您使用自訂中毒處理行動, 即可針對每種全威脅類型設定中毒處理行動表 6-1 Messaging Security Agent 自訂中毒處理行動清除處理行動說明從中毒的郵件內文和附件移除惡意程式碼其餘的電子郵件文字任何未中毒的檔案, 以及清除後的檔案仍然會傳送給目標收件人趨勢科技建議您對病毒 / 惡意程式執行預設中毒處理行動清除在某些情況下,Messaging Security Agent 無法清除檔案請參閱第 6-4 頁的無法清除的檔案在手動掃瞄或預約掃瞄期間,Messaging Security Agent 會更新資訊儲存區並且用已清除的檔案取代這個檔案以文字 / 檔案取代 Messaging Security Agent 會刪除中毒的內容並且用文字或檔案取代此內容電子郵件會傳送給目標收件人, 但是文字取代部分會告知收件人, 原始內容已中毒而且已被取代 6-3

124 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊表 6-1 Messaging Security Agent 自訂中毒處理行動處理行動隔離整個郵件說明將電子郵件移到限制存取的資料夾, 將它視為 Microsoft Exchange 環境的安全威脅進行移除原來的收件人不會收到該郵件手動掃瞄和預約掃瞄中沒有這個選項如需有關隔離資料夾的詳細資訊, 請參閱第 6-36 頁的隔離目錄隔離郵件部分刪除整封郵件暫不處理僅將中毒內容移至隔離目錄進行隔離, 收件人會收到不含此內容的郵件在即時掃瞄期間,Messaging Security Agent 會刪除整個電子郵件原來的收件人不會收到該郵件手動掃瞄或預約掃瞄中沒有這個選項在病毒記錄檔中記錄惡意檔案的病毒感染, 但是不執行任何中毒處理行動注意 : 例外加密或受密碼保護的檔案會在不更新記錄檔的情況下傳送給收件人無法清除的檔案如果 Messaging Security Agent 無法順利清除檔案, 會將這個檔案標示為無法清除, 然後對無法清除的檔案執行使用者設定的中毒處理行動預設的中毒處理行動是刪除整封郵件 Messaging Security Agent 會在記錄檔中記錄所有病毒 / 惡意程式事件以及相關的處理行動過程以下是 Messaging Security Agent 無法執行清除中毒處理行動的一些常見原因 : 檔案含有特洛伊木馬程式電腦蠕蟲或其他惡意程式碼為了停止執行檔的執行,Messaging Security Agent 必須完全移除它 Messaging Security Agent 不支援所有壓縮格式掃瞄引擎只能清除使用 pkzip 壓縮的檔案, 而且只能清除位於第一個壓縮層的中毒檔案發生未預期的問題, 造成 Messaging Security Agent 無法清除, 例如 : 暫存目錄 ( 待清除檔案的儲存區 ) 已滿檔案被鎖定或正在執行檔案損毀檔案受密碼保護 6-4

125 設定 Microsoft Exchange Server 偵測到的安全威脅通知當 Messaging Security Agent (MSA) 在電子郵件中偵測到威脅時, 會傳送通知給電子郵件寄件人和 ( 或 ) 收件人從防毒 / 間諜程式防護畫面的中毒處理行動標籤區域中, 您可以設定讓 MSA 傳送通知給所有寄件人和 ( 或 ) 收件人, 或是只要傳送給內部寄件人和 ( 或 ) 收件人您也可以設定 MSA 不要在偵測到詐騙郵件時傳送通知進階巨集掃瞄 Messaging Security Agent 在一般掃瞄期間, 會使用病毒碼檔案來辨識已知的惡意巨集程式碼 Messaging Security Agent 會依據您在防毒畫面中所設定的中毒處理行動, 對惡意巨集程式碼執行中毒處理行動使用進階巨集掃瞄能夠獲得對抗惡意巨集程式碼的額外保護進階巨集掃瞄可以彌補一般病毒 / 惡意程式掃瞄的不足它會使用自動邏輯分析掃瞄來偵測巨集病毒, 或者簡單地除去所有偵測到的巨集程式碼自動邏輯分析掃瞄是一種評估式的偵測病毒方法, 使用病毒碼辨識和規則技術來搜尋惡意的巨集程式碼這個方法在偵測還不具備已知病毒特徵的未發現病毒和安全威脅方面十分卓越使用自動邏輯分析掃瞄偵測到惡意巨集程式碼時, Messaging Security Agent 會依據您在防毒畫面中設定的中毒處理行動, 對惡意程式碼執行中毒處理行動如果您選取了刪除進階巨集掃瞄所偵測到的所有巨集,Messaging Security Agent 會清除已掃瞄檔案中的所有巨集程式碼 Microsoft Exchange Server 群組的可設定選項按一下安全設定畫面的設定可以存取下列選項 : 防毒設定 Microsoft Exchange Server 的即時掃瞄選項垃圾郵件防護設定垃圾郵件偵測等級設定核可或封鎖的寄件人清單, 以及設定對垃圾郵件執行的處理行動內容過濾啟動和設定內容過濾附件封鎖指定附件封鎖的要求隔離執行查詢隔離維護並設定隔離目錄作業執行垃圾郵件維護設定內部電子郵件信箱, 以及設定系統偵錯工具選項 6-5

126 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 Messaging Security Agent 的預設設定考慮使用第 6-6 頁的表 6-2 中所列的選項來協助您最佳化 Messaging Security Agent 組態表 6-2 趨勢科技對 Messaging Security Agent 的預設處理行動掃瞄選項即時掃瞄手動掃瞄和預約掃瞄垃圾郵件防護垃圾郵件將郵件隔離到使用者的垃圾郵件資料夾 ( 如果已安裝終端使用者垃圾郵件隔離, 則為預設值 ) 無網路釣魚刪除整封郵件無內容過濾過濾符合任何定義條件的郵件過濾符合所有定義條件的郵件監控特定電子郵件帳號的郵件內容隔離整個郵件隔離整個郵件隔離整個郵件取代無法使用取代排除特定的電子郵件帳號暫不處理暫不處理附件封鎖處理行動以文字 / 檔案取代附件以文字 / 檔案取代附件其他加密和受密碼保護的檔案例外檔案 ( 超出指定掃瞄限制的檔案 ) 暫不處理 ( 處理行動設定為暫不處理時, 會暫不處理加密及受密碼保護的檔案, 而且不會記錄該事件 ) 暫不處理 ( 處理行動設定為暫不處理時, 會暫不處理超出指定掃瞄限制的檔案或郵件內文, 而且不會記錄該事件 ) 暫不處理 ( 處理行動設定為暫不處理時, 會暫不處理加密及受密碼保護的檔案, 而且不會記錄該事件 ) 暫不處理 ( 處理行動設定為暫不處理時, 會暫不處理超出指定掃瞄限制的檔案或郵件內文, 而且不會記錄該事件 ) 6-6

127 設定 Microsoft Exchange Server 防毒 Worry-Free Business Security Advanced 提供三種掃瞄類型, 以保護 Microsoft Exchange Server 不受透過電子郵件傳播的威脅損害 : 即時掃瞄即時掃瞄會一直持續進行 Messaging Security Agent 會即時掃瞄所有收到的郵件 SMTP 郵件張貼於公共資料夾的文件, 以及從其他 Microsoft Exchange Server 複製的所有檔案, 藉此防護所有已知的病毒進入點當它偵測到安全威脅時, 會根據組態自動對那些安全威脅執行處理行動 Messaging Security Agent 會即時掃瞄下列項目 : 所有內送和外寄的電子郵件在公用資料夾公佈的資訊所有伺服器對伺服器的複製即時掃瞄的速度會依其設定而有所不同您可以指定某些易受病毒 / 惡意程式影響的檔案類型, 藉以增加即時掃瞄的效能手動掃瞄手動掃瞄會依要求執行手動掃瞄可消除用戶端上和 Microsoft Exchange 信箱內檔案的安全威脅這種掃瞄亦可消滅任何舊有的中毒檔案, 而盡可能降低重複中毒的可能性手動掃瞄期間, Worry-Free Business Security Advanced 會根據系統管理員所設定的處理行動執行防範安全威脅的作業如需詳細資訊, 請參閱第 8-2 頁的手動掃瞄預約掃瞄預約掃瞄與手動掃瞄類似, 但會依設定的時間和頻率來掃瞄所有檔案和電子郵件使用預約掃瞄可針對用戶端自動進行例行掃瞄, 並增進安全威脅管理效率如需詳細資訊, 請參閱第 8-2 頁的預約掃瞄設定 Messaging Security Agent 的即時掃瞄設定 Messaging Security Agent 以掃瞄特定目標, 並且設定在目標郵件和檔案中發現安全威脅時所要採取的中毒處理行動同時亦請設定代理程式, 以便在對安全威脅採取中毒處理行動時傳送通知如需預設的設定, 請參閱第 6-6 頁的表

128 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 防毒圖 6-1 安全設定 > 防毒畫面 6-8

129 設定 Microsoft Exchange Server 如果要設定 Messaging Security Agent 的即時掃瞄 : 1. 從防毒畫面的目標標籤, 視需要更新下列項目 : 啟動即時防毒警告! 關閉即時掃瞄會使 Microsoft Exchange Server 容易受到感染要掃瞄的檔案智慧型掃瞄根據真實檔案類型掃瞄檔案如需詳細資訊, 請參閱第 C-4 頁的趨勢科技智慧型掃瞄所有可掃瞄的檔案只會排除加密或受密碼保護的檔案掃瞄具有下列副檔名的檔案 Worry-Free Business Security Advanced 會掃瞄具有選定副檔名的檔案請以半形逗號 (,) 分隔多個項目啟動 IntelliTrap IntelliTrap 可以偵測到壓縮檔中是否含有 Bot 之類的惡意程式碼如需詳細資訊, 請參閱第 C-6 頁的 Trend Micro IntelliTrap 掃瞄郵件內文掃瞄包含內嵌安全威脅的電子郵件內文其他的安全威脅掃瞄選取 Worry-Free Business Security Advanced 應掃瞄的其他安全威脅如需安全威脅的定義, 請參閱第 F-1 頁的詞彙表例外不掃瞄符合下列條件的電子郵件 : 郵件內文大小超過附件大小超過解壓縮檔數目超過解壓縮檔大小超過壓縮層的數目超過解壓縮檔的大小是壓縮檔的 x 倍 2. 從處理行動標籤, 視需要更新下列項目 : 偵測到病毒時的處理行動主動式處理行動使用趨勢科技預先設定的處理行動來處理安全威脅如需詳細資訊, 請參閱第 C-4 頁的趨勢科技主動式處理行動適用於所有安全威脅的相同處理行動從清除以文字/ 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取如需詳細資訊, 請參閱第 6-3 頁的表

130 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊下列偵測到的安全威脅所適用的自訂處理行動針對每個安全威脅類型, 從清除以文字 / 檔案取代刪除整封郵件暫不處理隔離整個郵件或隔離郵件部分進行選取如需詳細資訊, 請參閱第 6-3 頁的表 6-1 啟動用於大量郵件行為的處理行動針對安全威脅的大量郵件行為類型, 從清除以文字 / 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取如需詳細資訊, 請參閱第 6-3 頁的表 6-1 針對無法完成的清除嘗試, 設定次要的處理行動從以文字/ 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取在清除前備份中毒檔案在清除前備份安全威脅, 可作為保護原始檔案免於毀損的預防措施注意 : 趨勢科技建議您在判斷原始檔案並未毀損且可使用之後, 立即刪除備份的檔案如果檔案損毀或無法使用, 請將它傳送給趨勢科技以便深入分析 ( 使 Messaging Security Agent 已完全清除並移除病毒本身, 有些病毒 / 惡意程式仍會損毀原始檔案的程式碼, 造成檔案無法修復 ) 不清除中毒壓縮檔以最佳化效能當代理程式在壓縮檔案中偵測到安全威脅時, 將不會清除檔案, 而是把它當成無法清除的檔案來處理通知 Worry-Free Business Security Advanced 會將通知訊息傳送給選定的人員系統管理員也可以關閉傳送通知給詐騙寄件人巨集在應用程式巨集中編寫的一種病毒, 通常包含在文件中自動邏輯分析等級自動邏輯分析掃瞄是一種評估式的偵測病毒方法, 這個方法在偵測還不具備已知病毒特徵的未發現病毒和安全威脅方面十分卓越刪除進階巨集掃瞄偵測到的所有巨集如需詳細資訊, 請參閱第 6-5 頁的進階巨集掃瞄無法掃瞄的郵件部分針對加密和 ( 或 ) 受密碼保護的檔案, 設定處理行動和通知條件對於處理行動, 從以文字/ 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取不掃瞄的郵件部分針對不掃瞄的郵件部分, 設定處理行動和通知條件對於處理行動, 從以文字/ 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取 6-10

131 設定 Microsoft Exchange Server 備份設定儲存備份檔案的位置取代設定設定取代文字的文字和檔案如果處理行動是以文字或檔案取代,Worry-Free Business Security Advanced 將會以此文字字串和檔案取代安全威脅 3. 按一下儲存此外, 請設定在事件發生時將由誰接收通知請參閱第 11-2 頁的關於通知垃圾郵件防護 Worry-Free Business Security Advanced 提供兩種方式來抵禦垃圾郵件 : 電子郵件信譽評等服務和內容掃瞄電子郵件信譽評等服務電子郵件信譽評等服務技術會根據原始郵件傳輸代理程式 (MTA) 的信譽來判斷垃圾郵件因而能夠減輕 Worry-Free Business Security Advanced 伺服器的工作藉由啟動電子郵件信譽評等服務, 所有的入站 SMTP 流量都會經由 IP 資料庫檢查, 以查看原始 IP 位址是否沒問題, 或者該位址已列入已知垃圾郵件傳染媒介的黑名單中有兩種服務等級可用於電子郵件信譽評等服務如下所示.. 標準標準服務會使用資料庫, 追蹤大約二十億個 IP 位址的信譽始終與垃圾郵件遞送有關的 IP 位址, 均已新增至資料庫且甚少移除進階進階服務等級是以查詢 DNS 為基礎且類似標準服務的服務此服務的核心是標準信譽資料庫, 以及動態信譽即時資料庫, 封鎖來自已知和可疑垃圾郵件來源的郵件發現來自封鎖或可疑 IP 位址的電子郵件時, 電子郵件信譽評等服務會在郵件到達您的閘道之前, 加以封鎖 6-11

132 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊內容掃瞄內容掃瞄會根據郵件內容 ( 而非原始 IP) 來判斷垃圾郵件 Messaging Security Agent 會使用趨勢科技的垃圾郵件防護引擎和垃圾郵件病毒碼檔案, 在將電子郵件傳遞至資訊儲存區之前, 先對每封電子郵件進行垃圾郵件篩選 Microsoft Exchange Server 將不會處理遭拒的垃圾郵件, 而且郵件最終不會到使用者信箱垃圾郵件偵測垃圾郵件防護引擎會使用垃圾郵件特徵和自動邏輯分析規則來過濾電子郵件它會掃瞄電子郵件, 並且依據與病毒碼檔案中規則及格式的接近程度, 對每一封電子郵件指定垃圾郵件指數 Messaging Security Agent 會將垃圾郵件指數與使用者定義的垃圾郵件偵測等級進行比較如果垃圾郵件指數超過偵測等級, Messaging Security Agent 就會對該垃圾郵件執行處理行動例如, 垃圾郵件的寄件人經常會在電子郵件中使用許多驚嘆號, 或連續使用驚嘆號 (!!!!) 當 Messaging Security Agent 偵測到以這種方式使用驚嘆號的郵件時, 就會增加該電子郵件的垃圾郵件指數為您的垃圾郵件偵測選擇下列其中一個選項 : 高這是最嚴格的垃圾郵件偵測等級, 但是發生垃圾郵件誤判的機率也很高垃圾郵件誤判是指 Messaging Security Agent 將實際上是合法郵件的電子郵件過濾為垃圾郵件中這是預設的設定 Messaging Security Agent 會以高垃圾郵件偵測等級進行監控, 但是發生垃圾郵件誤判的機率較為適中低這是最寬鬆的垃圾郵件偵測等級 Messaging Security Agent 將只過濾最明顯和最常見的垃圾郵件, 而發生垃圾郵件誤判的機率也非常低 Messaging Security Agent 會使用趨勢科技的垃圾郵件防護引擎和垃圾郵件病毒碼檔案, 在將電子郵件傳遞至資訊儲存區之前, 先對每封電子郵件進行垃圾郵件篩選 Microsoft Exchange Server 將不會處理遭拒的垃圾郵件, 而且郵件最終不會到達使用者信箱 6-12

133 設定 Microsoft Exchange Server Messaging Security Agent 如果在即時掃瞄期間偵測到垃圾郵件, 就會執行下列其中一項處理行動 : 將垃圾郵件隔離至伺服器端的垃圾郵件資料夾將垃圾郵件隔離至使用者的垃圾郵件資料夾刪除垃圾郵件將郵件標示為垃圾郵件然後傳送注意 : Microsoft Outlook 可能會自動過濾 MSA 偵測為垃圾郵件的郵件, 並將其傳送至垃圾郵件資料夾網路釣魚網路釣魚事件的源頭是謊稱來自立案或合法公司的電子郵件訊息會鼓勵收件人按下會將他們的瀏覽器重新導向詐欺網站的連結該網站會要求使用更新個人資訊 ( 例如 : 密碼社會安全號碼信用卡號碼 ), 企圖哄騙收件人提供私人資訊, 進而盜竊身份 Messaging Security Agent 偵測到網路釣魚郵件時, 它可以執行下列處理行動 : 將郵件隔離到伺服器端的垃圾郵件資料夾 Messaging Security Agent 會將整封郵件傳送至 Security Server 予以隔離刪除整封郵件 Messaging Security Agent 會刪除整封郵件而且 Microsoft Exchange 也不會傳送它標籤和傳送 Messaging Security Agent 會在電子郵件的標頭資訊加上標記, 註明它是網路釣魚, 然後傳送給目標收件人核可和封鎖的寄件人清單核可的寄件人清單就是受信任的電子郵件信箱清單 Messaging Security Agent 不會將來自這些信箱的郵件過濾為垃圾郵件 ( 除非已啟動偵測網路釣魚事件 ) 啟動偵測網路釣魚事件之後, 如果 Messaging Security Agent 偵測到電子郵件中有網路釣魚事件, 那麼即使該郵件屬於核可的寄件人清單, 也不會傳送這封電子郵件封鎖的寄件人清單就是可疑的電子郵件信箱清單 Messaging Security Agent 始終會將來自封鎖的寄件人的電子郵件歸類為垃圾郵件, 並執行適當的處理行動 6-13

134 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊核可的寄件人清單有兩種 : 一種適用於 Microsoft Exchange 系統管理員, 另一種適用於終端使用者 Microsoft Exchange 系統管理員的核可的寄件人清單和封鎖的寄件人清單 ( 在垃圾郵件防護畫面上 ), 可以控制 Messaging Security Agent 處理 Microsoft Exchange Server 接獲郵件的方式終端使用者僅需管理垃圾郵件資料夾, 此資料夾是在安裝時建立的終端使用者的清單只會影響送往每位個別終端使用者的伺服器端信箱儲存區的郵件注意 :Microsoft Exchange Server 上的核可的寄件人清單和封鎖的寄件人清單會覆寫用戶端上的核可的寄件人清單和封鎖的寄件人清單例如, 寄件人 user@example.com 位於系統管理員的封鎖的寄件人清單上, 但終端使用者將該信箱加入其核可的寄件人清單中 Microsoft Exchange 收到該寄人的郵件時,Messaging Security Agent 會將其視為垃圾郵件並執行處理行動如果 Messaging Security Agent 是執行將郵件隔離到使用者的垃圾郵件資料夾處理行動, 它會嘗試將郵件傳送到使用者的垃圾郵件資料夾, 但是該郵件卻會重新導向到使用者的收件匣, 因為使用者已經核可該寄件人注意 : 如果您使用的是 Outlook, 對於清單中的信箱數量和大小會有大小限制為防止發生系統錯誤,Messaging Security Agent 會限制終端使用者的核可的寄件人清單內的信箱數目 ( 這項限制是依據電子郵件信箱的長度和數目來計算 ) 針對核可的寄件人清單和封鎖的寄件人清單,Messaging Security Agent 支援萬用字元比對, 使用星號 (*) 作為萬用字元 Messaging Security Agent 不支援使用者名稱部分的萬用字元比對但是, 如果您輸入例如 *@trend.com 的格式,Messaging Security Agent 6-14

135 設定 Microsoft Exchange Server 萬用字元只能用於下列情況 : 旁邊僅接著一個句點, 並作為字串的第一個或最後一個字元符號的左邊, 並作為字串第一個字元作為功能與萬用字元相同的字串的遺失區段, 並位於此字串開頭或結尾表 6-3 萬用字元的電子郵件信箱格式符合的範例不符合的範例 john@example.com john@example.com *@example.com example.com *.example.com example.com.* *.example.com.* *.*.*.example.com *****.example.com john@example.com mary@example.com john@example.com john@ms1.example.com mary@ms1.rd.example.com mary@example.com john@ms1.example.com mary@ms1.rd.example.com joe@ms1.example.com john@example.com.us john@ms1.example.com.us john@ms1.rd.example.com.us mary@example.com.us john@ms1.example.com.us john@ms1.rd.example.com.us mary@ms1.example.com.us 與 *.example.com 相同 john@ms1.example.com john@example.com.us mary@example.com.us john@example.com.us mary@myexample.com.us joe@example.comon john@example.com john@myexample.com.us mary@ms1.example.comon john@example.com mary@ms1.example.com john@myexample.com.us john@example.com john@ms1.example.com john@trend.example.us *example.com example.com* 無效的格式 6-15

136 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊設定電子郵件信譽評等服務設定電子郵件信譽評等服務, 以封鎖來自已知或可疑垃圾郵件來源的郵件此外, 建立例外以允許或封鎖來自其他寄件人的郵件瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 垃圾郵件防護 > 電子郵件信譽評等服務圖 6-2 電子郵件信譽評等服務畫面如果要設定電子郵件信譽評等服務 : 1. 從電子郵件信譽評等服務畫面的目標標籤, 視需要更新下列項目 : 啟動即時垃圾郵件防護 ( 電子郵件信譽評等服務 ) 服務等級如需有關可用服務的詳細資訊, 請參閱第 6-11 頁的電子郵件信譽評等服務標準進階核可的 IP 位址來自這些 IP 位址的電子郵件一律都不會遭到封鎖輸入要核可的 IP 位址, 並按一下新增如果需要, 您可以從文字檔案匯入 IP 位址清單如果要移除 IP 位址, 可選取該位址, 然後按一下移除封鎖的 IP 位址來自這些 IP 位址的電子郵件一律會遭到封鎖輸入要封鎖的 IP 位址, 並按一下新增如果需要, 您可以從文字檔案匯入 IP 位址清單如果要移除 IP 位址, 可選取該位址, 然後按一下移除 6-16

設定 Microsoft Exchange Server 2. 按一下儲存 3. 移至 : https://nrs.nssg.trendmicro.com/index.

137 設定 Microsoft Exchange Server 2. 按一下儲存 3. 移至 : 以檢視報告如需詳細資訊, 請參閱電子郵件信譽評等服務文件注意 : 電子郵件信譽評等服務是 Web-based 服務系統管理員僅可從 Web 主控台設定服務等級內容掃瞄設定內容掃瞄以掃瞄垃圾郵件的 SMTP 流量, 是包含兩個步驟的處理程序首先, 選取垃圾郵件偵測等級, 設定核可的寄件人清單和封鎖的件人清單然後, 選擇 Worry-Free Business Security Advanced 偵測到垃圾郵件時要採取的處理行動瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 垃圾郵件防護 > 內容掃瞄圖 6-3 內容掃瞄畫面 6-17

138 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要設定內容掃瞄 : 1. 從內容掃瞄畫面的目標標籤, 視需要更新下列項目 : 啟動即時垃圾郵件防護 ( 內容掃瞄 ) 垃圾郵件偵測等級如需有關可用服務的詳細資訊, 請參閱第 6-12 頁的垃圾郵件偵測偵測網路釣魚網路釣魚事件鼓勵使用者按一下會將他們的瀏覽器重新導向模仿真實網站的詐欺網站的連結如需相關資訊, 請參閱第 6-13 頁的網路釣魚核可的寄件人來自這些信箱或網域名稱的電子郵件永遠都不會遭到封鎖輸入要核可的信箱或網域名稱, 然後按一下新增如果需要, 您可以從文字檔案匯入信箱或網域名稱的清單如果要移除信箱或網域名稱, 可選取該信箱並按一下移除如需相關資訊, 請參閱第 6-13 頁的核可和封鎖的寄件人清單封鎖的寄件人來自這些信箱或網域名稱的電子郵件一律會遭到封鎖輸入要封鎖的信箱或網域名稱, 然後按一下新增如果需要, 您可以從文字檔案匯入信箱或網域名稱的清單如果要移除信箱或網域名稱, 可選取該信箱並按一下移除如需相關資訊, 請參閱第 6-13 頁的核可和封鎖的寄件人清單注意 : 封鎖的 IP 位址清單的優先順序高於內容掃瞄 2. 按一下儲存 3. 從內容掃瞄畫面的處理行動標籤, 視需要更新下列項目 : 垃圾郵件將郵件隔離到伺服器端的垃圾郵件資料夾將郵件隔離到使用者的垃圾郵件資料夾刪除整封郵件標籤和傳送將標記附加至電子郵件的主旨網路釣魚事件將郵件隔離到伺服器端的垃圾郵件資料夾刪除整封郵件標籤和傳送將標記附加至電子郵件的主旨 4. 按一下儲存 6-18

139 設定 Microsoft Exchange Server 內容過濾內容過濾會根據使用者定義的規則, 評估入站和出站的電子郵件每個規則包含一份關鍵字和片語清單內容過濾會比較郵件與關鍵字清單, 評郵件的標頭和 ( 或 ) 內容當內容過濾找到符合關鍵字的字組時, 可以執行處理行動避免將不想要的內容傳遞到 Microsoft Exchange 用戶端每當 Messaging Security Agent 對不想要內容採取處理行動時, 即會傳送通知系統管理員可以根據郵件的文字, 使用內容過濾評估和控制電子郵件傳送還可以監控入站和出站郵件, 檢查郵件中是否存在騷擾攻擊或其他令人不悅的內容內容過濾也具備同義字檢查功能, 可讓您擴大策略的適用範圍例如, 您可以建立下列檢查規則 : 性騷擾語言種族歧視語言電子郵件內文中嵌入的垃圾郵件注意 : 依預設, 未啟動內容過濾關鍵字在 Worry-Free Business Security Advanced 中, 關鍵字包括下列各項, 並可用於過濾郵件 : 字組 (guns bombs 等 ) 數字 (1 2 3 等 ) 特定字元 (& # + 等 ) 片語 (blue fish red phone big house 等 ) 以邏輯運算子連接的字組或詞組 (apples.and. oranges) 使用一般表示式的字組或詞組 (.REG. a.*e 符合 ace ate 和 advance, 但不符合 all any 或 antivirus ) 匯入關鍵字 Worry-Free Business Security Advanced 可以從文字 (.txt) 檔案匯入現有的關鍵字清單匯入的關鍵字會出現在關鍵字清單中 6-19

140 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊在關鍵字上使用運算子運算子是結合多個關鍵字的指令運算子可以擴大或縮小條件的結果範圍以句號 (.) 將運算子括起來例如, apples.and. oranges 和 apples.not. oranges 注意 : 緊接運算子前後各有一個點後面的點和關鍵字之間有一個空格表 6-4 使用運算子運算子運作方式範例任何關鍵字 MSA 會搜尋符合文字的內容輸入文字, 並將它新增到關鍵字清單中 OR AND NOT WILD MSA 會就 OR 所分隔的其中任何一個關鍵字進行搜尋例如 :apple OR orange MSA 會搜尋 apple 或 orange 如果內容包含兩者中的任何一個, 即表示符合 MSA 會就 AND 所分隔的所有關鍵字進行搜尋例如 :apple AND orange MSA 會搜尋 apple 和 orange 如果內容沒有同時包含這兩個字, 即表示不符 MSA 會從搜尋中排除跟隨 NOT 之後的關鍵字例如,.NOT. juice,msa 會搜尋沒有包含 juice 的內容如果郵件含有 orange soda, 即表示符合, 但是如果包含 orange juice, 則不符合萬用字元符號用來替代文字的遺失部分任何使用萬用字元以外部分所拼寫的字就是符合的項目注意 :MSA 不支援在萬用字元指令.WILD. 中使用? 在您要包含的所有字之間輸入.OR. 例如, apple.or. orange 在您要包含的所有字之間輸入.AND. 例如, apple.and. orange 在您要排除的字前面輸入.NOT. 例如 :.NOT. juice 在您要包含的文字部分之前輸入.WILD. 例如, 如果您想要比對所有包含 valu 的字, 可輸入.WILD.valu 因此, Valumart valucash 和 valubucks 這些字都符合 6-20

141 設定 Microsoft Exchange Server 表 6-4 使用運算子運算子運作方式範例 REG 如果要指定一般表示式, 請在模式之前加入.REG. 運算子 ( 例如 :.REG. a.*e) 如需詳細資訊, 請參閱第 6-22 頁的一般表示式在您要偵測的文字模式前面輸入.REG. 例如,.REG. a.*e 會符合 : ace ate 和 advance, 但不符合 all any 和 antivirus 有效使用關鍵字 MSA 提供簡單又強大的功能, 可以建立極精確的過濾建立內容過濾規則時, 請考慮以下因素 : 依預設,MSA 會搜尋完全符合關鍵字的項目使用一般表示式, 設定讓 MSA 搜尋部分符合關鍵字的項目如需詳細資訊, 請參閱第 6-22 頁的一般表示式 MSA 會對同行內的多個關鍵字各佔一行的多個關鍵字, 以及利用逗號 / 句號 / 連字號和其他標點符號分隔的多個關鍵字, 採取不同的分析方式如需有關使用不同行的多個關鍵字的詳細資訊, 請參閱表 6-5 您也可以設定 MSA 搜尋實際關鍵字的同義字表 6-5 如何使用關鍵字情況範例相符 / 不符同行的兩個字 guns bombs 相符 : Click here to buy guns bombs and other weapons. 不符 : Click here to buy guns and bombs. 以逗號分隔的兩個字 guns, bombs 相符 : Click here to buy guns, bombs, and other weapons. 不符 : Click here to buy used guns, new bombs, and other weapons. 6-21

142 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊表 6-5 如何使用關鍵字情況範例相符 / 不符不同行的多個字同行相連的多個關鍵字 guns bombs weapons and ammo guns bombs weapons ammo 當您選擇任何指定的關鍵字相符 : Guns for sale 相符 2: Buy guns, bombs, and other weapons 當您選擇所有指定的關鍵字相符 : Buy guns bombs weapons and ammo 不符 : Buy guns bombs weapons ammunition. 不符 2: Buy guns, bombs, weapons, and ammo 相符 : Buy guns bombs weapons ammo 不符 : Buy ammunition for your guns and weapons and new bombs 一般表示式一般表示式可用來執行字串比對下表列出一些常見的一般表示式範例以供參考如果要指定一般表示式, 請在模式之前加入.REG. 運算子線上有一些相關的網站和教學課程, 可供您學習使用 PerlDoc 網站是其中一個這樣的網站, 網址是 : 警告! 一般表示式是強大的字串比對工具因此, 趨勢科技建議選擇使用一般表示式的系統管理員必須熟悉並慣用一般表示式語法撰寫不當的一般表示式可能對效能造成嚴重的負面影響趨勢科技建議您先從簡單的一般表示式開始著手, 而不要使用複雜的語法在引進新規則時, 請先使用封存處理行, 並觀察 MSA 如何使用您的規則來管理郵件當您有把握規則不會產生無法預期的結果時, 才可以變更處理行動 6-22

143 設定 Microsoft Exchange Server 下表列出一些常見的一般表示式範例以供參考如果要指定一般表示式, 請在模式之前加入.REG. 運算子表 6-6 計數與群組項目意義範例. 點或句號字元代表新行字元以外的任何字元 * 星號字元表示星號前面的項目有零個或多個實體 + 加號字元表示前面的項目有一個或多個實體? 問號字元表示前面的項目有零個或一個實體 ( ) 括弧字元會將置於其中的任何文字組成群組, 以視為單一實體 [ ] 方括號字元表示一個字元集合或字元範圍 [ ^ ] 方括號內的插入號 (Carat) 字元會在邏輯上否定指定的集合或範圍, 意即一般表示式將比對集合或範圍以外的任何字元 { } 大括號字元設定前面項目的特定出現次數大括號內的單一值表示只會比對那麼多次由逗號分隔的一對數字代表前面字元的一組有效計數後面跟逗號的單一數字表示沒有上限 do. 的相符項目有 doe dog don dos dot 等字 d.r 則與 deer door 等字相符 do* 的相符項目有 d do doo dooo doooo 等 do+ 的相符項目有 do doo dooo doooo 等, 但不包括 d do?g 的相符項目有 dg 或 dog, 但不包括 doog dooog 等 d(eer)+ 的相符項目有 deer deereer deereereer 等 + 符號會套用至括弧內的子字串, 因此一般表示式會尋找其後跟隨一或多組 eer 的 d d[aeiouy]+ 的相符項目有 da de di do du dy daa dae dai 等 + 符號會套用至方括號內的字元集合, 因此一般表示式會尋找其後跟隨一個或多個屬於集合 [aeioy] 中任何字元的 d d[a-z] 的相符項目有 da db dc 等, 一直類推到 dz 方括號中的集合代表從 A 到 Z 之間所有大寫字母的範圍 d[^aeiouy] 的相符項目有 db dc dd d9 d# 等, 也就是其後跟隨任何除了母音字母以外單一字元的 d da{3} 的相符項目為 daaa, 也就是其後跟隨 3 個且僅出現 3 次 a 的 d da{2,4} 的相符項目為 daa daaa daaaa 和 daaaa ( 但不包括 daaaaa), 也就是其後跟隨出現 2 3 或 4 次 a 的 d da{4,} 的相符項目如 daaaa daaaaa daaaaaa 等, 也就是其後跟隨出現 4 或更多次 a 的 d 6-23

144 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊表 6-7 字元類別 ( 速記法 ) 項目意義範例 \d 任何數字字元, 功能相當於 [0-9] 或 [[:digit:]] \D 任何非數字字元, 功能相當於 [^0-9] 或 [^[:digit:]] \w 任何字組字元 ( 亦即任何英數字元 ) 的功能相當於 [_A-Za-z0-9] 或 [_[:alnum:]] \W 任何非英數字元, 功能相當於 [^_A-Za-z0-9] 或 [^_[:alnum:]] \s 任何空白字元, 空格新行定位鍵 (Tab) 不中斷空格等字元, 功能相當於 [[:space]] \S 任何非空白字元, 除了空格新行定位鍵 (Tab) 不中斷空格等字元, 功能相當於 [^[:space]] \d 的相符項目有等, 但不包括 1b7; 也就是一個或多個的任何數字字元 \D 的相符項目有 a ab ab&, 但不包括 1; 也就是一個或多個除了或 9 以外的任何字元 \w 的相符項目有 a ab a1, 但不包括!&; 也就是一個或多個大寫或小寫字母或數字, 但不包括標點符號或其他特殊字元 \W 的相符項目有 * &, 但不包括 ace 或 a1; 也就是一個或多個除了大寫及小寫字母和數字以外的任何字元 vegetable\s 與其後跟隨任何空白字元的 vegetable 比對相符因此, 類似於 I like a vegetable in my soup 的字句將會觸發一般表示式, 但是 I like vegetables in my soup 則不然 vegetable\s 與其後跟隨任何非空白字元的 vegetable 比對相符因此, 類似於 I like vegetables in my soup 的字句將會觸發一般表示式, 但是 I like a vegetable in my soup 則不然 6-24

145 設定 Microsoft Exchange Server 表 6-8 字元類別項目意義範例 [:alpha:] 任何英文字母字元.REG.[[:alpha:]] 的相符項目有 abc def xxx, 但不包括 123 [:digit:] 任何數字字元 ; 功能相當於 \d.reg.[[:digit:]] 的相符項目有等 [:alnum:] [:space:] 任何字組字元 ; 也就是任何英數字元, 功能相當於 \w 任何空白字元 ; 空格新行定位鍵 (Tab) 不中斷空格等字元, 功能相當於 \s.reg.[[:alnum:]] 的相符項目有 abc 123, 但不包括 ~!@.REG.(vegetable)[[:space:]] 與其後跟隨任何空白字元的 vegetable 比對相符因此, 類似於 I like a vegetable in my soup 的字句將會觸發一般表示式, 但是 I like vegetables in my soup 則不然 [:graph:] 除了空格控制字元等以外的任何字元.REG.[[:graph:]] 的相符項目有 123 abc xxx ><", 但不包括空格或控制字元 [:print:] 任何字元 ( 與 [:graph:] 類似 ) 可包括空格字元.REG.[[:print:]] 的相符項目有 123 abc xxx ><" 和空格字元 [:cntrl:] 任何控制字元 ( 例如 :CTRL + C CTRL + X).REG.[[:cntrl:]] 的相符項目有 0x03 0x08, 但不包括 abc 123!@# [:blank:] 空格和定位字元.REG.[[:blank:]] 與空格和定位字元比對相符, 但不包括 123 abc!@# [:punct:] 標點符號字元.REG.[[:punct:]] 的相符項目有 ; :?! # $ % & *, 等, 但不包括 123 abc [:lower:] 任何小寫字母字元 ( 注意 : 必須先啟動啟動大小寫相符比對, 否則功能如同 [:alnum:]).reg.[[:lower:]] 的相符項目有 abc Def stress Do 等, 但不包括 ABC DEF STRESS DO 123!@# 6-25

146 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊表 6-8 字元類別項目意義範例 [:upper:] [:xdigit:] 任何大寫字母字元 ( 注意 : 必須先啟動啟動大小寫相符比對, 否則功能如同 [:alnum:]) 十六進位數字 (0-9a-fA-F) 中允許的數字.REG.[[:upper:]] 的相符項目有 ABC DEF STRESS DO 等, 但不包括 abc Def Stress Do 123!@#.REG.[[:xdigit:]] 的相符項目有 0a 7E 0f 等表 6-9 模式錨點項目意義範例 ^ 表示字串的開頭 ^(notwithstanding) 與開頭為 notwithstanding 的任何文字段比對相符, 因此字句如 notwithstanding the fact that I like vegetables in my soup 將會觸發一般表示式, 但是 The fact that I like vegetables in my soup notwithstanding 則不然 $ 表示字串的結尾 (notwithstanding)^$ 與結尾為 notwithstanding 的任何文字段比對相符, 因此類似於 notwithstanding the fact that I like vegetables in my soup 的字句將不會觸發一般表示式, 但是 The fact that I like vegetables in my soup notwithstanding 則會觸發 6-26

147 設定 Microsoft Exchange Server 表 6-10 逸出序列和常值字串項目意義範例 \ 用來比對某些在一般表示式中具有特別意義的字元 ( 例如 : + ) (1).REG.C\\C\+\+ 與 C\C++ 比對相符 (2).REG.\* 與 * 比對相符 (3).REG.\? 與? 比對相符 \t 表示定位字元 (stress)\t 與包含其後緊接定位字元 (ASCII 0x09) 的子字串 stress 的任何文字段比對相符 \n 表示新行字元注意 : 不同平台表示新行字元的方式會有差異 Windows 的新行是一對字元, 即歸位字元後面接著換行字元 Unix 和 Linux 的新行只是換行字元, 而 Macintosh 的新行則只是歸位字元 (stress)\n\n 與包含其後緊接兩個新行字元 (ASCII 0x0A) 的子字串 stress 的任何文字段比對相符 \r 表示歸位字元 (stress)\r 與包含其後緊接一個歸位字元 (ASCII 0x0D) 的子字串 stress 的任何文字段比對相符 \b 表示退格字元 OR 代表邊界 (stress)\b 與包含其後緊接一個退格字元 (ASCII 0x08) 的子字串 stress 的任何文字段比對相符 \xhh 表示具有指定十六進位碼 ( 其中的 hh 代表任何兩位數十六進位值 ) 的 ASCII 字元文字邊界 (\b) 會定義為兩個字元間的點, 它的一邊有 \w, 另一邊則有 \W ( 任何順序皆可 ), 當字串的開頭與結尾符合 \W 時即會停止計算虛構的字元 ( 在字元類別內,\b 表示退格字元, 而非文字邊界 ) 例如, 下列的一般表示式會比對社會安全號碼 :.REG.\b\d{3}-\d{2}-\d{4}\b \x7e(\w){6} 與包含前有 ~ ( 波浪號 ) 字元再加上正好 6 個英數字元的字組的任何文字段比對相符因此, 字組 ~ab12cd ~Pa3499 會相符, 但 ~oops 則不符 6-27

148 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊使用複雜的表示式語法關鍵字表示式是由多個 Token 組成, 此為用於比對表示式和內容的最小單位 Token 可以是運算子邏輯符號或運算元, 也就是運算子會在其上作用的引數或值運算子包括.AND..OR..NOT..NEAR..OCCUR..WILD..(. 及.). 運算元和運算子必須以空格分隔運算元可能也會包含數個 Token 如需詳細資訊, 請參閱第 6-19 頁的關鍵字一般表示式範例下列範例說明社會安全碼內容過濾器 ( 其中一個預設過濾器 ) 的運作方式 : [Format].REG.\b\d{3}-\d{2}-\d{4}\b 上述表示式會使用 \b ( 退格字元 ), 其後緊接著 \d ( 任何數字 ), 然後接著 {x} ( 表示數字位數 ), 最後是 - ( 表示連字號 ) 此表示式與社會安全碼比對相符下表說明會比對一般表示式範例的字串 : 表 6-11 符合社會安全一般表示式的數字.REG.\b\d{3}-\d{2}-\d{4}\b 符合不符合不符合不符合不符合如果您對表示式進行如下修改 : [Format].REG.\b\d{3}\x20\d{2}\x20\d{4}\b 新的表示式會比對下列順序 :

設定 Microsoft Exchange Server 中毒處理行動內容過濾期間, 如果電子郵件符合某規則, 即會設定下列任一處理行動 : 以文字 / 檔案取代以文字檔取代過濾的內容您無法取代寄件人收件人副本或主旨等欄位中的文字隔離整個郵件將整個郵件移至隔離目錄隔離郵件部分僅將過濾的內容移至隔離目錄進行隔離, 收件人會收到不含此內容的郵件刪除整封郵件刪除整個電子郵件

149 設定 Microsoft Exchange Server 中毒處理行動內容過濾期間, 如果電子郵件符合某規則, 即會設定下列任一處理行動 : 以文字 / 檔案取代以文字檔取代過濾的內容您無法取代寄件人收件人副本或主旨等欄位中的文字隔離整個郵件將整個郵件移至隔離目錄隔離郵件部分僅將過濾的內容移至隔離目錄進行隔離, 收件人會收到不含此內容的郵件刪除整封郵件刪除整個電子郵件封存將郵件移至封存目錄, 並將郵件傳送給原始收件人暫不處理依現狀傳送郵件注意 : 手動掃瞄或預約掃瞄期間無法使用隔離處理行動檢視內容過濾規則 Messaging Security Agent (MSA) 會在內容過濾畫面上顯示所有內容過濾規則瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 內容過濾圖 6-4 內容過濾畫面 6-29

150 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊此畫面將顯示下列規則的摘要資訊 : 規則處理行動 MSA 會在偵測到不想要的內容時執行此處理行動優先順序 MSA 將根據本頁顯示的順序依序套用各個過濾啟動表示已啟動的規則, 而表示關閉的規則系統管理員可以從此處 : 啟動 / 關閉內容過濾規則選取啟動即時內容過濾, 然後按一下儲存這會啟動或關閉所有規則如果要啟動或關閉個別規則, 可按一下或, 以切換規則的狀態新增 / 編輯規則請參閱第 6-30 頁的新增 / 編輯內容過濾規則重新排列規則順序請參閱第 6-32 頁的重新排列規則順序移除值選取要刪除的規則, 然後按一下移除回存預設規則這會移除目前的所有規則, 並回存預設規則按一下回存預設值新增 / 編輯內容過濾規則為了建立內容過濾規則, 您將會採行一連串的步驟規則建立完成後, Messaging Security Agent (MSA) 會開始根據此規則過濾所有入站和出站郵件您可以建立規則, 以執行下列作業 : 過濾符合任何定義條件的郵件這種規則類型能夠在掃瞄期間過濾任何郵件的內容過濾符合所有定義條件的郵件這種規則類型能夠在掃瞄期間過濾任何郵件的內容監控特定電子郵件帳號的郵件內容這種規則類型可監控特定電子郵件帳號的郵件內容監控規則與一般內容過濾規則類似, 但是只會過濾指定電子郵件帳號的內容排除特定的電子郵件帳號這種規則類型可排除特定的電子郵件帳號當您排除特定的電子郵件帳號時, 該帳號就不會因為違反內容規則而遭到過濾瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 內容過濾 > 新增 / 編輯規則 6-30

151 設定 Microsoft Exchange Server 如果要建立 / 編輯規則 : 1. 從內容過濾畫面, 按一下新增如果要編輯規則, 可按一下規則名稱 2. 選取規則類型, 然後按一下下一步過濾符合任何定義條件的郵件 i. 為規則命名 ii. 設定掃瞄條件 iii. 新增關鍵字包含同義字和 ( 或 ) 區分大小寫的條件 iv. 在符合條件的郵件上設定處理行動設定要通知的人員封存郵件和 ( 或 ) 設定取代文字或字串過濾符合所有定義條件的郵件 i. 為規則命名 ii. 設定掃瞄條件 iii. 在符合條件的郵件上設定處理行動設定要通知的人員封存郵件和 ( 或 ) 設定取代文字或字串監控特定電子郵件帳號的郵件內容 i. 為規則命名 ii. 設定要監控的帳號 iii. 設定掃瞄條件 iv. 新增關鍵字包含同義字和 ( 或 ) 區分大小寫的條件 v. 在符合條件的郵件上設定處理行動設定要通知的人員封存郵件和 ( 或 ) 設定取代文字或字串建立電子郵件帳號的例外清單 i. 為規則命名 ii. 設定要排除的帳號注意 :Messaging Security Agent 不會將優先順序低於這個規則的內容規則, 套用到此清單中的電子郵件帳號 3. 按一下完成 6-31

152 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊重新排列規則順序 MSA 會根據內容過濾畫面中顯示的順序, 將內容過濾規則套用到電子郵件設定規則的套用順序 MSA 會根據每個規則過濾電子郵件, 直到內容違事件觸發處理行動 ( 例如 : 刪除或隔離 ) 而使掃瞄停止變更這些規則的順序, 以便將內容過濾最佳化瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 內容過濾 > 如果要變更內容過濾規則的順序 : 1. 從內容過濾畫面, 選取對應至您要變更其順序之規則的核取方塊 2. 按一下重新排列順序規則的順序編號旁會出現一個方塊 3. 在方塊中輸入新的順序編號規則的順序編號會變更為您輸入的編號, 其他所有規則的順序編號也會隨著變更附件封鎖例如, 如果您選取規則編號 5, 並將其變更為規則編號 3, 則規則編號 1 和 2 會維持不變, 而規則編號 3 和更大的編號會增加一個編號附件封鎖可防止將電子郵件中的附件傳送至 Microsoft Exchange 資訊儲存區設定 Messaging Security Agent, 以根據附件類型或附件名稱封鎖附件, 然後取代隔離或刪除其附件符合條件的所有郵件在即時掃瞄手動掃瞄和預約掃瞄期間都可以進行封鎖, 但是刪除和隔離處理行動不適用於手動掃瞄和預約掃瞄附件的副檔名可以識別檔案類型, 例如 :.txt.exe 或.dll 不過,Messaging Security Agent 是透過檢查檔案標頭 ( 而不是檔名 ) 的方式來確認實際的檔案類型許多病毒 / 惡意程式會與某些檔案類型有密切的關聯將 Messaging Security Agent 設定成依據檔案類型進行封鎖, 可以降低這些檔案類型對 Microsoft Exchange Server 造成的風險同樣地, 特定的攻擊通常也會與特定的檔名有密切關聯秘訣 : 運用封鎖是控制病毒爆發的有效方法您可以暫時隔離所有高風險的檔案類型, 或與已知病毒 / 惡意程式關聯的特定名稱檔案稍後, 等您有充裕的時間再來檢查隔離資料夾, 並且對中毒檔案執行中毒處理行動 6-32

153 設定 Microsoft Exchange Server 選取封鎖目標運用兩種一般性策略封鎖附件 : 封鎖所有附件然後排除指定的附件, 或者指定所有要封鎖的附件所有附件 Messaging Security Agent 可以封鎖所有含有附件的電子郵件, 不過, 這種類型的掃瞄會耗用大量處理資源選取不要封鎖的附件類型或名稱可以改善這種類型的掃瞄指定的附件如果選取這種類型的掃瞄,Messaging Security Agent 就會只掃瞄含有指定附件的電子郵件這種類型的掃瞄具有高度排除性, 適合用來偵測其附件可能感染安全威脅的電子郵件如果您指定的附件名稱或類型數量不多, 這種掃瞄執行起來會非常快速您可以依據下列方式封鎖附件 : 特定名稱依預設,Messaging Security Agent 是透過檢查檔案標頭 ( 不是檔名 ) 的方式來確認實際的檔案類型如果將附件封鎖設定成掃瞄特定名稱,Messaging Security Agent 會依據這些名稱來偵測附件類型附件類型 Messaging Security Agent 會透過檢查檔案標頭 ( 不是檔名 ) 的方式來確認實際的檔案類型附件封鎖處理行動您可以設定 Messaging Security Agent 對偵測到感染安全威脅的電子郵件執行處理行動下表所列的是 Messaging Security Agent 可以執行的處理行動表 6-12 附件封鎖處理行動處理行動以文字 / 檔案取代說明 Messaging Security Agent 會刪除附件並用文字檔案取代它電子郵件會傳送給目標收件人, 但是文字取代部分會告知收件人, 原始內容已中毒而且已被取代隔離整個郵件將含有附件的電子郵件移到限制存取的資料夾手動掃瞄或預約掃瞄中沒有這個處理行動隔離郵件部分刪除整封郵件僅將過濾的內容移至隔離目錄進行隔離, 收件人會收到不含此內容的郵件在即時掃瞄期間,Messaging Security Agent 會刪除整個電子郵件 6-33

154 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊設定附件封鎖設定要封鎖的附件, 並指定對已封鎖郵件的處理行動瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 附件封鎖圖 6-5 附件封鎖畫面如果要封鎖附件 : 1. 從附件封鎖畫面上的目標標籤, 視需要更新下列項目 : 所有附件不掃瞄的附件類型不掃瞄的附件名稱特定附件附件類型附件名稱掃瞄 ZIP 檔案內的附件類型或附件名稱 2. 從處理行動標籤, 視需要更新下列項目 : 處理行動選取處理行動如需相關資訊, 請參閱第 6-33 頁的表 6-12 通知設定要通知有關此限制的人員可視需要來排除外部收件人或寄件人 6-34

155 設定 Microsoft Exchange Server 取代設定針對取代文字設定文字和檔案如果處理行動是以文字或檔案取代,Worry-Free Business Security Advanced 將會以此文字字串和檔案取代安全威脅 3. 按一下儲存隔離當 Messaging Security Agent 在電子郵件中偵測到安全威脅垃圾郵件限制的附件和 ( 或 ) 限制的內容, 代理程式即會將該郵件移至隔離資料夾此處理程序可做為刪除郵件 / 附件的替代項目, 並防止使用者開啟中毒的郵件和散播安全威脅 Message Security Agent 上的預設隔離資料夾為 : C:\Program Files\Trend Micro\Messaging Security Client\ storage\quarantine 為了進一步增強安全, 會將隔離檔案加密如果要開啟加密的檔案, 可使用回存加密檔案 (VSEncode.exe) 工具如需關於還原 MSA 所加密的檔案的詳資訊, 請參閱第 14-8 頁的還原加密檔案系統管理員可以查詢隔離資料庫, 取得有關被隔離的郵件的資訊請參閱第 6-38 頁的查詢隔離目錄使用隔離 : 減少重要郵件遭到永久刪除的機會 ( 遭到嚴格的過濾程式誤判時 ) 檢視觸發內容過濾的郵件以判斷違反策略的嚴重性保留員工可能不當使用公司郵件系統的證據注意 : 不要將隔離資料夾與使用者的垃圾郵件資料夾混為一談隔離資料夾是一種檔案式的資料夾每當 Messaging Security Agent 隔離電子郵件時, 會隔離的郵件傳送到隔離資料夾使用者的垃圾郵件資料夾位於每位使用者信箱的資訊儲存區中終端使用者的垃圾郵件資料夾只接受垃圾郵件防護隔離至使用者垃圾郵件資料夾所產生的電子郵件, 而不會隔離因內容過濾防毒 / 間諜程式防護或附件封鎖策略而產生的處理行動 6-35

156 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊隔離目錄 Messaging Security Agent 會依據設定的處理行動來隔離電子郵件為每一項處理行動建立一個隔離資料夾 Worry-Free Business Security Advanced 中有四個隔離目錄, 分別為 : 防毒隔離包含病毒 / 惡意程式間諜程式 / 可能的資安威脅程式電腦蠕蟲特洛伊木馬程式及其他惡意安全威脅的電子郵件垃圾郵件防護隔離垃圾郵件和網路釣魚電子郵件附件封鎖隔離包含限制附件的電子郵件內容過濾隔離包含限制內容的電子郵件設定隔離目錄設定 Microsoft Exchange Server 上的隔離目錄將不會掃瞄隔離目錄注意 : 隔離目錄是檔案式的目錄, 沒有位於資訊儲存區中 6-36

157 設定 Microsoft Exchange Server 瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 隔離 > 目錄圖 6-6 隔離目錄畫面設定隔離目錄 1. 從隔離目錄畫面, 設定下列隔離資料夾的目錄路徑 : 防毒垃圾郵件防護內容過濾附件封鎖如需詳細資訊, 請參閱第 6-36 頁的隔離目錄 2. 按一下儲存 6-37

158 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊查詢隔離目錄如果要檢視隔離郵件的相關資訊, 請查詢隔離目錄瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 隔離 > 查詢圖 6-7 隔離查詢畫面如果要查詢隔離目錄 : 1. 從隔離查詢畫面, 視需要更新下列項目 : 日期 / 時間範圍開始日期與時間結束日期與時間隔離原因所有原因指定的類型從病毒掃瞄垃圾郵件防護內容過濾附件封鎖和 ( 或 ) 無法掃瞄的郵件部分進行選取 6-38

設定 Microsoft Exchange Server 重新傳送狀態未曾重新傳送至少重新傳送過一次以上皆是進階條件寄件人來自特定寄件人的郵件如果需要, 可使用萬用字元收件人來自特定收件人的郵件如果需要, 可使用萬用字元主旨含特定主旨的郵件如果需要, 可使用萬用字元排序依據設定結果頁面的排序條件顯示每頁顯示的結果數 2.

159 設定 Microsoft Exchange Server 重新傳送狀態未曾重新傳送至少重新傳送過一次以上皆是進階條件寄件人來自特定寄件人的郵件如果需要, 可使用萬用字元收件人來自特定收件人的郵件如果需要, 可使用萬用字元主旨含特定主旨的郵件如果需要, 可使用萬用字元排序依據設定結果頁面的排序條件顯示每頁顯示的結果數 2. 按一下搜尋如需詳細資訊, 請參閱第 6-39 頁的隔離的郵件隔離的郵件執行查詢之後, 檢視郵件的詳細資訊, 並判斷其安全如果您覺得郵件處於安全狀態, 即可將該郵件重新傳送給原始收件人如果覺得不妥, 即可刪郵件如果要執行查詢, 請參閱第 6-38 頁的查詢隔離目錄警告! 隔離資料夾包含具有高中毒風險的電子郵件處理來自隔離資料夾的電子郵件時請務必小心, 以免無意間感染了用戶端圖 6-8 隔離查詢結果畫面 6-39

160 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊隔離查詢結果畫面會顯示下列郵件資訊 : 掃瞄時間寄件人收件人主旨原因隔離電子郵件的原因檔案名稱電子郵件中封鎖的檔案名稱隔離路徑電子郵件的隔離位置系統管理員可以使用 VSEncoder.exe ( 第 14-8 頁的還原加密檔案 ), 將檔案解密, 並將其重新命名為.eml 以進行檢視警告! 檢視中毒檔案可能會散播病毒重新傳送狀態如果要重新傳送隔離的郵件 : 從隔離查詢結果畫面, 選取郵件, 然後按一下郵件會重新傳送給原始收件人注意 : 如果重新傳送原先使用 Microsoft Outlook 傳送的被隔離郵件, 則收件人可能會收到數封相同的郵件這可能是因為病毒掃瞄引擎會將每一封它掃瞄過數個區段的郵件加以去除如果要刪除隔離的郵件 : 選取郵件, 然後按一下秘訣 : 設定 Worry-Free Business Security Advanced 定期刪除隔離的郵件如需詳細資訊, 請參閱第 6-41 頁的維護隔離的目錄 6-40

設定 Microsoft Exchange Server 維護隔離的目錄使用此功能, 手動或自動刪除隔離的郵件此功能可以刪除所有郵件已重新傳送的郵件尚未重新傳送的郵件瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 隔離 > 維護圖 6-9 隔離維護畫面如果要維護隔離目錄 : 1.

161 設定 Microsoft Exchange Server 維護隔離的目錄使用此功能, 手動或自動刪除隔離的郵件此功能可以刪除所有郵件已重新傳送的郵件尚未重新傳送的郵件瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 隔離 > 維護圖 6-9 隔離維護畫面如果要維護隔離目錄 : 1. 從隔離維護畫面, 視需要更新下列項目 : 啟動自動維護僅可用於自動維護要刪除的檔案所有隔離的檔案未曾重新傳送的隔離檔案至少重新傳送過一次的隔離檔案處理行動郵件應儲存的天數例如, 如果日期為 11 月 21 日, 當您在刪除超過此天數的選取檔案欄位中輸入 10 時,Messaging Security Agent 會在執行自動刪除時, 刪除所有早於 11 月 11 日的檔案 2. 按一下儲存 6-41

162 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊管理終端使用者垃圾郵件隔離 (EUQ) 工具在安裝期間,Messaging Security Agent 會在每位終端使用者的伺服器端信箱中新增一個資料夾 ( 垃圾郵件 ) 收到垃圾郵件時, 系統會依據 Messaging Security Agent 預先定義的垃圾郵件過濾規則將它們隔離在這個資料夾中使用者可以檢視此垃圾郵件資料夾, 開啟讀取或刪除可疑的電子郵件請參閱第 6-43 頁的設定垃圾郵件資料夾終端使用者可以開啟隔離在垃圾郵件資料夾中的電子郵件當他們開啟其中一封郵件時, 在實際的電子郵件中會出現兩個按鈕 : 核可的寄件人和檢視核可的寄件人清單當使用者按一下核可的寄件人時,Messaging Security Agent 會將郵件從該寄件人移至其收件匣, 並將郵件的地址新增至其個人的核可的寄件人清單按一下檢視核可的寄件人清單會開啟另一個畫面, 讓終端使用者依據 SMTP 電子郵件信箱或網域檢視及修改他們的核可的寄件人清單如果 Microsoft Exchange Server 收到的郵件是來自終端使用者核可的寄件人清單上的信箱, 則不管郵件的標題或內容為何, 它都會將郵件傳送到使用者的收件匣注意 :Worry-Free Business Security Advanced 也為系統管理員提供了核可的寄件人和封鎖的寄件人清單 Messaging Security Agent 會先套用系統管理員的核可的寄件人和封鎖的寄件人, 然後再考慮終端使用者的清單終端使用者垃圾郵件隔離 (EUQ) 內部管理功能 Messaging Security Agent 內部管理功能, 會每隔 24 小時在預設的時間 ( 上午 2:30) 執行下列任務 : 自動刪除到期的垃圾郵件在刪除垃圾郵件資料夾之後重新予以建立為新建立的郵件帳號建立垃圾郵件資料夾維護電子郵件規則內部管理功能是 Messaging Security Agent 整合的一部分, 而且不需要組態 6-42

163 設定 Microsoft Exchange Server 設定垃圾郵件資料夾按一下作業 > 垃圾郵件維護就可以開啟垃圾郵件維護畫面因為 Messaging Security Agent 是根據 ID 來識別資料夾, 而不是根據資料夾名稱, 所以終端使用者可以重新命名垃圾郵件資料夾 ( 透過 Microsoft Outlook) 而不產生任何後續結果您可以從這個畫面設定下列功能 : 關閉終端使用者垃圾郵件隔離 (EUQ) 工具不勾選啟動終端使用者垃圾郵件隔離 (EUQ) 工具會關閉所有信箱的終端使用者垃圾郵件隔離 (EUQ) 工具為一或多位個別使用者關閉終端使用者垃圾郵件隔離 (EUQ) 工具這會針對您新增至終端使用者垃圾郵件隔離 (EUQ) 工具例外清單的每位使用者, 關閉終端使用者垃圾郵件隔離 (EUQ) 工具建立新的垃圾郵件資料夾為所有新增到已安裝終端使用者垃圾郵件隔離 (EUQ) 工具的 Microsoft Exchange Server 上的使用者, 建立一個新的垃圾郵件資料夾修改 Messaging Security Agent 保留垃圾郵件的天數如需有關終端使用者垃圾郵件隔離 (EUQ) 工具的詳細資訊, 請參閱第 6-44 頁的作業如果要建立垃圾郵件資料夾 : 1. 按一下作業 > 垃圾郵件維護 2. 選取啟動終端使用者垃圾郵件隔離 (EUQ) 工具 3. 按一下建立垃圾郵件資料夾並刪除垃圾郵件 4. 按一下儲存如果要重設儲存時間限制 : 1. 按一下作業 > 垃圾郵件維護 2. 在刪除超過此天數的垃圾郵件 : 旁邊的欄位中輸入您要 Messaging Security Agent 保留垃圾郵件的天數 ( 預設值是 14 天, 最大的時間限制為 30 天 ) 3. 按一下儲存 6-43

164 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要關閉個別終端使用者的 EUQ 垃圾郵件資料夾 : 1. 按一下作業 > 垃圾郵件維護 2. 在終端使用者垃圾郵件隔離 (EUQ) 工具例外清單下, 輸入您要為其關閉 EUQ 的終端使用者的電子郵件信箱 3. 按一下新增, 終端使用者的電子郵件信箱就會新增到 EUQ 已關閉的信箱清單中 4. 如果要從清單移除終端使用者並且回存 EUQ 服務, 請從清單選取該終端使用者的電子郵件信箱, 然後按一下刪除 5. 按一下儲存作業安裝期間,Messaging Security Agent 會在每位終端使用者的伺服器端信箱中新增一個資料夾 ( 垃圾郵件 ) 當垃圾郵件送達時, 系統會根據 Messaging Security Agent 預先定義的垃圾郵件過濾規則, 將垃圾郵件隔離在此資料夾中使用者可以檢視此垃圾郵件資料夾, 開啟讀取或刪除可疑的電子郵件或者, 系統管理員可以在 Microsoft Exchange 上建立垃圾郵件資料夾當系統管理員建立信箱帳號時, 並不會立即在 Microsoft Exchange Server 中建立信箱項目, 但是在下列情況下會建立 : 終端使用者第一次登入他的信箱時第一封電子郵件送達該信箱時系統管理員必須在 EUQ 建立垃圾郵件資料夾之前, 先建立信箱項目終端使用者可以開啟隔離在垃圾郵件資料夾中的電子郵件當他們開啟其中一封郵件時, 在電子郵件中會出現兩個按鈕 : 核可的寄件人和檢視核可的寄件人清單當使用者按一下核可的寄件人時,Messaging Security Agent 會將來自垃圾郵件資料夾的郵件移動到他們的本機收件匣將該郵件的信箱加入他們個人的核可的寄件人清單中並記錄事件項目 ( 系統管理員日後可以在報告中檢視此記錄檔 ) 按一下檢視核可的寄件人清單會開啟另一個畫面, 讓終端使用者依據 SMTP 電子郵件信箱或網域檢視及修改他們的核可的寄件人清單如果 Microsoft Exchange Server 收到的郵件是來自終端使用者核可的寄件人清單上的信箱, 則不管郵件的標題或內容為何, 它都會將郵件傳送到使用者的收件匣 6-44

165 設定 Microsoft Exchange Server 通知設定 Worry-Free Business Security Advanced 可以利用電子郵件形式, 為不同的警訊傳送通知某些通知可設定為僅套用至內部電子郵件定義電子郵件信箱或網域, 將其視為內部地址如果貴公司有兩個以上的網域, 而您想將來自這兩個網域的電子郵件視為內部電子郵件, 則自訂內部電子郵件定義會非常有用例如 :example.com 和 example.net 瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 作業 > 通知設定圖 6-10 通知設定畫面如果要設定通知設定 : 1. 從通知設定畫面, 視需要更新下列項目 : 電子郵件信箱代表 Worry-Free Business Security Advanced 的信箱將傳送通知訊息內部電子郵件定義預設 Worry-Free Business Security Advanced 會將來自相同網域的電子郵件視為內部電子郵件自訂指定要視為內部電子郵件的個別電子郵件信箱或網域 2. 按一下儲存 6-45

166 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊垃圾郵件維護垃圾郵件維護畫面會顯示垃圾郵件資料夾的名稱終端使用者垃圾郵件隔離 (EUQ) 工具保留垃圾郵件的天數終端使用者可以使用 Microsoft Outlook 重新命名垃圾郵件資料夾 Worry-Free Business Security Advanced 是根據 ID 來識別資料夾, 而不是根據資料夾名稱注意 : 終端使用者垃圾郵件隔離 (EUQ) 僅可用於 Microsoft Exchange 2000 和 2003 瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 作業 > 垃圾郵件維護圖 6-11 垃圾郵件維護畫面 6-46

167 設定 Microsoft Exchange Server 如果要維護垃圾郵件 : 1. 從垃圾郵件維護畫面, 視需要更新下列項目 : 啟動終端使用者垃圾郵件隔離工具會為您 Exchange Server 上的所有信箱建立終端使用者垃圾郵件隔離工具秘訣 : 如果您選取此選項, 趨勢科技建議您關閉代理程式上的趨勢科技垃圾郵件防護工具列選項, 以提升用戶端的效能請參閱第 5-22 頁的 POP3 郵件掃瞄注意 : 您必須啟動 EUQ 工具, 垃圾郵件 > 隔離郵件到使用者的垃圾郵件資料夾處理行動才能開始運作建立垃圾郵件資料夾並刪除垃圾郵件為所有新增到已安裝終端使用者垃圾郵件隔離 (EUQ) 工具的 Exchange Server 上的使用者, 建立一個新的垃圾郵件資料夾按一下建立垃圾郵件資料夾並刪除垃圾郵件, 可立即為新使用者建立垃圾郵件資料夾刪除超過此天數的垃圾郵件指定在刪除郵件之前要保留垃圾郵件的天數終端使用者垃圾郵件隔離 (EUQ) 工具例外清單此清單中的電子郵件信箱並未啟動終端使用者垃圾郵件隔離如果要新增電子郵件信箱, 請輸入電子郵件信箱, 然後按一下新增如果要刪除現有的電子郵件信箱, 可選取該信箱, 然後按一下刪除 2. 按一下儲存趨勢技術支援 / 偵錯工具 Messaging Security Agent 偵錯工具可以協助您偵錯或僅報告 Messaging Security Agent 處理程序的狀態當您遭遇未預期的困難時, 您可以使用偵錯工具來建立偵錯工具報告, 將它們傳送到趨勢科技客服部門以進行分析每個 Messaging Security 模組會將訊息插入到程式, 然後在執行時將處理行動記錄到記錄檔中您可以將這些記錄檔轉寄給趨勢科技的客服人員, 協助偵錯您環境中的實際程式流程 6-47

168 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊使用偵錯工具產生下列模組的記錄檔 : Messaging Security Agent 主服務 Messaging Security Agent 遠端組態伺服器 Messaging Security Agent 系統監視程式病毒掃瞄引擎 (VSAPI) 簡易郵件傳輸通訊協定 (SMTP) 通用閘道介面 (CGI) 終端使用者垃圾郵件隔離 (EUQ) 依預設,Messaging Security Agent 會在下列目錄中保存記錄檔 : c:\program Files\Trend Micro\Messaging Security Agent\Debug 利用任何文字編輯器檢視輸出產生系統偵錯工具報告產生偵錯工具報告, 以協助趨勢科技客戶服務部門進行問題的疑難排解如果要使用偵錯工具產生報告 : 瀏覽路徑 : 安全設定 > 選取 Microsoft Exchange Server > 設定 > 作業 > 趨勢技術支援 / 偵錯工具圖 6-12 趨勢技術支援 / 系統偵錯工具畫面 6-48

169 設定 Microsoft Exchange Server 1. 從趨勢技術支援 / 系統偵錯工具畫面, 選取要監控的模組 : Messaging Security Agent 主服務 Messaging Security Agent 遠端組態伺服器 Messaging Security Agent 系統監視程式病毒掃瞄引擎 (VSAPI) 簡易郵件傳輸通訊協定 (SMTP) 通用閘道介面 (CGI) 如需每個模組的相關資訊, 請參閱第 6-47 頁的趨勢技術支援 / 偵錯工具 2. 按一下套用偵錯工具會開始收集選取模組的資料注意 :Messaging Security Agent 偵錯工具會持續收集偵錯資料, 直到您不勾選所有標示為偵錯的項目並按一下套用 6-49

170 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 6-50

171 第 7 章使用疫情爆發防範本章說明疫情爆發防範策略如何設定疫情爆發防範, 以及如何用它來保護網路和用戶端本章討論下列主題 : 第 7-2 頁的疫情爆發防範策略第 7-3 頁的目前狀態第 7-9 頁的潛在的安全威脅第 7-11 頁的設定疫情爆發防範 7-1

172 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊疫情爆發防範策略疫情爆發防範是 Worry-Free Business Security Advanced 解決方案的重要元件, 可在安全威脅疫情爆發於全球各地之際保護您的企業疫情爆發防範策略是以 Internet 疫情爆發生命週期的概念為基礎疫情爆發的持續期間分成三個階段 - 安全威脅防範安全威脅防護和安全威脅清除趨勢科技的防範策略疫情爆發防範對於每個階段都有因應之道表 7-1 疫情爆發防範會針對疫情爆發的生命週期階段做出回應疫情爆發階段在疫情爆發週期的第一個階段, 趨勢科技的病毒專家會觀察在 Internet 上活動的安全威脅此時, 對於此安全威脅尚無解決方案在疫情爆發的下一個階段, 已經受安全威脅影響的電腦會將該安全威脅傳送給其他電腦透過區域網路, 該安全威脅開始快速散播, 造成業務中斷並損壞電腦在疫情爆發的第三個階段和最後一個階段, 該安全威脅所引起的中毒事件報告會越來越少安全威脅防範疫情爆發防範階段疫情爆發防範會根據從趨勢科技更新伺服器下載的疫情爆發防範策略執行處理行動, 防止安全威脅攻擊您的電腦和網路這些處理行動包括傳送警訊封鎖通訊埠, 以及拒絕存取資料夾和檔案安全威脅防護疫情爆發防範會通知有危險的電腦下載最新的元件和修補程式, 以保護它們安全威脅清除疫情爆發防範會藉由執行清除服務來修復損害其他掃瞄會提供資訊, 以供系統管理員為日後的安全威脅做準備疫情爆發防範的處理行動疫情爆發防範策略是為了能夠在疫情爆發生命週期中, 隨時管理疫情爆發所設計的根據疫情爆發防範策略, 自動安全威脅回應通常會預設下列步驟 : 封鎖共享資料夾, 防止共享資料夾中的檔案受到病毒 / 惡意程式感染封鎖 Microsoft Exchange Server 上具有特定副檔名的檔案將內容過濾規則新增至 Messaging Security Agent 封鎖通訊埠, 防止病毒 / 惡意程式利用易受攻擊的通訊埠將感染範圍擴及網路和用戶端 7-2

173 使用疫情爆發防範注意 : 疫情爆發防範絕對不會封鎖 Security Server 用來與用戶端通訊的通訊埠拒絕寫入檔案和資料夾, 以防止病毒 / 惡意程式修改檔案評估網路上的用戶端是否有易受目前安全威脅攻擊的弱點部署最新的元件, 例如 : 病毒碼檔案和病毒清除引擎在受到疫情爆發影響的所有用戶端上執行清除如果啟動, 便會掃瞄您的用戶端和網路, 並且針對偵測到的安全威脅執行處理行動目前狀態瀏覽路徑 : 疫情爆發防範 > 目前狀態 Web 主控台會在目前狀態畫面中顯示並追蹤全球病毒 / 惡意程式爆發威脅狀態會大略對應至疫情爆發的生命週期在疫情爆發期間, 疫情爆發防範會使用疫情爆發防範策略保護您的電腦和網路在各個階段, 疫情爆發防範會重新整理目前狀態頁面中的資訊疫情爆發防範的三個階段 : 安全威脅防範安全威脅防護 7-3

174 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊安全威脅清除圖 7-1 疫情爆發防範畫面 - 沒有安全威脅 7-4

使用疫情爆發防範安全威脅防範目前狀態畫面的安全威脅防範階段會顯示的資訊包括 : 最近的安全威脅已啟動警訊的用戶端以及容易遭受目前安全威脅攻擊的用戶端圖 7-2 疫情爆發防範畫面 - 安全威脅防範階段安全威脅資訊安全威脅資訊區段會顯示目前存在 Internet 上,

175 使用疫情爆發防範安全威脅防範目前狀態畫面的安全威脅防範階段會顯示的資訊包括 : 最近的安全威脅已啟動警訊的用戶端以及容易遭受目前安全威脅攻擊的用戶端圖 7-2 疫情爆發防範畫面 - 安全威脅防範階段安全威脅資訊安全威脅資訊區段會顯示目前存在 Internet 上, 以及可能會影響您的網路和用戶端的病毒 / 惡意程式資訊基於安全威脅資訊, 疫情爆發防範策略會在趨勢科技開發解決方案時採取步驟來保護您的網路和用戶端 ( 請參閱第 C-2 頁的趨勢科技疫情爆發防範策略 ) 如需進一步瞭解此安全威脅, 請按一下說明 > 安全資訊, 將瀏覽器重新導向至趨勢科技網站 7-5

176 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊本節提供下列資訊 : 風險等級 : 根據病毒 / 惡意程式事件的數目和嚴重性, 訂定此安全威脅會對用戶端和網路造成的風險等級自動回應詳細資訊 : 按一下此選項可檢視疫情爆發防範用來保護用戶端不受目前安全威脅攻擊的特定處理行動按一下關閉, 可從伺服器端和代理程式停止自動回應注意 : 關閉疫情爆發防範之後, 趨勢科技建議您執行立即清除, 以協助用戶端移除特洛伊木馬程式, 以及其他執行中與特洛伊木馬程式或其他類型的惡意程式碼相關的處理程序 ( 請參閱第 7-10 頁的需要清除的電腦 ) 線上電腦的警訊狀態線上電腦的警訊狀態顯示已啟動和未啟動自動警訊的用戶端總數按一下已啟動和未啟動欄位下的編號連結, 檢視有關特定用戶端的詳細資訊具有弱點的電腦具有弱點的電腦區段顯示具有弱點的用戶端清單, 這些用戶端很容易受到安全威脅資訊區段中所顯示的安全威脅的影響 7-6

177 使用疫情爆發防範安全威脅防護目前狀態畫面的安全威脅防範階段可針對與趨勢科技更新元件有關的解決方案的下載狀態以及與所有代理程式有關的解決方案的部署狀態, 提供相關的資訊圖 7-3 疫情爆發防範畫面 - 防護階段解決方案的下載狀態顯示需要更新, 以便用來回應安全威脅資訊區段中所列出的安全威脅的元件清單解決方案的部署狀態顯示擁有更新和過期元件的代理程式數目其中也會提供相關連結, 讓使用者檢視具有更新或過期元件的用戶端 7-7

178 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊安全威脅清除目前狀態畫面的安全威脅清除階段會顯示部署更新元件之後所進行的掃瞄狀態安全威脅清除階段也會顯示掃瞄之後的用戶端狀態, 並列出更新檔是否已成功地清除或移除殘留的安全威脅圖 7-4 疫情爆發防範畫面 - 清除階段注意 : 如果要在部署新元件之後自動進行掃瞄, 必須在疫情爆發防範 > 設定畫面中啟動電腦掃瞄狀態按一下連結可顯示已收到掃瞄安全威脅的通知, 或尚未收到通知的用戶端清單尚未開啟或網路連線已中斷的用戶端, 將無法收到通知電腦清除狀態此窗格會顯示清除的掃瞄結果按一下匯出可匯出這項資訊 7-8

179 使用疫情爆發防範潛在的安全威脅瀏覽路徑 : 疫情爆發防範 > 潛在的安全威脅潛在的安全威脅畫面會顯示用戶端和網路安全威脅的相關資訊 Security Server 會執行弱點評估和清除, 以便收集安全威脅的資訊圖 7-5 潛在的安全威脅畫面和僅顯示有關目前安全威脅資訊的目前安全威脅畫面不同的是, 潛在的安全威脅畫面會顯示用戶端和網路上所有尚未解決的安全威脅相關資訊具有弱點的電腦具有弱點的電腦是作業系統或應用程式中有缺點的電腦許多安全威脅會利用這些弱點, 造成損害或取得未經授權的控制權因此, 弱點不僅代表所在的個別電腦的風險, 也代表您網路上其他電腦的風險具有弱點的電腦區段會列出自上一次弱點評估後, 發現在您網路上具有弱點的所有用戶端您可以在畫面的右上角檢視上次更新時間潛在的安全威脅畫面會根據用戶端對網路造成的風險等級, 將用戶端排名風險等級是由趨勢科技計算, 代表每一個用戶端弱點的相對排名和嚴重性 7-9

180 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊當您按一下立即掃瞄弱點時,Worry-Free Business Security Advanced 便會執行弱點評估弱點評估會檢查您網路上所有用戶端的弱點, 並將結果顯示在潛在的安全威脅畫面中弱點評估可提供下列有關網路上用戶端的資訊 : 根據標準的命名慣例辨識弱點按一下弱點名稱, 即可看到該弱點的相關資訊和解決方法依照用戶端和 IP 位址顯示弱點顯示的結果包括弱點對用戶端和整個網路所造成的風險等級報告弱點針對個別用戶端報告弱點, 並描述這些用戶端對整體網路所造成的安全威脅如需詳細資訊, 請參閱第 C-3 頁的趨勢科技弱點評估需要清除的電腦每當代理程式執行防毒掃瞄時, 會在背景中執行清除您不需設定預約清除掃瞄 Client/Server Security Agent 使用清除保護代理程式避免受到特洛伊木馬程式的攻擊為處理特洛伊木馬程式和其他病毒 / 惡意程式所帶來的威脅和侵擾, 清除會使用下列項目, 完成這些工作 : 偵測並移除活動的特洛伊木馬程式和其他病毒 / 惡意應用程式終結特洛伊木馬程式和其他病毒 / 惡意應用程式所建立的處理程序修復特洛伊木馬程式和其他病毒 / 惡意程式所修改的系統檔案刪除特洛伊木馬程式和其他病毒 / 惡意程式所建立的檔案和應用程式清除在用戶端執行的時機 : 病毒清除引擎 : 清除用以掃瞄和移除特洛伊木馬程式及其處理程序蠕蟲和間諜程式 / 可能的資安威脅程式的引擎病毒清除病毒碼 : 供病毒清除引擎使用此範本有助於辨識特洛伊木馬程式及其處理程序蠕蟲和間諜程式 / 可能的資安威脅程式, 讓病毒清除引擎能夠加以去除如果發生下列情況, 便會在用戶端電腦執行清除 : 使用者經由代理程式執行手動清除系統管理員從 Web 主控台對用戶端執行立即清除 7-10

181 使用疫情爆發防範使用者執行手動掃瞄或清除部署 HotFix 或修補程式後啟動 Security Server 時由於清除會自動執行, 所以您不需要對其進行設定由於是在背景執行 ( 在執行代理程式時 ), 使用者甚至不會知道清除正在執行但有時 Security Server 會通知使用者重新啟動用戶端, 以完成清除如需有關損害清除及復原運作方式的詳細資訊, 請參閱第 C-2 頁的趨勢科技損害清除及復原服務設定疫情爆發防範使用設定畫面, 設定疫情爆發防範和弱點評估選項疫情爆發防範設定 Worry-Free Business Security Advanced 會開始疫情爆發防範, 以回應在疫情爆發防範策略中所收到的指示趨勢科技所設計和發行的趨勢科技疫情爆發防範策略, 可以在疫情爆發時為您的用戶端和網路提供最佳防護當趨勢科技觀察到頻繁而嚴重的病毒 / 惡意程式事件正在 Internet 上快速散播時, 便會執行疫情爆發防範策略依預設,Security Server 每隔 30 分鐘或每當 Security Server 啟動時, 便會從趨勢科技的主動式更新伺服器下載疫情爆發防範策略在疫情爆發防範期間,Security Server 會制定疫情爆發防範策略並執行處理行動, 以保護您的用戶端和網路在這段期間, 網路的正常功能會因為封鎖通訊埠和無法存取目錄等措施而中斷您可以使用疫情爆發防範設定為您的用戶端和網路自訂疫情爆發防範, 以避免疫情爆發防範期間制定的策略會造成非預期的後果高度病毒警訊幾家分公司報告有病毒 / 惡意程式正在迅速散播, 此時趨勢科技會啟動 45 分鐘的高度病毒警訊解決方案程序來回應, 發出預防的解決方案和掃描病毒碼, 並傳送相關通知趨勢科技還會傳送修復工具, 以及相關弱點和安全威脅的資訊 7-11

182 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊中度病毒警訊從幾個分公司收到的中毒報告以及許多支援呼叫, 都已確認是散播的實體 Official Pattern Release (OPR, 正式發佈的病毒碼 ) 會自動部署至部署伺服器, 以供下載如果出現電子郵件散播的病毒 / 惡意程式, 則會送出名為疫情爆發防範策略 (OPP) 的內容過濾規則, 以便在安裝該產品功能的伺服器上自動封鎖相關的附件疫情爆發防範的建議設定下列設定可讓您達到最佳防範效果表 7-2 疫情爆發防範的建議設定設定建議值針對由趨勢科技發出的高度病毒警訊, 啟動自動疫情爆發防範已啟動在下面的天數後關閉高度病毒警訊在部署必要的病毒碼引擎後關閉高度病毒警訊自動桌上型電腦 / 伺服器掃瞄自動 Microsoft Exchange 掃瞄針對由趨勢科技發出的中度病毒警訊, 啟動自動疫情爆發防範在以下天數後關閉中度病毒警訊在部署必要的病毒碼 / 引擎後關閉中度病毒警訊在部署必要的病毒碼 / 引擎後關閉中度病毒警訊自動桌上型電腦 / 伺服器掃瞄自動 Exchange Server 掃瞄 2 天已啟動已啟動已啟用已關閉 NA NA NA 已啟動已啟用 Exceptions ( 例外 ) 在疫情爆發防範自動回應期間, 不封鎖下列服務的通訊埠 : DNS NetBios HTTPS ( 安全 Web 伺服器 ) HTTP (Web 伺服器 ) Telnet SMTP ( 簡易郵件通訊協定 ) FTP ( 檔案傳輸通訊協定 ) Internet 郵件 (POP3) 預約策略下載設定頻率 : 每 30 分鐘來源 : 趨勢科技的主動式更新伺服器 7-12

183 使用疫情爆發防範設定疫情爆發防範的設定值注意 : 趨勢科技設計的疫情爆發防範預設值, 可以為您的用戶端和網路提供最佳防護在自訂疫情爆發防範設定之前, 請先仔細考量設定, 並且只有在瞭解後果的情況下才進行修改瀏覽路徑 : 疫情爆發防範 > 設定 > 疫情爆發防範標籤圖 7-6 疫情爆發防範設定畫面的疫情爆發防範標籤如果要設定疫情爆發防範設定 : 1. 視需要更新下列選項 : 針對趨勢科技發出的高度病毒警訊啟動疫情爆發防範 : 除非您按一下疫情爆發防範 > 目前狀態 > 關閉, 或是符合任一關閉設定, 否則疫情爆發防範策略會保持作用當 Security Server 下載新的疫情爆發防範策略時, 便會停用舊的策略 x 天後關閉高度病毒警訊 : 疫情爆發防範警訊的持續時間在部署下列必要元件後, 執行自動病毒掃瞄 : 桌上型電腦 / 伺服器 Microsoft Exchange Server 7-13

184 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊中度病毒警訊設定 : 設定中度病毒警訊的選項如需詳細資訊, 請參閱第 7-12 頁的中度病毒警訊例外 : 在疫情爆發防範自動回應期間不會封鎖的通訊埠如需使用例外的相關資訊, 請參閱第 7-14 頁的使用疫情爆發防範例外注意 : 當新增例外規則時, 請確保選取啟動此例外預約策略下載設定 : 定期下載更新元件的設定頻率來源 : 更新的來源趨勢科技的主動式更新伺服器 ( 預設值 ) 包含目前檔案副本的 Intranet 位置其他更新來源 :Web 上的其他更新來源 2. 按一下儲存使用疫情爆發防範例外使用例外新增編輯或移除不會封鎖的通訊埠瀏覽路徑 : 疫情爆發防範 > 設定 > 疫情爆發防範標籤圖 7-7 疫情爆發防範設定畫面的例外區段 7-14

185 使用疫情爆發防範如果要新增例外 : 1. 按一下例外區段中的加號 (+) 2. 按一下新增 3. 在疫情爆發防範 > 設定 > 新增例外畫面中, 視需要更新下列選項 : 啟動此例外說明 : 有助於識別例外的簡短說明通訊協定 : 請選取必須套用例外的通訊協定通訊埠 : 請輸入例外的通訊埠範圍或個別通訊埠請使用分號 (;) 分隔多個項目 4. 按一下新增如果要編輯例外 : 1. 按一下例外區段中的加號 (+) 2. 選取例外, 然後按一下編輯 3. 視需要更新選項 4. 按一下儲存如果要移除例外 : 秘訣 : 關閉例外, 而不加以移除 1. 按一下例外區段中的加號 (+) 2. 選取例外, 然後按一下移除 3. 按一下確定以進行確認 7-15

186 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊設定弱點評估設定弱點評估設定可決定弱點診斷掃瞄的頻率和目標瀏覽路徑 : 疫情爆發防範 > 設定 > 弱點評估標籤圖 7-8 疫情爆發防範設定畫面的弱點評估標籤如果要設定弱點評估的頻率 : 1. 在疫情爆發防範 > 設定畫面的弱點評估標籤中, 視需要更新下列選項 : 啟動預約弱點診斷頻率 : 選取每日一次每週一次或每月一次如果您選取每週一次或每月一次, 請設定一週或一個月中的日期開始時間目標所有群組 : 掃瞄出現在安全設定畫面的群組管理樹狀結構中的所有用戶端指定的群組 : 將弱點評估掃瞄限定於選取的群組中 2. 按一下儲存 7-16

187 第 8 章設定手動掃瞄和預約掃瞄本章說明如何使用手動掃瞄和預約掃瞄來保護您的網路和用戶端, 而不受病毒 / 惡意程式和其他安全威脅的侵擾本章討論下列主題 : 第 8-2 頁的 Worry-Free Business Security Advanced 掃瞄第 8-3 頁的掃瞄用戶端 8-1

188 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 Worry-Free Business Security Advanced 掃瞄 Worry-Free Business Security Advanced 提供三種掃瞄類型, 可以保護用戶端不受 Internet 安全威脅入侵 : 手動掃瞄預約掃瞄和即時掃瞄雖然每種掃瞄都有不同的目的和用途, 但是設定方式大致上都相同本章討論手動掃瞄和預約掃瞄手動掃瞄會依要求執行手動掃瞄手動掃瞄可去除用戶端與 Microsoft Exchange 信箱內的檔案所含的安全威脅這種掃瞄亦可移除任何舊有的中毒檔案, 盡可能降低重複中毒的可能性手動掃瞄期間, 代理程式會根據系統管理員 ( 或使用者 ) 所設定的處理行動執行防範安全威脅的作業如果要停止掃瞄, 請在執行掃瞄時按一下停止掃瞄注意 : 執行掃瞄所需的時間, 取決於用戶端的硬體資源與要掃瞄的檔案數目設定手動掃瞄的防毒內容過濾和附件封鎖選項如果要設定手動掃瞄, 請按一下掃瞄 > 手動掃瞄如需詳細資訊, 請參閱第 8-4 頁的設定群組的掃瞄選項和第 8-8 頁的設定 Microsoft Exchange Server 的掃瞄選項預約掃瞄預約掃瞄類似手動掃瞄, 但會依設定的時間和頻率來掃瞄所有檔案和電子郵件使用預約掃瞄可對用戶端自動進行例行掃瞄, 並提高安全威脅管理效率如果要設定預約掃瞄, 請按一下掃瞄 > 預約掃瞄如需詳細資訊, 請參閱第 8-12 頁的預約掃瞄 8-2

設定手動掃瞄和預約掃瞄即時掃瞄即時掃瞄會一直持續進行每當接收開啟下載複製或修改檔案時, 即時掃瞄即會掃瞄檔案中的安全威脅如需詳細資訊, 請參閱第 5-4 頁的設定即時掃瞄就電子郵件而言,Messaging Security Agent 會即時掃瞄所有收到的郵件 SMTP 郵件張貼於公共資料夾的文件, 以及從其他 Microsoft Exchange Server

189 設定手動掃瞄和預約掃瞄即時掃瞄即時掃瞄會一直持續進行每當接收開啟下載複製或修改檔案時, 即時掃瞄即會掃瞄檔案中的安全威脅如需詳細資訊, 請參閱第 5-4 頁的設定即時掃瞄就電子郵件而言,Messaging Security Agent 會即時掃瞄所有收到的郵件 SMTP 郵件張貼於公共資料夾的文件, 以及從其他 Microsoft Exchange Server 複製的所有檔案, 藉此防護所有已知的病毒進入點請參閱第 6-7 頁的防毒掃瞄用戶端下節將說明如何設定用戶端的手動掃瞄與預約掃瞄如需排定預約掃瞄的說明, 請參閱第 8-12 頁的預約掃瞄瀏覽路徑 : 掃瞄 > 手動掃瞄或預約掃瞄圖 8-1 手動掃瞄畫面如果要設定用戶端的手動掃瞄或預約掃瞄 : 1. 在手動掃瞄或預約掃瞄畫面中, 選取要掃瞄的群組 2. 按一下群組名稱, 以設定群組的掃瞄選項請參閱第 8-4 頁的設定群組的掃瞄選項 3. 對於預約掃瞄, 請更新排程標籤上的預約時間請參閱第 8-12 頁的預約掃瞄 4. 按一下立即掃瞄或儲存 8-3

190 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊設定群組的掃瞄選項設定群組的掃瞄選項時, 必須設定目標 ( 要掃瞄的檔案 ) 和處理行動 ( 對偵測到的安全威脅採取的處理行動 ) 瀏覽路徑 : 掃瞄 > 手動掃瞄或預約掃瞄 > 按一下群組 8-4

191 設定手動掃瞄和預約掃瞄如果要設定掃瞄選項 : 1. 在群組的掃瞄選項畫面中, 視需要更新下列項目 : 要掃瞄的檔案所有可掃瞄的檔案 : 只會排除加密或受密碼保護的檔案智慧型掃瞄 : 根據真實檔案類型掃瞄檔案如需詳細資訊, 請參閱第 C-4 頁的趨勢科技智慧型掃瞄掃瞄具有下列副檔名的檔案 :Worry-Free Business Security Advanced 會掃瞄具有選取之副檔名的檔案請以逗號 (,) 分隔多個項目掃瞄網路上的網路磁碟機和共享資料夾掃瞄壓縮檔 : 設定要掃瞄的層數例外 : 將特定檔案資料夾或具有特定副檔名的檔案排除於掃瞄作業外啟動例外不掃瞄趨勢科技產品的安裝目錄例外資料夾 : 輸入要排除於掃瞄作業之外的資料夾名稱按一下新增如果要移除資料夾, 請選取該資料夾, 然後按一下刪除例外檔案 : 輸入要排除於掃瞄作業之外的檔案名稱按一下新增如果要移除檔案, 請選取該檔案, 然後按一下刪除例外副檔名 : 輸入要排除於掃瞄作業之外的副檔名名稱按一下新增如果要移除副檔名, 請選取該副檔名, 然後按一下刪除進階設定啟動 IntelliTrap ( 適用於防毒 ):IntelliTrap 可以偵測到壓縮檔中是否含有 Bot 之類的惡意程式碼如需詳細資訊, 請參閱第 C-6 頁的 Trend Micro IntelliTrap 掃瞄開機區 ( 適用於防毒 ): 開機磁區包含用戶端用以載入和起始設定作業系統的資料開機磁區病毒會感染磁碟分割區或磁碟的開機磁區間諜程式 / 可能的資安威脅程式例外清單 ( 適用於間諜程式防護 ): 此清單包含核可的間諜程式 / 可能的資安威脅程式的詳細資訊按一下此連結可更新清單如需詳細資訊, 請參閱第 8-7 頁的編輯間諜程式 / 可能的資安威脅程式例外清單 8-5

192 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 2. 在處理行動標籤中, 指定 Worry-Free Business Security Advanced 對偵測到的安全威脅所應採取的處理方式 : CPU 使用率 :Security Server 在掃瞄每個檔案之間的等待時間會影響到 CPU 使用率選擇較低的 CPU 使用率等級以增加檔案掃瞄之間的等待時間, 如此即可釋放 CPU 以執行其他工作偵測到病毒時的處理行動主動式處理行動 : 使用趨勢科技預先設定的處理行動來處理安全威脅如需詳細資訊, 請參閱第 C-4 頁的趨勢科技主動式處理行動適用於所有安全威脅的相同處理行動 : 選取暫不處理刪除重新命名隔離或清除如果您選取清除, 請設定對於無法清除的安全威脅所應採取的處理行動下列偵測到的安全威脅所適用的自訂處理行動 : 針對各種安全威脅類型, 選取暫不處理刪除重新命名隔離或清除如果您選取清除, 請設定對於無法清除的安全威脅所應採取的處理行動清除病毒前先備份偵測到的檔案 : Worry-Free Business Security Advanced 會在清除病毒之前備份安全威脅會加密備份檔案, 並將其儲存在用戶端的下列目錄 : C:\Program Files\Trend Micro\Client Server Security Agent\Backup 如果要解密檔案, 請參閱第 14-8 頁的還原加密檔案偵測到間諜程式 / 可能的資安威脅程式時的處理行動清除 : 清除間諜程式 / 可能的資安威脅程式時,Worry-Free Business Security Advanced 可能會刪除相關的登錄項目檔案 Cookie 和捷徑與清除間諜程式 / 可能的資安威脅程式相關的處理程序也可能隨之結束暫不處理 : 僅記錄中毒事件, 以進行後續評估如需詳細資訊, 請參閱第 10-2 頁的記錄檔 3. 按一下儲存此外, 請設定在事件發生時將由誰接收通知請參閱第 11-2 頁的關於通知 8-6

193 設定手動掃瞄和預約掃瞄編輯間諜程式 / 可能的資安威脅程式例外清單間諜程式 / 可能的資安威脅程式例外清單可決定使用者可使用的間諜程式或可能的資安威脅程式只有系統管理員可更新此清單如果要瞭解不同類型的間諜程式, 請參閱第 E-1 頁的間諜程式 / 可能的資安威脅程式類型注意 : 對於特定群組, 即時掃瞄預約掃瞄和手動掃瞄皆會使用同一份清單瀏覽路徑 : 掃瞄 > 手動掃瞄或預約掃瞄 > 按一下群組 > 進階設定圖 8-2 間諜程式 / 可能的資安威脅程式例外清單畫面如果要更新間諜程式 / 可能的資安威脅程式例外清單 : 1. 在進階設定區段中, 按一下修改間諜程式 / 可能的資安威脅程式例外清單 2. 在間諜程式 / 可能的資安威脅程式例外清單畫面中, 視需要更新下列項目 : 左窗格 : 已辨識的間諜程式或可能的資安威脅程式應用程式使用搜尋或快速搜尋連結, 找到您要允許的間諜程式 / 可能的資安威脅程式 8-7

194 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊注意 : 會先後依照類型與名稱 (SpywareType_ApplicationName) 對應用程式進行排序右窗格 : 核可的間諜程式或可能的資安威脅程式新增 >: 選取左窗格中的應用程式名稱, 然後按一下新增 > 如果要選取多個應用程式, 請在按一下應用程式名稱的同時按 < Ctrl > 鍵 < 移除 3. 按一下儲存設定 Microsoft Exchange Server 的掃瞄選項設定 Microsoft Exchange Server 的掃瞄選項時, 必須設定防毒內容過濾和附件封鎖的設定選項瀏覽路徑 : 掃瞄 > 手動掃瞄或預約掃瞄 > 展開 Microsoft Exchange Server > 防毒 / 內容過濾 / 附件封鎖如果要設定 Microsoft Exchange Server 的掃瞄選項 : 1. 在手動掃瞄或預約掃瞄畫面中, 展開要掃瞄的 Microsoft Exchange Server 2. 設定下列項目的掃瞄選項 : 防毒 : 如需詳細資訊, 請參閱第 8-9 頁的設定 Microsoft Exchange Server 的防毒掃瞄選項內容過濾 : 如需詳細資訊, 請參閱第 8-12 頁的設定 Microsoft Exchange Server 的內容過濾選項附件封鎖 : 如需詳細資訊, 請參閱第 8-12 頁的設定 Microsoft Exchange Server 的附件封鎖選項 3. 對於預約掃瞄, 請更新排程標籤上的預約時間請參閱第 8-12 頁的預約掃瞄 4. 按一下立即掃瞄或儲存 8-8

195 設定手動掃瞄和預約掃瞄設定 Microsoft Exchange Server 的防毒掃瞄選項設定 Microsoft Exchange Server 的防毒掃瞄選項時, 必須設定目標 ( 要掃瞄的安全威脅 ) 和處理行動 ( 對偵測到的安全威脅採取的處理行動 ) 瀏覽路徑 : 掃瞄 > 手動掃瞄或預約掃瞄 > 展開 Microsoft Exchange Server > 防毒圖 8-3 Microsoft Exchange Server 的防毒掃瞄選項 8-9

196 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要設定 Microsoft Exchange Server 的防毒掃瞄選項 : 1. 在防毒畫面中, 視需要更新下列選項 : 預設掃瞄所有可掃瞄的檔案 : 只會排除加密或受密碼保護的檔案智慧型掃瞄 : 智慧型掃瞄是趨勢科技的掃瞄技術, 使用真實檔案型態辨識來檢查檔案標頭, 並只掃瞄已知可能包含惡意程式碼的檔案類型, 以便最佳化執行效能真實檔案型態辨識有助於辨識藉由無害副檔名偽裝的惡意程式碼特定檔案類型 :Worry-Free Business Security Advanced 會掃瞄選定類型與具有下列副檔名的檔案請以半形分號 (;) 分隔多個項目啟動 IntelliTrap:IntelliTrap 可以偵測到壓縮檔中是否含有 Bot 之類的惡意程式碼掃瞄郵件內文 : 掃瞄包含內嵌安全威脅的電子郵件內文其他的安全威脅掃瞄 : 選取 Worry-Free Business Security Advanced 應掃瞄的其他安全威脅如需安全威脅的定義, 請參閱第 F-1 頁的詞彙表例外 : 不掃瞄符合下列條件的電子郵件 : 郵件內文大小超過指定大小附件大小超過指定大小解壓縮檔數目超過指定大小解壓縮檔的大小超過指定大小壓縮層的數目超過指定大小解壓縮檔的大小是壓縮檔的 x 倍 2. 從處理行動標籤, 視需要更新下列項目 : 偵測到病毒時的處理行動主動式處理行動 : 使用趨勢科技預先設定的處理行動來處理安全威脅如需詳細資訊, 請參閱第 C-4 頁的趨勢科技主動式處理行動適用於所有安全威脅的相同處理行動 : 從清除以文字 / 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取下列偵測到的安全威脅所適用的自訂處理行動 : 對於各種類型的安全威脅, 請從清除以文字 / 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取 8-10

197 設定手動掃瞄和預約掃瞄啟動用於大量郵件行為的處理行動 : 針對安全威脅的大量郵件行為類型, 從清除以文字 / 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取針對無法完成的清除嘗試, 設定次要的處理行動從以文字 / 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取在清除前備份中毒檔案 : Worry-Free Business Security Advanced 會在清除病毒之前備份安全威脅會加密備份檔案, 並將其儲存在用戶端的下列目錄 : C:\Program Files\Trend Micro\Messaging Security Agent\Backup 如果要解密檔案, 請參閱第 14-8 頁的還原加密檔案不清除中毒的壓縮檔以達最佳化效能通知 : Worry-Free Business Security Advanced 會將通知訊息傳送給選定的人員系統管理員亦可對詐騙寄件人 / 外部收件人關閉通知傳送巨集 : 巨集病毒是針對特定應用程式的病毒, 會使隨附於應用程式的巨集公用程式中毒自動邏輯分析等級 : 自動邏輯分析掃瞄是一種評估式的偵測病毒方法, 這個方法在偵測還不具備已知病毒特徵的未發現病毒和安全威脅方面十分卓越刪除進階巨集掃瞄偵測到的所有巨集如需詳細資訊, 請參閱第 6-5 頁的進階巨集掃瞄無法掃瞄的郵件部分 : 針對加密和 ( 或 ) 受密碼保護的檔案, 設定處理行動和通知條件對於處理行動, 從以文字 / 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取不掃瞄的郵件部分 : 請為已排除的郵件部分設定處理行動和通知條件 ( 請參閱第 8-10 頁上有關設定例外的小節 ) 對於處理行動, 從以文字 / 檔案取代刪除整封郵件暫不處理或隔離郵件部分進行選取備份設定 : 儲存備份檔案的位置取代設定 : 設定取代文字的文字和檔案如果處理行動是以文字或檔案取代,Worry-Free Business Security Advanced 將會以此文字字串和檔案取代安全威脅 8-11

198 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 3. 按一下儲存此外, 請設定在事件發生時將由誰接收通知請參閱第 11-2 頁的關於通知設定 Microsoft Exchange Server 的內容過濾選項設定 Microsoft Exchange Server 的內容過濾選項時, 必須設定對含有特定內容的郵件所套用的封鎖規則瀏覽路徑 : 掃瞄 > 手動掃瞄或預約掃瞄 > 展開 Microsoft Exchange Server > 內容過濾如需詳細資訊, 請參閱第 6-19 頁的內容過濾設定 Microsoft Exchange Server 的附件封鎖選項設定 Microsoft Exchange Server 的附件封鎖選項時, 必須設定對含有特定附件的郵件所套用的封鎖規則瀏覽路徑 : 掃瞄 > 手動掃瞄或預約掃瞄 > 展開 Microsoft Exchange Server > 附件封鎖如需詳細資訊, 請參閱第 6-32 頁的附件封鎖預約掃瞄請排程掃瞄, 以定期掃瞄用戶端和 Microsoft Exchange Server 中的安全威脅秘訣 : 趨勢科技建議您不要將預約掃瞄和更新排定在同一個時間執行如此可能會造成預約掃瞄意外停止同樣地, 如果您在執行預約掃瞄時開始手動掃瞄, 預約掃瞄將會中斷雖然預約掃瞄中止, 但是會依據排程再次執行注意 : 如果要關閉預約掃瞄, 請清除特定群組或 Microsoft Exchange Server 的所有選項, 然後按一下儲存 8-12

199 設定手動掃瞄和預約掃瞄瀏覽路徑 : 掃瞄 > 預約掃瞄 > 排程標籤圖 8-4 預約掃瞄畫面如果要排程掃瞄 : 1. 排程掃瞄前, 請進行掃瞄設定如需詳細資訊, 請參閱第 8-4 頁的設定群組的掃瞄選項和第 8-8 頁的設定 Microsoft Exchange Server 的掃瞄選項 2. 在預約標籤中, 視需要更新每個群組或 Microsoft Exchange Server 的下列選項 : 每日一次 : 預約掃瞄會依照開始時間每日執行一次每週一次 : 預約掃瞄會依照開始時間, 在每週的某一天執行一次每月一次 : 預約掃瞄會依照開始時間, 在每月的某一天執行一次如果您在只有 30 天的月份選取 31 天,Worry-Free Business Security Advanced 將不會在該月掃瞄用戶端或 Microsoft Exchange 群組開始時間 : 預約掃瞄的開始時間 3. 按一下儲存此外, 請設定在事件發生時將由誰接收通知請參閱第 11-2 頁的關於通知秘訣 : 趨勢科技建議您定期執行預約掃瞄, 以達到最佳防護 8-13

200 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 8-14

201 第 9 章更新元件本章說明如何使用與設定手動更新和預約更新本章討論下列主題 : 第 9-2 頁的更新元件第 9-3 頁的可更新的元件第 9-6 頁的更新來源第 9-9 頁的手動更新和預約更新第 9-12 頁的還原或同步處理元件 9-1

202 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊更新元件 Worry-Free Business Security Advanced 可讓代理程式自動從 Security Server 接收更新元件, 以簡化升級為最新元件的程序 Worry-Free Business Security Advanced 可從趨勢科技主動式更新伺服器下載元件 ( 如需詳細資訊, 請參閱第 9-3 頁的關於主動式更新 ): 初次安裝產品時, 趨勢科技的主動式更新伺服器會立即更新 Security Server 和代理程式的所有元件啟動 Worry-Free Business Security Advanced 主服務時, 即會檢查主動式更新伺服器以確認是否有可用的更新依預設, 預約更新會每小時更新一次 Security Server 依預設,Messaging Security Agent 會每隔 24 小時在凌晨 12:00 執行一次預約更新依預設,Client/Server Security Agent 會每隔 8 小時執行一次預約更新秘訣 : 為確保 Client/Server Security Agent 保持在最新狀態, 即使未連線至 Security Server, 請將 Client/Server Security Agent 設定為從其他來源取得更新檔 ( 第 9-7 頁的設定更新來源 ) 這對時常不在辦公室而且未連線至區域網路的使用者來說, 十分有用趨勢科技建議使用的元件更新設定, 能為中小企業提供合理的防護如有必要, 您可以執行手動更新或修改預約更新 9-2

203 更新元件關於主動式更新主動式更新是許多趨勢科技產品的通用功能只要連線到趨勢科技更新網站, 您就能透過 Internet 使用主動式更新下載最新的病毒碼檔案掃瞄引擎和程式檔主動式更新不會中斷網路服務, 也不會要求您重新啟動用戶端病毒碼檔案的遞增式更新主動式更新支援病毒碼檔案的遞增式更新主動式更新只會下載新增部分的病毒碼檔案, 然後將該部分附加到現有的病毒碼檔案, 讓您不必每次都下載完整的病毒碼檔案這種有效率的更新方式可以大幅縮減更新防毒軟體所需的頻寬搭配 Worry-Free Business Security Advanced 使用主動式更新按一下更新 > 更新來源畫面中的趨勢科技的主動式更新伺服器, 設定 Security Server 使用主動式更新伺服器, 做為手動元件更新與預約元件更新的更新來源當需要執行元件更新時,Security Server 會直接輪詢主動式更新伺服器如果有新元件可供下載,Security Server 會從主動式更新伺服器下載元件可更新的元件為確保用戶端可持續抵禦最新的安全威脅, 請定期更新 Worry-Free Business Security Advanced 元件設定 Security Server, 以便從主動式更新伺服器下載 Worry-Free Business Security Advanced 元件主動式更新伺服器可以提供例如病毒碼檔案掃瞄引擎和程式檔等更新元件下載可用的更新檔案後, 伺服器會自動將更新元件部署到代理程式 Worry-Free Business Security Advanced 提供兩種更新元件的方法 : 手動更新元件, 請參閱第 9-10 頁的手動更新元件根據排程更新元件, 請參閱第 9-11 頁的預約元件更新 9-3

204 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果您使用 Proxy 伺服器連線到 Internet, 請確定 Proxy 伺服器設定正確, 才能成功下載更新檔如需詳細資訊, 請參閱第 12-2 頁的 Internet Proxy 選項表 9-1 可更新的元件元件子元件防毒間諜程式防護垃圾郵件防護 Outbreak Defense ( 疫情爆發防範 ) 網路病毒網頁信譽評等服務行為監控病毒碼 32 位元病毒掃瞄引擎 64 位元病毒掃瞄引擎病毒清除範本 32 位元病毒清除引擎 64 位元病毒清除引擎 Messaging Security Agent 掃瞄引擎 (32 位元 ) Messaging Security Agent 掃瞄引擎 (64 位元 ) IntelliTrap 例外病毒碼 IntelliTrap 病毒碼 32 位元間諜程式掃瞄引擎 64 位元間諜程式掃瞄引擎間諜程式病毒碼間諜程式主動式監控病毒碼垃圾郵件防護病毒碼 32 位元垃圾郵件防護引擎 64 位元垃圾郵件防護引擎弱點病毒碼一般防火牆病毒碼 32 位元一般防火牆引擎 64 位元一般防火牆引擎 32 位元 TDI 驅動程式 64 位元 TDI 驅動程式 32 位元 WFP 驅動程式 64 位元 WFP 驅動程式 32 位元 URL 過濾引擎 64 位元 URL 過濾引擎 32 位元行為監控核心驅動程式 32 位元行為監控核心服務策略強制執行病毒碼病毒碼白名單行為監控組態病毒碼如需各項元件的詳細資訊, 請參閱第 1-16 頁的關於元件 9-4

205 更新元件預設更新時間依預設,Worry-Free Business Security Advanced 會在下列情況下檢查更新, 並在必要時從趨勢科技的主動式更新伺服器下載元件 : 初次安裝產品時, 趨勢科技的主動式更新伺服器會立即更新 Security Server 和代理程式的所有元件只要啟動 Worry-Free Business Security Advanced 主服務,Security Server 便會更新疫情爆發防範策略依預設, 預約更新會每小時更新一次 Security Server 為確保代理程式能夠持續保持更新,Client/Server Security Agent 會每 8 小時執行一次預約更新趨勢科技建議使用的元件更新設定, 能為中小企業提供合理的防護如有必要, 您可以執行手動更新或修改預約更新趨勢科技通常只會在 Worry-Free Business Security Advanced 新版本的發行期間更新掃瞄引擎或程式但趨勢科技會經常發佈新的病毒碼檔案更新 Security Server Worry-Free Business Security Advanced 會自動執行下列更新 : 初次安裝產品時, 趨勢科技的主動式更新伺服器會立即更新 Security Server 和用戶端的所有元件啟動 Worry-Free Business Security Advanced 時,Security Server 便會更新元件和疫情爆發防範策略依預設, 每小時執行一次預約更新為確保用戶端保持在最新狀態, 代理程式會每 8 小時執行一次預約更新如果要設定 Trend Micro Security Server 以執行更新 : 1. 選取更新來源請參閱第 9-6 頁的更新來源 2. 設定 Trend Micro Security Server 以執行手動更新或預約更新請參閱第 9-9 頁的手動更新和預約更新 3. 使用用戶端權限, 為執行 Client/Server Security Agent 和 ( 或 )Messaging Security Agent 的用戶端設定更新選項請參閱第 5-24 頁的用戶端權限 9-5

206 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊更新來源選擇代理程式的更新位置時, 請將用戶端和更新來源之間的區段頻寬納入考量下表說明不同的元件更新選項, 並建議在何時使用這些選項 : 表 9-2 更新來源選項更新選項說明建議主動式更新伺服器 > Trend Micro Security Server > 用戶端主動式更新伺服器 > Trend Micro Security Server > 更新代理程式 > 用戶端主動式更新伺服器 > 更新代理程式 > 用戶端 Trend Micro Security Server 會從主動式更新伺服器 ( 或其他更新來源 ) 接收更新的元件, 並將這些元件直接部署到用戶端 Trend Micro Security Server 會從主動式更新伺服器 ( 或其他更新來源 ) 接收更新的元件, 並將這些元件直接部署到更新代理程式, 以將元件部署至用戶端更新代理程式會從主動式更新伺服器 ( 或其他更新代理程式 ) 接收更新的元件, 並將其部署至用戶端如果 Trend Micro Security Server 與用戶端之間的網路上沒有您認定為低頻寬的區段, 請使用此方法如果 Trend Micro Security Server 和用戶端之間的網路上具有您認定為低頻寬的區段, 請使用此方法以平衡網路的流量負載只有在無法從 Trend Micro Security Server 或其他更新代理程式更新更新代理程式時, 才應使用此方法在多數情況下, 更新代理程式從 Trend Micro Security Server 或其他更新代理程式接收更新的速度, 會比從外部更新來源接收快 9-6

207 更新元件設定更新來源瀏覽路徑 : 更新 > 來源圖 9-1 更新來源畫面如果要設定 Security Server 的更新來源 : 1. 在更新來源畫面中, 視需要更新下列選項 : 趨勢科技的主動式更新伺服器 : 趨勢科技的主動式更新伺服器是趨勢科技的預設下載來源一有新的元件, 趨勢科技便會將它們上載到主動式更新伺服器如果您需要經常且適時的更新, 請選取主動式更新伺服器做為來源注意 : 如果您定義自趨勢科技的主動式更新伺服器以外的來源接收更新, 則所有接收更新的伺服器皆須具備該來源的存取權包含目前檔案複本的 Intranet 位置 : 從接收更新元件的 Intranet 來源下載元件輸入網路上另一部伺服器的通用命名慣例 (UNC) 路徑, 然後將目標伺服器上的某個目錄設為共享資料夾, 供所有接收更新的伺服器使用 ( 例如 :\Web\ActiveUpdate) 替代的更新來源 : 從 Internet 或其他來源下載元件讓目標 HTTP 虛擬目錄 (Web 共享 ) 能夠為所有接收更新檔的伺服器使用 2. 按一下儲存 9-7

208 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊使用更新代理程式如果您認定介於用戶端和 Trend Micro Security Server 之間的網路區段為低頻寬或高傳輸載量, 則可以指定代理程式做為其他代理程式的更新來源 ( 更新代理程式 ) 如此將有助於分散將元件部署到所有代理程式的負擔例如, 如果您的網路依照位置區分為不同網段, 而且各網段之間的網路連結出現高傳輸載量, 趨勢科技建議您在每個網段至少允許一個代理程式做為更新代理程式瀏覽路徑 : 更新 > 來源 > Security Agent 標籤如果要讓代理程式做為更新代理程式 : 1. 在更新來源畫面的 Security Agent 標籤中, 按一下指定更新代理程式區段中的新增 2. 在選取 Security Agent 清單方塊中, 選取一或多個要做為更新代理程式的代理程式 3. 按一下儲存如果要移除更新代理程式, 請選取電腦名稱所對應的核取方塊, 然後按一下移除注意 : 除非替代的更新來源區段中另有指定, 否則所有的更新代理程式都會從 Trend Micro Security Server 接收更新如果要讓代理程式從替代的更新來源取得更新 : 1. 在更新來源畫面的 Security Agent 標籤中, 視需要更新下列選項 : 啟動 Security Agent 和更新代理程式的替代更新來源總是只從 Security Server 更新更新代理程式 : 您可以執行此選用步驟, 以確定代理程式只會從 Security Server 接收其更新注意 : 如果選取了這個選項, 更新代理程式的 IP 位址即使位於新增替代的更新來源畫面指定的其中一個範圍, 它仍然會從 Trend Micro Security Server 下載更新為使這個選項起作用, 您必須選取啟動替代的更新來源 2. 按一下儲存 9-8

209 更新元件如果要新增替代的更新來源 : 1. 在更新來源畫面的 Security Agent 標籤中, 按一下替代的更新來源區段中的新增 2. 視需要更新下列選項 : IP 起始範圍和 IP 結束範圍 :IP 位址位於此範圍內的所有用戶端, 都將從指定的更新來源接收其更新注意 : 如果要指定單一 Client/Server Security Agent, 請在 IP 起始範圍和 IP 結束範圍欄位中輸入該 Client/Server Security Agent 的 IP 位址更新來源更新代理程式 : 如果沒有可用的下拉式清單, 表示尚未設定任何更新代理程式指定 : 更新代理程式或主動式更新伺服器的路徑 3. 按一下儲存如果要移除替代的更新來源, 請選取 IP 範圍所對應的核取方塊, 然後按一下移除注意 : 未指定的 Client/Server Security Agent 將會自動從 Trend Micro Security Server 接收更新手動更新和預約更新 Worry-Free Business Security Advanced 提供兩種更新不同元件的方法.. 手動更新趨勢科技建議您在部署 Client/Server Security Agent 後以及病毒 / 惡意程式爆發時, 立即手動更新伺服器 9-9

210 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊預約更新設定 Trend Micro Security Server 定期檢查更新來源, 並自動下載任何可用的更新代理程式一般會從 Trend Micro Security Server 取得更新, 因此使用自動的預約更新可以輕鬆而有效地確保您隨時擁有最新的病毒 / 惡意程式防護預約更新和手動更新的設定十分類似, 因此我們將在此處結合這兩種程序稍後會另有一節說明如何設定更新時間秘訣 : 趨勢科技建議您經常更新元件手動更新元件瀏覽路徑 : 更新 > 手動更新圖 9-2 手動更新畫面 9-10

211 更新元件如果要手動更新元件 : 1. 在手動更新畫面中, 視需要更新下列選項 : 元件 : 如果要選取所有元件, 請選取元件核取方塊如果要選取個別元件, 請按一下以顯示要更新的元件, 然後選取對應的核取方塊如需各項元件的詳細資訊, 請參閱第 1-26 頁的可更新的元件 2. 按一下立即更新如果要預約更新, 請參閱第 9-11 頁的預約元件更新注意 : 伺服器會下載更新的元件, 然後自動將其部署至代理程式預約元件更新預約更新透過自動接收最新的元件, 來對抗安全威脅秘訣 : 避免將掃瞄和更新排定在同一個時間執行瀏覽路徑 : 更新 > 預約掃瞄 > 排程標籤圖 9-3 預約更新畫面 9-11

212 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要預約更新 : 1. 從預約更新畫面的元件標籤中, 視需要進行下列更新 : 元件 : 如果要選取所有元件, 請選取元件核取方塊如果要選取個別元件, 請按一下以顯示要更新的元件, 然後選取對應的核取方塊如需各項元件的詳細資訊, 請參閱第 1-26 頁的可更新的元件 2. 在預約更新標籤中, 視需要更新下列選項 : 每小時一次 : 每小時檢查一次更新每日一次 : 預約更新會依照開始時間每日執行一次每週一次 : 預約更新會依照開始時間, 在每週的某一天執行一次每月一次 : 預約更新會依照開始時間, 在每月的特定日執行開始時間 : 預約更新的開始時間更新期間 : 可執行更新的期間 3. 按一下儲存秘訣 : 趨勢科技會在病毒 / 惡意程式爆發期間迅速更新病毒碼檔案 ( 每週發出更新的次數可能不只一次 ) 掃瞄引擎與其他元件也會定期更新趨勢科技建議您每天更新元件, 並於病毒 / 惡意程式爆發時增加更新次數, 以協助確保代理程式擁有最新的元件還原或同步處理元件還原更新指的是還原為前一版本的病毒碼檔案或掃瞄引擎如果您正在使用的病毒碼檔案或掃瞄引擎運作不正確, 請將這些元件還原為舊版同步處理是指將更新的元件部署至所有代理程式注意 : 您只能還原病毒碼檔案和掃瞄引擎, 其他元件均無法還原代理程式會使用下列掃瞄引擎 : 32 位元病毒掃瞄引擎 64 位元病毒掃瞄引擎 9-12

213 更新元件您必須分別還原這些類型的掃瞄引擎這兩種類型掃瞄引擎的還原程序是完全相同的 Trend Micro Security Server 僅保留目前與前一版本的掃瞄引擎, 以及最近五個病毒碼檔案瀏覽路徑 : 更新 > 還原圖 9-4 還原畫面如果要還原或同步處理病毒碼檔案或掃瞄引擎 : 在還原畫面中, 視需要選取下列選項 : 還原 : 可將 Security Server 和代理程式元件回復到舊版同步化 : 可將更新的元件部署到代理程式 9-13

214 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 9-14

215 第 10 章檢視和解譯記錄檔與報告本章說明如何使用記錄檔和報告來監控系統以及分析防護能力本章討論下列主題 : 第 10-2 頁的記錄檔第 10-3 頁的報告第頁的管理記錄檔和報告第 10-7 頁的產生報告第頁的管理記錄檔和報告 10-1

216 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊記錄檔 Worry-Free Business Security Advanced 會保留關於病毒 / 惡意程式和間諜程式 / 可能的資安威脅程式感染事件以及更新的詳細記錄檔您可以使用這些記錄檔來存取您組織的防護策略, 並辨識出極可能感染病毒的用戶端您也可以用這些記錄檔來檢查已成功部署的更新檔注意 : 請使用試算表應用程式 ( 例如 :Microsoft Excel) 來檢視 CSV 記錄檔 Worry-Free Business Security Advanced 會保留下列類別下的記錄檔 : 管理主控台事件記錄檔桌上型電腦 / 伺服器記錄檔 Microsoft Exchange Server 記錄檔表 10-1 記錄檔類型和內容類型 ( 產生記錄項目的事件或項目 ) 管理主控台事件桌上型電腦 / 伺服器內容 ( 取得內容的記錄檔類型 ) 手動掃瞄更新疫情爆發防範事件主控台事件病毒記錄檔手動掃瞄即時掃瞄預約掃瞄 Cleanup ( 損害清除及復原 ) 間諜程式記錄檔手動掃瞄即時掃瞄預約掃瞄 URL 違規記錄檔行為監控記錄檔更新記錄檔網路病毒記錄檔疫情爆發防範記錄檔事件記錄檔 10-2

217 檢視和解譯記錄檔與報告表 10-1 記錄檔類型和內容類型 ( 產生記錄項目的事件或項目 ) Microsoft Exchange Server 內容 ( 取得內容的記錄檔類型 ) 病毒記錄檔無法掃瞄的郵件部分記錄檔附件封鎖記錄檔內容過濾記錄檔更新記錄檔備份記錄檔封存記錄檔疫情爆發防範記錄檔掃瞄事件記錄檔無法掃瞄的郵件部分記錄檔報告本節將說明如何設定綜合報告和預約報告綜合報告產生綜合報告, 以檢視經過整理且由圖表顯示的記錄檔資訊預約報告預約報告的內容與綜合報告類似, 但前者會在指定的時間與頻率產生如果要產生預約報告, 請選取報告內容, 並將其儲存為範本 Worry-Free Business Security Advanced 會依照指定的時間和頻率使用此範本產生報告 10-3

218 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊解譯報告 Worry-Free Business Security Advanced 報告包含下列資訊顯示的資訊可能會隨所選的選項而不同表 10-2 報告的內容報告項目說明防毒桌上型電腦 / 伺服器病毒摘要病毒報告會顯示掃瞄引擎偵測到的病毒 / 惡意程式數目和類型, 以及所採取的中毒處理行動的詳細資訊報告也會列出最常偵測到的病毒 / 惡意程式名稱按一下病毒 / 惡意程式的名稱, 會開啟新的 Web 瀏覽器頁面, 然後將它重新導向至趨勢科技病毒百科全書, 以便瞭解更多該病毒 / 惡意程式的資訊偵測到最多病毒的前 5 部桌上型電腦 / 伺服器顯示最常報告病毒 / 惡意程式偵測的前 5 名桌上型電腦或伺服器在同一個用戶端上發現頻繁的病毒 / 惡意程式事件, 表示用戶端可能存在高度的安全威脅, 而需要進一步的調查間諜程式防護桌上型電腦 / 伺服器間諜程式 / 可能的資安威脅程式摘要間諜程式 / 可能的資安威脅程式報告會顯示在用戶端上偵測到的間諜程式 / 可能的資安威脅程式的詳細資訊, 其中包括偵測數目以及 Worry-Free Business Security Advanced 所執行的處理行動報告中包含圓形圖, 顯示每一項間諜程式防護中毒處理行動的已執行百分比偵測到最多間諜程式 / 可能的資安威脅程式的前 5 部桌上型電腦 / 伺服器報告中也會顯示偵測到最多的前 5 個間諜程式 / 可能的資安威脅程式, 以及偵測到含有最多間諜程式 / 可能的資安威脅程式的前 5 部桌上型電腦 / 伺服器如需瞭解偵測到的間諜程式 / 可能的資安威脅程式的詳細資訊, 請按一下間諜程式 / 可能的資安威脅程式的名稱如此將會開啟新的 Web 瀏覽器網頁, 並顯示趨勢科技網站所提供與該間諜程式 / 可能的資安威脅程式相關的資訊疫情爆發防範記錄垃圾郵件防護摘要疫情爆發防範記錄顯示最近的疫情爆發疫情爆發的嚴重性及識別造成疫情爆發的病毒 / 惡意程式與及其傳送方式 ( 透過電子郵件或檔案 ) 垃圾郵件摘要垃圾郵件防護報告會顯示, 在掃瞄的訊息總數量中, 所偵測到的垃圾郵件和釣魚網站的數目的資訊它會列出垃圾郵件誤判 10-4

219 檢視和解譯記錄檔與報告表 10-2 報告的內容報告項目內容過濾摘要說明內容過濾摘要內容過濾報告會顯示 Messaging Security Agent 所過濾的訊息總數的資訊前 10 名違規的內容過濾規則前 10 名違規的內容過濾規則清單請使用此報告結果來微調您的過濾規則網路病毒偵測到的前 10 種網路病毒列出一般防火牆驅動程式最常偵測到的 10 種網路病毒按一下病毒的名稱, 會開啟新的 Web 瀏覽器頁面, 然後將它重新導向至趨勢科技病毒百科全書, 以便瞭解更多該病毒 / 惡意程式的資訊最常遭受攻擊的前 10 部電腦列出您的網路上最常回報病毒 / 惡意程式事件的用戶端網頁信譽評等服務行為監控前 10 部違反網頁信譽評等服務策略的電腦列出最常違反網頁信譽評等服務策略的前 10 個用戶端前 5 名違反行為監控策略的程式列出違反行為監控策略的前 5 個程式前 10 名違反行為監控策略的電腦列出前 10 個最常違反行為監控策略的用戶端使用記錄查詢執行記錄查詢可以從記錄資料庫取得資訊您可以使用記錄查詢畫面來設定和執行查詢查詢結果可以 CSV 檔案格式匯出, 或列印出來注意 : MSA 會每隔 5 分鐘將其記錄檔傳送到 Security Server ( 無論記錄檔於何時產生 ) 10-5

220 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊瀏覽路徑 : 報告 > 記錄查詢圖 10-1 預設記錄查詢畫面如果要檢視記錄檔 : 1. 在記錄查詢畫面中, 視需要更新下列選項 : 時間範圍預先設定的範圍指定範圍 : 將查詢限定於特定日期類型 : 如果想檢視各種記錄檔類型的內容, 請參閱第 10-2 頁的表 10-1 管理主控台事件桌上型電腦 / 伺服器 Microsoft Exchange Server 內容 : 可用的選項取決於記錄檔類型 2. 按一下顯示記錄檔 10-6

221 檢視和解譯記錄檔與報告如果要將記錄檔儲存為逗號分隔值 (CSV) 資料檔案, 請按一下匯出使用試算表應用程式檢視 CSV 檔案圖範例記錄查詢畫面產生報告綜合報告只會提供一次選定內容的摘要預約報告則會定期提供選定內容的摘要 10-7

222 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊瀏覽路徑 : 報告 > 綜合報告或預約報告如果要建立或預約報告 : 1. 在綜合報告畫面或預約報告畫面中, 按一下新增報告 / 新增 2. 視需要更新下列選項 : 報告名稱 / 報告範本名稱 : 有助於識別報告 / 範本的簡短標題預約 : 僅適用於預約報告每日一次 : 預約掃瞄會依照每日指定的時間執行每週一次 : 預約掃瞄會依照指定的時間, 在每週的某一天執行一次每月一次 : 預約掃瞄會依照指定的時間, 在每月的某一天執行一次如果您在只有 30 天的月份選取 31 天,Worry-Free Business Security Advanced 將不會產生該月的報告報告產生時間 :Worry-Free Business Security Advanced 應產生報告的時間 10-8

223 檢視和解譯記錄檔與報告時間範圍 : 將報告限定於特定日期內容 : 如果要選取所有安全威脅, 請選取全選核取方塊如果要選取個別的安全威脅, 請按一下對應的核取方塊按一下可展開選項傳送報告至 : Worry-Free Business Security Advanced 會將產生的報告傳送給指定的收件人請以半形分號 (;) 分隔多個項目作為 PDF 附件作為報告的連結 3. 按一下產生 / 新增按一下報告名稱, 在綜合報告或預約報告畫面中檢視該報告如果啟動傳送報告至,Worry-Free Business Security Advanced 即會傳送 PDF 附件或連結給收件人如果要刪除報告, 請在綜合報告或預約報告畫面中選取報告的相應核取方塊, 然後按一下刪除如果要編輯預約報告範本, 請在預約報告畫面中按一下範本的名稱, 並視需要更新選項圖顯示間諜程式 / 可能的資安威脅程式摘要的範本報告 10-9

224 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊管理記錄檔和報告未定期刪除的報告會快速累積刪除報告是一項既費時又費力的工作 Worry-Free Business Security Advanced 可以自動幫您執行這項工作報告是以記錄檔為基礎, 而當記錄資訊刪除時, 就不會再產生報告維護報告限制 Worry-Free Business Security Advanced 儲存的報告數目, 以刪除過期的報告瀏覽路徑 : 報告 > 維護 > 報告標籤圖 10-4 報告維護畫面如果設定要保留的報告的最大數目 : 1. 在維護畫面的報告標籤中, 設定下列項目的報告儲存數目上限 : 綜合報告儲存在每個範本中的預約報告報告範本 2. 按一下儲存 10-10

225 檢視和解譯記錄檔與報告自動刪除記錄檔設定記錄檔的儲存天數上限, 以自動刪除過期的記錄檔瀏覽路徑 : 報告 > 維護 > 自動刪除記錄檔標籤圖 10-5 自動刪除記錄檔畫面如果要自動刪除記錄檔 : 1. 在維護畫面的自動刪除記錄檔標籤中, 選取記錄檔類型, 並指定其儲存天數 2. 按一下儲存 10-11

226 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊手動刪除記錄檔在記錄檔無需使用時以手動刪除瀏覽路徑 : 報告 > 維護 > 報告標籤圖 10-6 手動刪除記錄檔畫面如果要手動刪除記錄檔 : 1. 在維護畫面的手動刪除記錄檔標籤中, 指定記錄檔類型的儲存天數, 然後按一下該記錄檔類型對應的刪除 2. 按一下儲存秘訣 : 如果要刪除所有記錄檔, 請將天數指定為 0, 然後按一下刪除 10-12

227 第 11 章使用通知本章說明如何使用不同的通知選項本章討論下列主題 : 第 11-2 頁的關於通知第 11-3 頁的設定通知第 11-4 頁的自訂通知警訊第 11-5 頁的設定通知設定 11-1

228 Trend Micro Worry-Free Business Security Advanced 5.0 管理手冊關於通知為了讓管理員監控 Worry-Free Business Security Advanced 所需的時間降至最低, 並確保管理員在疫情爆發之前收到早期警訊, 請將 Security Server 設定成只要網路上有不正常的事件, 便傳送通知 Worry-Free Business Security Advanced 可以使用電子郵件 SNMP 或 Windows 事件記錄檔來傳送通知通知的條件會影響即時狀態畫面那些條件會觸發狀態圖示, 使其從正常變成警告或請馬上執行處理行動依預設, 會選取通知畫面中列出的所有事件, 並觸發 Security Server 將通知傳送給系統管理員安全威脅事件疫情爆發防範 :TrendLabs 已宣佈警訊, 或偵測到非常嚴重的弱點防毒 : 在用戶端或 Microsoft Exchange Server 上偵測到的病毒 / 惡意程式超過特定數目對病毒 / 惡意程式採取的中毒處理行動已失敗, 而且已關閉用戶端或 Microsoft Exchange Server 上的即時掃瞄間諜程式防護 : 在用戶端上偵測到間諜程式 / 可能的資安威脅程式, 包括中毒用戶端必須重新啟動才能完全移除間諜程式 / 可能的資安威脅程式的威脅您也可以設定間諜程式 / 可能的資安威脅程式通知門檻值, 也就是在指定時間 ( 預設為一小時 ) 內偵測到的間諜程式 / 可能的資安威脅程式事件數目網頁信譽評等服務 :URL 違規數目超過在特定期間設定的數目行為監控 : 策略違規數目超過在特定期間設定的數目垃圾郵件防護 : 垃圾郵件數目超過全部電子郵件的特定百分比網路病毒 : 偵測到的網路病毒超過特定數目系統事件使用授權 : 產品使用授權即將到期或已到期, 授權數目使用率超過 80% 或授權數目使用率超過 100% 元件更新 : 上次元件更新超過特定的天數, 或更新的元件太慢部署到代理程式特殊系統事件 : 任何執行 Windows Server 作業系統的用戶端上的剩餘磁碟空間小於設定的數目 ; 達到嚴重不足的程度 11-2

229 使用通知設定通知設定通知包含兩個步驟 - 首先, 選取需要通知的事件, 然後設定傳送的方法 Worry-Free Business Security Advanced 提供三種傳送方法 - 電子郵件通知 SNMP 通知和 Windows 事件記錄檔瀏覽路徑 : 偏好設定 > 通知 > 事件標籤圖 11-1 通知事件畫面如果要設定通知事件 : 1. 從通知畫面的事件標籤, 視需要更新下列項目 : 安全威脅事件 : 選取類型核取方塊以接收所有事件的通知或者, 可以選取個別事件對應的核取方塊按一下展開每個事件並設定該事件的門檻值和 ( 或 ) 時段 2. 按一下儲存 11-3

230 Trend Micro Worry-Free Business Security Advanced 5.0 管理手冊自訂通知警訊自訂事件通知的主旨和郵件內文瀏覽路徑 : 偏好設定 > 通知 > 按一下通知圖 11-2 通知內容畫面如果要自訂通知的內容 : 警告! 不要變更方括號包含的資訊 1. 在主旨欄位中, 輸入新主旨 2. 在訊息欄位中, 輸入新郵件內文 3. 按一下儲存 11-4

231 使用通知設定通知設定瀏覽路徑 : 偏好設定 > 通知 > 設定標籤圖 11-3 通知畫面如果要設定通知傳送方法 : 1. 從通知畫面的設定標籤, 視需要更新下列項目 : 電子郵件通知 : 設定通知寄件人和收件人的電子郵件信箱從事件標籤設定電子郵件的內容寄件人收件人 : 使用分號 (;) 隔開多個電子郵件信箱 SNMP 通知的收件人 :SNMP 為網路主機用於交換網路管理所用資訊的通訊協定如果要檢視 SNMP Trap 的資料, 請使用 Management Information Base 瀏覽器啟動 SNMP 通知 IP 位址 :SNMP Trap 的 IP 位址社群 :SNMP 社群字串 11-5

232 Trend Micro Worry-Free Business Security Advanced 5.0 管理手冊記錄 : 使用 Windows 事件記錄檔的通知寫入 Windows 事件記錄檔注意 : 您可以使用上述任一或所有的通知方法 2. 按一下儲存 11-6

233 第 12 章設定全域設定本章說明如何使用全域設定本章討論下列主題: 第 12-2 頁的 Internet Proxy 選項第 12-3 頁的 SMTP 伺服器選項第 12-3 頁的桌上型電腦 / 伺服器選項第頁的系統選項 12-1

234 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 Internet Proxy 選項如果您的網路使用 Proxy 伺服器與 Internet 連線, 請指定下列服務的 Proxy 伺服器設定 : 元件更新授權通知和 Smart Protection Network 如果要設定這些服務的 Proxy 伺服器設定, 請修改 Proxy 標籤中更新授權通知和 Smart Protection Network 的設定下方的欄位網頁信譽評等服務和行為監控如果要設定這些服務的 Proxy 伺服器設定, 請修改 Proxy 標籤中網頁信譽評等服務和行為監控的設定下方的欄位注意 : 注意 :CSA 一律會使用 Internet Explorer 所用的相同 Proxy 伺服器和通訊埠, 以連接到 Internet 進行網頁信譽評等服務和行為監控只有在用戶端電腦上的 Internet Explorer 使用相同的 Proxy 伺服器和通訊埠時, 才複製您為更新服務指定的登入認證瀏覽路徑 : 偏好設定 > 全域設定 > Proxy 標籤圖 12-1 全域設定 - Proxy 伺服器設定畫面 12-2

235 設定全域設定 SMTP 伺服器選項 SMTP 伺服器設定會套用到由 Worry-Free Business Security Advanced 產生的所有通知和報告瀏覽路徑 : 偏好設定 > 全域設定 > SMTP 標籤圖 12-2 全域設定畫面上的 SMTP 標籤如果要設定 SMTP 伺服器 : 1. 從全域設定畫面的 SMTP 標籤, 視需要更新下列項目 : SMTP 伺服器 :SMTP 伺服器的 IP 位址或名稱通訊埠 2. 按一下儲存桌上型電腦 / 伺服器選項桌上型電腦 / 伺服器選項屬於 Worry-Free Business Security Advanced 全域設定個別群組的設定會覆寫這些設定如果您尚未對群組設定特定選項, 則會使用桌上型電腦 / 伺服器選項例如, 如果特定群組沒有核准的 URL, 則在此畫面上核准的所有 URL 都適用於該群組 12-3

236 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊瀏覽路徑 : 偏好設定 > 全域設定 > 桌上型電腦 / 伺服器標籤圖 12-3 全域設定畫面的桌上型電腦 / 伺服器標籤 12-4

237 設定全域設定如果要設定桌上型電腦/ 伺服器選項.. 1. 從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 第 12-5 頁的位置感知第 12-6 頁的一般掃瞄設定第 12-6 頁的病毒掃瞄設定第 12-7 頁的間諜程式 / 可能的資安威脅程式掃瞄設定第 12-7 頁的網頁信譽評等服務第 12-7 頁的行為監控第 12-8 頁的 IM 內容過濾第 12-8 頁的警訊設定第 12-8 頁的 Watchdog 設定第 12-9 頁的解除安裝代理程式第 12-9 頁的卸載代理程式 2. 按一下儲存位置感知位置感知可控制在辦公室中/ 辦公室以外的地方連線設定如需詳細資訊, 請參閱第 1-22 頁的根據位置控制安全設定從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 啟動位置感知 : 這些設定會影響網頁信譽評等服務 TrendSecure 和防火牆的在辦公室中/ 辦公室以外的地方連線設定閘道資訊 : 從遠端連線至網路 ( 使用 VPN) 並啟動位置感知後, 此清單中的用戶端和連線會使用內部連線設定閘道 IP 位址 MAC 位址 : 新增 MAC 位址可將連線的權限限定於已設定裝置, 藉以提升安全性按一下對應的圖示即可進行刪除 12-5

238 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊一般掃瞄設定從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 不掃瞄 Security Server 資料庫資料夾 : 僅於即時掃瞄時防止安裝於 Security Server 的代理程式掃瞄它自己的資料庫注意 : 依預設,Worry-Free Business Security Advanced 不會掃瞄自身的資料庫趨勢科技建議您保留此項選擇, 防止掃瞄時可能會發生的資料庫損毀在 Microsoft Exchange Server 上安裝時不掃瞄 Microsoft Exchange Server 的資料夾 : 防止安裝於 Microsoft Exchange Server 的代理程式掃瞄 Microsoft Exchange 的資料夾不掃瞄 Microsoft 網域控制器的資料夾 : 防止安裝於網域控制器的代理程式掃瞄網域控制器的資料夾這些資料夾儲存使用者資訊使用者名稱密碼和其他重要資訊不掃瞄陰影複製區段 : 陰影複製服務或磁碟區快照服務會取得特定磁碟區中, 檔案或資料夾的手動或自動備份副本或快照病毒掃瞄設定從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 設定大型壓縮檔的掃瞄設定 : 指定解壓縮檔的最大大小, 以及代理程式應掃瞄的壓縮檔中的檔案數目清除壓縮檔 : 代理程式會嘗試清除壓縮檔內的中毒檔案最多掃瞄 { } 個 OLE 層 : 代理程式會掃瞄指定的物件連結與嵌入 (OLE) 層數 OLE 可讓您使用一個應用程式來建立物件, 然後在另一個應用程式中連結或嵌入這些物件例如 : 內嵌於.doc 檔案中的.xls 檔案將手動掃瞄新增到用戶端的 Windows 捷徑功能表 : 將使用 Client/Server Security Agent 來掃瞄連結新增至內容感應式功能表如此一來, 使用者即可用滑鼠右鍵按一下檔案或資料夾 ( 在桌面上或 Windows 檔案總管中 ) 並手動掃瞄檔案或資料 12-6

239 設定全域設定間諜程式 / 可能的資安威脅程式掃瞄設定從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 掃瞄 Cookie: 代理程式會透過造訪網站的方式來掃瞄和移除已下載至用戶端的追蹤 Cookie 偵測到的追蹤 Cookie 會遞增即時狀態畫面上的間諜程式 / 可能的資安威脅程式計數器將 Cookie 記入間諜程式記錄檔 : 將偵測到的間諜程式 Cookie 新增至間諜程式記錄檔網頁信譽評等服務網頁信譽評等服務可增強防止造訪惡意網站的保護網頁信譽評等服務運用趨勢科技的龐大 Web 安全資料庫, 檢查使用者嘗試存取的 HTTP URL 信譽, 或者電子郵件內嵌的 URL 信譽如需詳細資訊, 請參閱第 1-23 頁的保護用戶端以防止其造訪惡意網站從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 要核可的 URL: 請以分號 (;) 分隔多個 URL 按一下新增, 注意 : 核可 URL 包含核可其所有的子網域核可的 URL 清單 : 不會封鎖此清單中的 URL 如果要刪除某個項目, 請按一下對應的圖示啟動 CSA 使用率記錄檔 : 代理程式會將存取的 URL 詳細資訊傳送至 Security Server 如需有關根據用戶端的位置來設定網頁信譽評等服務的詳細資訊, 請參閱第 5-14 頁的網頁信譽評等服務行為監控行為監控可防護用戶端未經授權擅自變更作業系統登錄項目其他軟體或檔案和資料夾對低風險的變更或受到監控的處理行動啟動快顯 : 代理程式會對使用者提出低風險變更或受監控行動的警告 12-7

240 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 IM 內容過濾系統管理員可以限制在即時通訊應用程式中特定字組或詞組的用法即時通訊 (IM) 是一種介於兩人或多人之間的即時通訊形式, 並以輸入的文字做為基礎而文字是透過經由網路連線的用戶端來傳輸代理程式可以限制下列 IM 應用程式中所用的字組.. AIM 6 ( 不支援 2008 年 3 月後發行的 Build) ICQ 6 ( 不支援 2008 年 3 月後發行的 Build) MSN Messenger Windows Messenger Live Yahoo!Messenger 8.1 從全域設定畫面的桌上型電腦 / 伺服器標籤, 如所述使用下列欄位 : 限制字組 : 使用此欄位新增限制的字組或詞組您可以限制多達 31 個字組或詞組每個字組或詞組都不能超過 35 個字元 ( 中文則為 17 個字元 ) 輸入一或多項目並使用半形分號 (;) 分隔, 然後按一下新增 >> 限制字組 / 詞組清單 : 此清單中的字組或詞組不能用於 IM 對話中如果要刪除某個項目, 請按一下對應的圖示警訊設定從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 如果病毒碼檔案在 { } 天後未更新, 便在 Windows 工作列上顯示警訊圖示 : 在特定天數後若未更新病毒碼檔案, 則對用戶端顯示警訊圖示 Watchdog 設定 Watchdog 選項可確保 Client/Server Security Agent 持續不斷保護用戶端啟動之後,Watchdog 會每隔 x 分鐘檢查一次代理程式的可用性如果無法使用代理程式 Watchdog 會嘗試重新啟動代理程式秘訣 : 趨勢科技建議您啟動 Watchdog 服務, 以協助確保 Client/Server Security Agent 隨時保護您的用戶端如果 Client/Server Security Agent 非預期地結束, 可能是因為用戶端遭受駭客攻擊,Watchdog 服務便會重新啟動 Client/Server Security Agent 12-8

241 設定全域設定從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 啟動代理程式的 Watchdog 服務每隔 { } 分鐘檢查用戶端狀態 : 決定 Watchdog 服務應該多久檢查一次用戶端狀態如果無法啟動用戶端, 請再試 { } 次 : 決定 Watchdog 服務應該嘗試重新啟動 Client/Server Security Agent 的次數解除安裝代理程式從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 允許用戶端使用者解除安裝 Client/Server Security Agent: 允許使用者解除安裝 Client/Server Security Agent 需要密碼才能讓用戶端使用者解除安裝 Client/Server Security Agent: 在提供指定的密碼後, 即允許使用者解除安裝 Client/Server Security Agent 密碼確認密碼卸載代理程式從全域設定畫面的桌上型電腦 / 伺服器標籤, 視需要更新下列項目 : 允許用戶端使用者卸載 Client/Server Security Agent: 允許使用者卸載 Client/Server Security Agent 需要密碼才能讓用戶端使用者卸載 Client/Server Security Agent: 在提供指定的密碼後, 即允許使用者卸載 Client/Server Security Agent 密碼確認密碼 12-9

242 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊系統選項全域設定畫面的系統區段包含用來自動移除離線代理程式檢查代理程式的連線和維護隔離資料夾的選項瀏覽路徑 : 偏好設定 > 全域設定 > 系統標籤圖 12-4 全域設定畫面的系統標籤如果要設定系統選項: 1. 從全域設定畫面的系統標籤, 視需要更新下列項目 : 第頁的移除離線 Client/Server Security Agent 第頁的驗證用戶端與伺服器之間的連線能力第頁的維護隔離資料夾 2. 按一下儲存 12-10

243 設定全域設定移除離線 Client/Server Security Agent 當您使用 Client/Server Security Agent 解除安裝用戶端上的程式, 以從用戶端移除代理程式時, 程式會自動通知 Security Server 當 Security Server 收到這項通知時, 便會將該用戶端圖示自安全群組樹狀結構中移除, 藉以表示該用戶端不復存在然而, 如果使用其他方法移除 Client/Server Security Agent ( 例如, 重新格式化電腦的硬碟或手動刪除用戶端檔案 ),Security Server 就無法得知 Client/Server Security Agent 已經移除, 而會將它顯示為離線如果使用者長期卸載或關閉代理程式,Security Server 也會將該 Client/Server Security Agent 顯示為離線如果要讓安全群組樹狀結構只顯示連線的用戶端, 您可以將 Security Server 設定成自動移除安全群組樹狀結構中的離線 Client/Server Security Agent 如果要移除離線代理程式 : 1. 從全域設定畫面的系統標籤, 視需要更新下列項目 : 啟動自動移除離線的 Client/Server Security Agent: 啟動自動移除在指定的天數內未與 Security Server 接觸的用戶端在離線 { } 天後自動移除 Client/Server Security Agent: 允許用戶端離線的天數, 若超過此限便從 Web 主控台移除用戶端 2. 按一下儲存驗證用戶端與伺服器之間的連線能力 Worry-Free Business Security Advanced 會在安全群組樹狀結構中使用圖示來表示用戶端連線狀態但是, 某些狀況可能會造成安全群組樹狀結構無法正確顯示用戶端連線狀態例如 : 用戶端的網路線被意外拔掉, 用戶端無法通知 Trend Micro Security Server 其正處於離線狀態這個用戶端在安全群組樹狀結構中仍然會顯示為線上狀態您可以從 Web 主控台手動或依排程驗證伺服器和用戶端的連線注意 : 驗證連線不允許選取特定的群組或用戶端它會驗證向 Security Server 註冊的所有用戶端的連線 12-11

244 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要驗證用戶端與伺服器間的連線 : 1. 從全域設定畫面的系統標籤, 視需要更新下列項目 : 啟動預約驗證 : 啟動代理程式和 Security Server 通訊的預約驗證每小時一次每日一次每週一次開始時間 : 驗證的開始時間立即驗證 : 立即測試代理程式和 Security Server 的連線狀況 2. 按一下儲存維護隔離資料夾每當代理程式在檔案中偵測到 Internet 安全威脅, 而且該類安全威脅的中毒處理行動為隔離時, 代理程式會加密中毒檔案, 並將檔案移到用戶端的隔離資料夾, 然後再傳送到 Trend Micro Security Server 的隔離資料夾中 Worry-Free Business Security Advanced 會加密中毒檔案, 防止感染其他檔案下列是 Client/Server Security Agent 隔離資料夾的預設位置 : C:\Program Files\Trend Micro\Client Server Security Agent\SUSPECT Trend Micro Security Server 的隔離資料夾的預設位置如下 : C:\Program Files\Trend Micro\Security Server\PCCSRV\Virus 注意 : 如果代理程式因故 ( 例如網路連線問題 ) 無法將加密檔案傳送至 Trend Micro Security Server, 加密檔案就會留在用戶端的隔離資料夾中代理程式會在與 Trend Micro Security Server 重新連線後, 嘗試重新傳送檔案如需設定掃瞄設定或變更隔離資料夾位置的詳細資訊, 請參閱第 12-6 頁的病毒掃瞄設定 12-12

245 設定全域設定如果要維護隔離資料夾 : 1. 從全域設定畫面的系統標籤, 視需要更新下列項目 : 隔離資料夾容量 : 隔離資料夾的大小 ( 以 MB 為單位 ) 單一檔案大小上限 : 存放在隔離資料夾中的單一檔案大小上限 ( 以 MB 為單位 ) 刪除所有隔離檔案 : 刪除隔離資料夾中的所有檔案如果資料夾已滿但又上傳新檔案, 則不會儲存新的檔案 2. 按一下儲存 12-13

246 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊 12-14

247 第 13 章執行其他管理工作本章說明如何使用其他管理工作, 例如 : 檢視產品使用授權使用 Plug-in Manager 和解除安裝 Security Server 本章討論下列主題 : 第 13-2 頁的變更 Web 主控台密碼第 13-3 頁的使用 Plug-in Manager 第 13-3 頁的檢視產品使用授權詳細資料第 13-5 頁的參與 Smart Protection Network 第 13-5 頁的變更代理程式的介面語言第 13-6 頁的解除安裝 Trend Micro Security Server 13-1

248 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊變更 Web 主控台密碼為了避免未經授權的使用者從您的用戶端修改設定或移除代理程式,Web 主控台設有密碼保護 Worry-Free Business Security Advanced 主安裝程式會要求您指定 Web 主控台密碼 ; 不過, 您仍可從 Web 主控台修改密碼秘訣 : 趨勢科技建議您對 Web 主控台使用強式密碼強式密碼的長度至少有八個字元, 包含一或多個大寫字母 (A-Z) 一或多個小寫字母 (a-z) 一或多個數字 (0-9), 以及一或多個特殊字元或標點符號 (!@#$%^&,.:;?) 強式密碼絕對不可以和使用者的登入名稱相同, 也不得包含登入名稱強式密碼中不能加入使用者的姓名生日, 或是任何可以輕易與使用者產生聯想的項目瀏覽路徑 : 偏好設定 > 密碼圖 13-1 偏好設定 - 密碼畫面如果要變更 Web 主控台密碼 : 1. 從密碼畫面, 視需要更新下列選項 : 舊密碼新密碼確認密碼 : 重新輸入新密碼以便確認 2. 按一下儲存注意 : 如果您忘記 Web 主控台密碼, 請與趨勢科技客戶服務部門聯絡, 以瞭解再次進入 Web 主控台的方法另一種解決方法是移除並重新安裝 Worry-Free Business Security Advanced 請參閱第 13-6 頁的解除安裝 Trend Micro Security Server 13-2

249 執行其他管理工作使用 Plug-in Manager 瀏覽路徑 : 偏好設定 > 外掛程式 Plug-in Manager 會在 Worry-Free Business Security Advanced 和代理程式的外掛程式推出後, 立刻在 Web 主控台中同時顯示這些程式您就可以從 Web 主控台安裝並管理這些程式, 包含將用戶端外掛程式佈署到代理程式按一下 Web 主控台主功能表上的 Plug-in Manager, 以下載並安裝 Plug-in Manager 安裝後, 您可以檢查是否有可用的外掛程式如需詳細資訊, 請參閱外掛程式的文件檢視產品使用授權詳細資料您可以透過產品使用授權畫面來續約升級或檢視產品使用授權的詳細資料瀏覽路徑 : 偏好設定 > 產品使用授權圖 13-2 偏好設定 - 產品使用授權畫面產品使用授權畫面會顯示有關您的使用授權的詳細資訊根據您在安裝期間所選擇的選項, 您可能會有完整授權的版本或試用版不論是哪種情況, 您的使用授權都可讓您享有維護合約當您的維護合約到期時, 網路上的用戶端所受到的保護將極為有限使用產品使用授權畫面預先找出使用授權的到期日, 然後在到期日之前先續約 13-3

250 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊使用授權到期的結果當完整版的啟動碼到期時, 您便無法下載引擎或病毒碼檔案的更新但仍會保留所有現有組態和其他設定, 如此一來, 就算您的使用授權意外到期, 仍能維持一定的保護程度產品使用授權續約 : 1. 請洽詢趨勢科技的銷售人員或公司經銷商, 以便續約使用授權合約經銷商資訊請參考以下連結 : 2. 趨勢科技的銷售人員會使用趨勢科技的產品註冊更新您的註冊資訊 3. Security Server 會定時詢問產品註冊伺服器, 並從產品註冊伺服器直接接收新的到期日進行使用授權的續約程序時, 您不需要手動輸入新的啟動碼變更使用授權您所擁有的使用授權類型取決於您的啟動碼您可能擁有試用版或完整授權的版本, 或可能擁有 Worry-Free Business Security Advanced 使用授權或 Worry-Free Business Security 使用授權如果要變更使用授權, 請透過產品使用授權畫面來輸入新的啟動碼如果要將您的使用授權從試用版變更為完整授權版本 : 1. 按一下輸入新的啟動碼, 2. 並在空白處輸入新的啟動碼 3. 按一下啟動 13-4

251 執行其他管理工作參與 Smart Protection Network 趨勢科技 Smart Protection Network 將因為您的參與, 而讓趨勢科技得以在安全威脅入侵您的電腦前, 提供可封鎖安全威脅的主動式解決方案作為 Smart Protection Network 的一部分, 您將為我們的相關性技術提供重要資訊, 讓我們可以先行清除安全威脅來源, 以免造成危害這個意見回應機制會根據通訊來源的信譽來收集安全威脅資訊, 而不是根據特定通訊的內容, 因此可保護您個人或企業的隱私權資訊瀏覽路徑 : 偏好設定 > Smart Protection Network 圖 13-3 Smart Protection Network 註冊畫面如需 Smart Protection Network 的詳細資訊, 請造訪 : 變更代理程式的介面語言系統管理員可以為 Client/Server Security Agent 提供地區設定特有的語言套件在系統管理員安裝所有的語言套件後, 使用者就能夠看見以作業系統地區設定的對應語言顯示的 Client/Server Security Agent 介面注意 : 該代理程式介面所用的語言將對應於在用戶端作業系統上設定的地區設定如果要提供語言套件 : 1. 從相關連結下載適當的語言套件 2. 將語言套件複製到 Security Server 上的 PCCSRV\Download\LangPack\ 3. 重新啟動需要新語言套件的用戶端 13-5

252 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊解除安裝 Trend Micro Security Server 警告! 解除安裝 Trend Micro Security Server 會使您的網路容易受到威脅 Worry-Free Business Security Advanced 可使用解除安裝程式, 從您的電腦安全地移除 Trend Micro Security Server 在移除 Security Server 之前, 先從所有用戶端移除代理程式注意 : 解除安裝 Trend Micro Security Server 並不會解除安裝代理程式在解除安裝 Trend Micro Security Server 之前, 系統管理員必須先解除安裝或移動所有的代理程式請參閱第 3-20 頁的移除代理程式如果要移除 Trend Micro Security Server: 1. 在用來安裝伺服器的電腦上, 按一下開始 > 控制台 > 新增或移除程式 2. 按一下 Trend Micro Security Server, 然後按一下變更 / 移除會出現確認畫面 3. 按一下下一步主解除安裝程式 ( 伺服器解除安裝程式 ) 會提示您輸入系統管理員密碼 4. 在文字方塊中輸入系統管理員的密碼, 再按一下確定主解除安裝程式會開始移除伺服器檔案在解除安裝 Security Server 之後, 隨即出現確認訊息 5. 按一下確定以關閉解除安裝程式 13-6

253 第 14 章使用管理工具和用戶端工具本章說明如何使用 Worry-Free Business Security Advanced 隨附的管理工具和用戶端工具本章討論下列主題 : 第 14-2 頁的工具類型第 14-3 頁的管理工具第 14-7 頁的用戶端工具第頁的增益集 14-1

254 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊工具類型 Worry-Free Business Security Advanced 提供一組工具, 協助您輕鬆完成各項工作, 包括伺服器組態和用戶端管理注意 : 您無法從 Web 主控台使用這些工具如需有關使用這些工具的詳細資訊, 請參閱下面的相關章節這些工具可分為三大類 : 管理工具 : 協助設定 Trend Micro Security Server 和管理代理程式 Login Script Setup (autopcc.exe): 自動安裝 Client/Server Security Agent Vulnerability Scanner (TMVS.exe): 尋找網路上未受保護的電腦用戶端工具 : 協助增強代理程式的效能用戶端包裝程式 (ClnPack.exe): 建立包含 Client/Server Security Agent 和元件的自動解壓縮檔還原加密檔案 (VSEncode.exe): 開啟由 Worry-Free Business Security Advanced 加密的中毒檔案 Touch Tool (TmTouch.exe): 變更 HotFix 上的時間戳記, 將它與系統時鐘進行同步化 Client Mover 工具 (IpXfer.exe): 可以將用戶端從某部 Security Server 移轉到另一部來源伺服器和目標伺服器必須執行相同版本的 Worry-Free Business Security Advanced 和作業系統增益集 : 這些提供給 Windows Small Business Server (SBS) 2008 和 Windows Essential Business (EBS) Server 2008 的增益集, 可讓系統管理員從 SBS 和 EBS 主控台即時檢視安全和系統資訊這與即時狀態畫面上可見的高階資訊相同注意 : 舊版 Worry-Free Business Security Advanced 中所提供的某些工具, 在這個版本中不再提供如果您需要這些工具, 請聯絡趨勢科技客戶服務部門請參閱第頁的趨勢科技客戶服務部門 14-2

255 使用管理工具和用戶端工具管理工具本節包含有關 Worry-Free Business Security Advanced 管理工具的資訊 Login Script Setup 透過 Login Script Setup, 可以在未受保護的電腦登入到網路時, 將 Client/Server Security Agent 自動安裝到該電腦 Login Script Setup 會將一個名為 autopcc.exe 的程式加入伺服器的登入程序檔 autopcc.exe 程式會執行下列功能 : 測知未受保護用戶端的作業系統, 並安裝正確版本的 Client/Server Security Agent 更新病毒碼檔案和程式檔如需有關安裝代理程式的詳細資訊, 請參閱第 3-7 頁的以 Login Script Setup 安裝 Vulnerability Scanner 使用 Vulnerability Scanner (TMVS.exe) 偵測已安裝的防毒解決方案, 並搜尋網路上未受防護的電腦 Vulnerability Scanner (TMVS.exe) 會 ping 防毒解決方案常用的通訊埠, 判定電腦是否受到保護 Vulnerability Scanner 可以執行下列功能 : 執行 DHCP 掃瞄, 監控網路上的 DHCP 要求, 讓弱點掃瞄在電腦初次登入網路時, 就能測知其狀態 Ping 網路上的電腦, 檢查其狀態並擷取這些電腦的名稱平台版本和說明判斷已安裝在網路上的防毒解決方案它可以偵測趨勢科技產品 ( 包括 OfficeScan ServerProtect for Windows NT 以及 Linux ScanMail for Microsoft Exchange InterScan Messaging Security Suite 和 PortalProtect) 和其他廠商的防毒解決方案 ( 包括 Norton AntiVirus Corporate Edition v7.5 和 v7.6 以及 McAfee VirusScan epolicy Orchestrator) 顯示伺服器名稱以及 Client/Server Security 和 ServerProtect for Windows NT 的病毒碼檔案掃瞄引擎和程式的版本透過電子郵件傳送掃瞄結果執行自動安裝 ( 命令提示模式 ) 14-3

256 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊從遠端將 Client/Server Security Agent 安裝在執行 Windows Vista/2000/XP ( 僅限 Professional) /Server 2003 (R2) 的電腦上您也可以建立預約工作, 使 Vulnerability Scanner 自動化如需關於如何將 Vulnerability Scanner 自動化的詳細資訊, 請參閱 TMVS 線上說明如果要在伺服器以外的電腦上執行 Vulnerability Scanner, 請將 TMVS 資料夾從伺服器的 \PCCSRV\Admin\Utility 資料夾複製到該電腦注意 : 如果同一部電腦上已呈現 Worry-Free Business Security Advanced 的伺服器元件, 您就無法使用 Vulnerability Scanner 來安裝 Client/Server Security Agent Vulnerability Scanner 不會將 Client/Server Security Agent 安裝在已經執行 Worry-Free Business Security Advanced 伺服器元件的電腦上如果要設定 Vulnerability Scanner: 1. 在安裝 Worry-Free Business Security Advanced 伺服器元件的磁碟機上, 開啟下列目錄 :Trend Micro Security Server > PCCSRV > Admin > Utility > TMVS 按兩下 TMVS.exe 隨即顯示 Trend Micro Vulnerability Scanner 主控台 2. 按一下設定, 會出現設定畫面 3. 在產品查詢方塊中, 選取您要在網路上檢查的產品選取檢查所有趨勢科技產品以選取所有產品如果網路上已安裝 Trend Micro InterScan 和 Norton AntiVirus Corporate Edition, 請按一下產品名稱旁的設定, 確定 Vulnerability Scanner 會檢查該通訊埠號碼 4. 在說明擷取設定下, 按一下要使用的擷取方法一般擷取比較正確, 但需要較多時間來完成如果您按一下一般擷取, 可選取擷取可用的電腦說明核取方塊, 以設定 Vulnerability Scanner 嘗試擷取電腦說明 ( 如果提供 ) 5. 如果要自動傳送結果給您本人或其他系統管理員, 請選取警訊設定下的將結果以電子郵件寄給系統管理員核取方塊, 然後按一下設定以指定電子郵件設定收件人寄件人 14-4

257 使用管理工具和用戶端工具 SMTP 伺服器 :SMTP 伺服器的位址例如 :smtp.example.com SMTP 伺服器資訊是必要資訊主旨 6. 如果要在未受保護的電腦上顯示警訊, 請選取在未受保護的電腦上顯示警訊核取方塊然後, 按一下自訂以設定中毒警訊, 會出現中毒警訊畫面您可以輸入新的警訊或使用預設訊息, 按一下確定 7. 如果要將結果存成逗號分隔值 (CSV) 資料檔, 請選取自動將結果儲存到 CSV 檔核取方塊依預設,CSV 資料檔會儲存到 TMVS 資料夾如果要變更預設的 CSV 資料夾, 按一下瀏覽, 即會出現瀏覽資料夾畫面瀏覽到電腦上或網路上的目標資料夾 ; 然後按一下確定 8. 您可以讓 Vulnerability Scanner 傳送 ping 指令給網路上的電腦以取得其狀態在 Ping 設定下, 指定 Vulnerability Scanner 傳送封包給電腦以及等候回覆的方式接受預設設定, 或在封包大小及逾時文字方塊中輸入新值 9. 如果要遠端安裝代理程式並傳送記錄檔至伺服器, 請輸入伺服器名稱和通訊埠號碼如果要自動從遠端安裝代理程式, 請選取在未受保護的電腦上自動安裝 Client/Server Security Client 核取方塊 10. 按一下安裝帳號以設定帳號, 即會出現帳號資訊畫面 11. 輸入使用者名稱和密碼, 然後按一下確定 12. 按一下確定以儲存設定會出現 Trend Micro Vulnerability Scanner 主控台在 IP 位址範圍內, 執行手動弱點掃瞄 : 1. 在要檢查的 IP 範圍中輸入 IP 位址範圍, 檢查此範圍內是否有已安裝的防毒解決方案和未受防護的電腦注意 :Vulnerability Scanner 僅支援 B 級的 IP 位址 2. 按一下開始, 開始檢查網路上的電腦結果會顯示在結果表格中在從 DHCP 伺服器要求 IP 位址的電腦上, 執行 Vulnerability Scanner: 1. 按一下結果方塊中的 DHCP 掃瞄標籤會出現 DHCP 啟動按鈕 2. 按一下 DHCP 啟動 Vulnerability Scanner 開始監聽 DHCP 要求, 並且對登入網路的電腦進行系統弱點預警偵測 14-5

258 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊建立預約工作 : 1. 在預約工作下, 按一下新增 / 編輯即會出現預約工作畫面 2. 在工作名稱下, 輸入所建立的工作名稱 3. 在 IP 位址範圍中輸入 IP 位址範圍, 檢查此範圍內是否有安裝的防毒解決方案和未受防護的電腦 4. 在工作排程下, 按一下所建立工作的頻率您可以設定每日一次每週一次或每月一次來執行工作如果已按一下每週一次, 必須從清單中選取一天如果已按一下每月一次, 必須從清單中選取一個日期 5. 在開始時間清單中, 輸入或選取執行工作的時間使用 24 小時格式 6. 如果要使用目前的設定, 請在設定下按一下使用目前的設定, 或按一下修改設定如果按一下修改設定, 請按一下設定以變更組態如需關於如何進行設定的詳細資訊, 請參閱第 14-4 頁的如果要設定 Vulnerability Scanner: 中的步驟 3 到步驟按一下確定, 儲存設定所建立的工作會出現在預約工作下其他設定如果要進行下列設定, 您必須修改 TMVS.ini: EchoNum: 設定 Vulnerability Scanner 要同時 ping 的用戶端數量 ThreadNumManual: 設定 Vulnerability Scanner 要同時檢查防毒軟體的用戶端數量 ThreadNumSchedule: 設定 Vulnerability Scanner 執行預約工作時, 要同時檢查有無防毒軟體的用戶端數量修改這些設定 : 1. 開啟 TMVS 資料夾並找出 TMVS.ini 檔案 2. 使用記事本或任何文字編輯器開啟 TMVS.ini 3. 如果要設定 Vulnerability Scanner 同時 Ping 的電腦數量, 請變更 EchoNum 的值請指定介於 1 和 64 之間的值例如, 如果要 Vulnerability Scanner 在同一時間 ping 60 部電腦, 則輸入 EchoNum=

259 使用管理工具和用戶端工具 4. 如果要設定 Vulnerability Scanner 同時檢查防毒軟體的電腦數量, 請變更 ThreadNumManual 的值請指定介於 8 和 64 之間的值例如, 輸入 ThreadNumManual=60, 設定 Vulnerability Scanner 同時檢查 60 部電腦的防毒軟體 5. 如果要設定在執行預約工作時,Vulnerability Scanner 同時檢查防毒軟體的電腦數目, 請變更 ThreadNumSchedule 的值請指定介於 8 和 64 之間的值例如, 輸入 ThreadNumSchedule=60, 設定 Vulnerability Scanner 在執行預約工作時, 同時檢查 60 部電腦的防毒軟體 6. 儲存 TMVS.ini 用戶端工具本節包含有關 Worry-Free Business Security Advanced 用戶端工具的資訊用戶端包裝程式用戶端包裝程式是可將安裝和更新檔壓縮到自動解壓縮檔內的工具, 並可藉由電子郵件光碟或類似的媒體傳送檔案, 以簡化傳送工作其中也含可存取 Microsoft Outlook 通訊錄的電子郵件功能, 讓您可以從工具主控台中將自動解壓縮檔傳送出去如果要執行用戶端包裝程式, 請按兩下檔案使用用戶端包裝程式所安裝的 Worry-Free Business Security Advanced 用戶端, 會向建立安裝套件的伺服器報告 14-7

260 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊還原加密檔案 Client/Server Security Agent 和 Messaging Security Agent 會加密中毒的檔案和附件, 以避免使用者開啟它們並將病毒 / 惡意程式散佈到用戶端上的其他檔案每當 Client/Server Security Agent 備份隔離或重新命名中毒檔案時, 就會將該檔案加密隔離檔案會儲存在用戶端的 \Suspect 資料夾中, 然後再傳送到隔離目錄備份檔案會儲存在用戶端的 \Backup 資料夾中, 通常是位於 C:\Program Files\Trend Micro\Client Server Security Agent\Backup\ 每當 Messaging Security Agent 備份隔離或封存電子郵件或附件時, 就會將該檔案加密並儲存在 MSA 儲存資料夾, 通常是位於 C:\Program Files\Trend Micro\Messaging Security Agent\storage\ 不過, 在某些情況下, 雖然知道該檔案已中毒卻仍然必須開啟它例如 : 重要文件中毒但您需要取得文件中的重要資訊, 為取得重要資訊, 因此您須解密該檔案您可以使用還原加密檔案解密要開啟的中毒檔案注意 : 為了避免 Client/Server Security Agent 在您使用還原加密檔案時再次偵測病毒 / 惡意程式, 您可以將即時掃瞄設定為不掃瞄放置解密檔案的資料夾警告! 解密中毒檔案會將病毒 / 惡意程式散佈到其他檔案中還原加密檔案需要下列檔案: 主要檔案 : VSEncode.exe 必要的 DLL 檔案 :VSAPI32.dll 解密隔離資料夾中的檔案 : 1. 將 VSEncrypt 從 Security Server 複製到用戶端 : \PCCSRV\Admin\Utility\VSEncrypt 警告! 不要將 VSEncrypt 資料夾複製到 Worry-Free Business Security Advanced 資料夾還原加密檔案的 VSAPI32.dll 檔案, 會與原始的 VSAPI32.dll 衝突 14-8

261 使用管理工具和用戶端工具 2. 開啟命令提示字元視窗, 並切換至 VSEncrypt 資料夾的複製位置 3. 使用下列參數執行還原加密檔案 : 沒有參數 : 加密隔離資料夾中的檔案 -d: 解密隔離資料夾中的檔案 -debug: 在用戶端的根資料夾中, 建立偵錯記錄檔和輸出檔 /o: 如果檔案已存在, 將覆寫加密或解密的檔案 /f:{ 檔案名稱 } 加密或解密單一檔案 /nr: 不還原原始檔名例如, 您可以輸入 VSEncode [-d] [-debug], 以解密隔離資料夾中的檔案, 並建立偵錯記錄檔當您解密或加密檔案時, 會在同一個資料夾中建立加密或解密的檔案注意 : 您可能無法加密或解密已鎖定的檔案還原加密檔案提供下列記錄檔 : VSEncrypt.log 包含加密或解密的詳細資訊如果使用 -debug 參數執行 VSEncode.exe, 則在使用者登入到機器時, 通常是 C: 磁碟機 VSEncDbg.log 包含偵錯詳細資訊如果使用 -debug 參數執行 VSEncode.exe, 則在使用者登入到機器時, 會自動在暫存資料夾中建立這個檔案, 通常是 C: 磁碟機加密或解密其他位置的檔案 : 1. 建立文字檔, 然後輸入要加密或解密的檔案的完整路徑例如, 如果要加密或解密位於 C:\My Documents\Reports 的檔案, 請在文字檔中輸入 C:\My Documents\Reports\*.* 然後將檔案儲存為具有 INI 或 TXT 副檔名的文字檔例如, 您可以在 C: 磁碟機上將檔案儲存為 ForEncryption.ini 2. 在命令提示字元中, 藉由輸入 VSEncode.exe -d -i {INI 或 TXT 檔案的位置 }, 其中 {INI 或 TXT 檔案的位置 } 就是您所建立的 INI 或 TXT 檔案的路徑和檔案名稱 ( 例如 :C:\ForEncryption.ini), 以執行回存加密檔案 14-9

262 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊回存傳輸中立封裝格式的電子郵件傳輸中立封裝格式 (TNEF) 是 Microsoft Exchange/Outlook 所使用的郵件封裝格式此格式通常會封裝成名為 Winmail.dat 的電子郵件附件, 而 Outlook Express 會自動藏此附件請參閱如果 MSA 封存這類電子郵件, 而且檔案的副檔名已變更為.EML, 則 Outlook Express 將只會顯示電子郵件的內文 Touch Tool Touch Tool 可以將某一檔案的時間戳記與其他檔案的時間戳記同步化, 或與電腦的系統時間同步化當您在 Trend Micro Security Server 上部署 HotFix ( 趨勢科技發行的更新程式或修補程式 ) 失敗時, 請使用 Touch Tool 變更 HotFix 的時間戳記這樣會讓 Worry-Free Business Security Advanced 將 HotFix 檔案解譯為新版本, 而伺服器也就會再次嘗試自動部署 HotFix 如果要執行 Touch Tool: 1. 在 Trend Micro Security Server 上, 移至下列目錄 : \PCCSRV\Admin\Utility\Touch 2. 將 TmTouch.exe 檔案複製到要變更的檔案所在的資料夾如果要將兩個不同檔案的時間戳記同步化, 請將這兩個檔案和 Touch Tool 放到相同的位置 3. 開啟命令提示字元視窗, 切換至 Touch Tool 所在的位置 4. 輸入下列指令 : 其中 : TmTouch.exe <destination_filename> <source_filename> <destination_filename> = 要變更其時間戳記的檔案 ( 例如 :HotFix) 名稱 <source_filename> = 要複製其時間戳記的檔案名稱如果尚未指定來源檔名, 此工具會將目的檔案的時間戳記設為電腦的系統時間注意 : 在目標檔案名稱欄位中可以使用萬用字元 *, 但是不可以在來源檔案名稱欄位中使用 14-10

263 使用管理工具和用戶端工具 5. 如果要驗證時間戳記是否已經變更, 請在命令提示字元中輸入 dir, 或在 Windows 檔案總管中的檔案上按一下滑鼠右鍵, 然後選取內容 Client Mover 如果您的網路上有一部以上的 Worry-Free Business Security Advanced 伺服器, 就可以使用 Client Mover 在 Worry-Free Business Security Advanced 伺服器之間移轉用戶端將新的 Worry-Free Business Security Advanced 伺服器新增至網路之後, 當您要將現有的用戶端轉移至新的伺服器時, 此工具會特別有用來源和目標伺服器必須執行相同版本的 Worry-Free Business Security Advanced 和作業系統 Client Mover 需要 IpXfer.exe 檔案如果要執行 Client Mover: 1. 在 Worry-Free Business Security Advanced 伺服器上, 移到下列目錄 : \PCCSRV\Admin\Utility\IpXfer 2. 將 IpXfer.exe 檔案複製到您要轉移的用戶端上 3. 開啟動戶端的命令提示字元, 然後移至剛才複製檔案的資料夾 4. 使用下列語法執行 Client Mover: 其中 : IpXfer.exe -s <server_name> -p <server_listening_port> -m 1 -c <client_listening_port> <server_name> = 目標 Worry-Free Business Security Advanced 伺服器 ( 用戶端移轉後所在伺服器 ) 的伺服器名稱 <server_listening_port> = 目標 Worry-Free Business Security Advanced 伺服器的監聽 ( 信任的 ) 通訊埠如果要在 Web 主控台上檢視監聽通訊埠, 請按一下安全設定監聽通訊埠會顯示在 Security Server 名稱旁邊 1 = -m 後面必須使用數字 1 <client_listening_port> = 用戶端的通訊埠號碼 14-11

Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要確認用戶端現在會向其他伺服器報告 : 1. 在用戶端系統匣的 Client/Server Security Agent 圖示上按一下滑鼠右鍵 2. 選取 Client/Server Security Agent 主控台 3. 從說明標籤, 按一下產品資訊區段中的更多資訊 4.

264 Trend Micro Worry-Free Business Security Advanced 5.1 管理手冊如果要確認用戶端現在會向其他伺服器報告 : 1. 在用戶端系統匣的 Client/Server Security Agent 圖示上按一下滑鼠右鍵 2. 選取 Client/Server Security Agent 主控台 3. 從說明標籤, 按一下產品資訊區段中的更多資訊 4. 驗證 CSA 已向正確的 Security Server 報告增益集 Worry-Free Business Security Advanced 會提供 Windows Small Business Server (SBS) 2008 及 Windows Essential Business (EBS) Server 2008 的增益集這些增益集能讓管理員從 SBS 及 EBS 主控台即時檢視安全和統狀態資訊圖 14-1 顯示即時狀態資訊的 SBS 主控台 14-12

展开

Enter the help project title here

Enter the help project title here ESET Mobile Security Symbian 安裝手冊與使用手冊目錄 ESET Mobile Security www.eset.eu/support www.eset.com/support 3.2.2011 1. 安裝 ESET...3 Mobile Security 1.1 1.2 1.3 最低系統需求...3 安裝 1.2.1 1.2.2 解除安裝...3...3...3...4