規劃原則

若要規劃貴組織的原則,您應瞭解原則內含的設定。

Client Security 主控台內的 [新原則] 與 [編輯原則] 對話方塊中提供下列所有選項。如需有關這些設定與您可能要啟用或停用它們的原因,請參閱 Client Security (http://go.microsoft.com/fwlink/?LinkID=88221)(英文)。其它選項僅提供作為登錄機碼。如需有關登錄機碼設定的詳細資訊,請參閱 Client Security 技術參考 (http://go.microsoft.com/fwlink/?LinkID=86991)(英文)。

一般索引標籤的預設設定

選項 預設設定 注意

名稱

  • 空白

識別原則。需要唯一名稱。

註解

  • 空白

選擇性。建議您使用此選項以便摘要:

  • 原則的設定。
  • 您要部署原則的電腦。
  • 變更原則的記錄。

註解可以包含大約 32,000 個字元。

[防護] 索引標籤的預設設定

區域 預設設定 注意

惡意程式碼防護

  • 病毒防護開啟
  • 間諜軟體防護開啟

這些設定沒有啟用時,Client Security 不會掃描病毒或間諜軟體,或使用即時防護來識別它們 (在 [防護] 索引標籤上顯示為 RTP)。

惡意程式碼掃描

  • RTP 開啟
  • 完整掃描排定於每天上午 02:00 執行
  • 停用在設定的間隔執行快速掃描

完整掃描為即時防護提供備份防禦。您擁有能識別惡意程式碼的已更新定義檔之後,完整掃描就能偵測到即時防護無法偵測到的不明惡意程式碼。完整掃描會搜尋整部電腦,但是您排除的檔案、資料夾與副檔名除外。

安全性狀態評估

  • 每隔 12 個小時掃描漏洞

掃描漏洞是預防措施,協助您識別可能遭受惡意程式碼感染的電腦。

[進階] 索引標籤的預設設定

區域 預設設定 注意

惡意程式碼定義更新

  • 啟動掃描開啟之前檢查更新
  • 每 6 小時一次的間隔更新檢查已開啟
  • 如果已儲存的原則上已啟用檢查 Microsoft Update 上的更新,[無法使用 WSUS 時檢查 Microsoft Update 上的更新] 已啟用

Client Security 依賴最新定義以有效識別惡意程式碼的新執行個體。

藉著啟用用戶端電腦在無法使用 WSUS 時檢查 Microsoft Update,您的遠端使用者即使與內部網路中斷連線,仍然可以維持最新的定義。

在您儲存 [無法使用 WSUS 時檢查 Microsoft Update 上的更新] 的原則之前,預設停用此選項。

惡意程式碼掃選項

  • 掃描封存檔案 (例如 .zip 和 .cab 檔)
  • 使用經驗法則掃描可疑的檔案,並將偵測到的檔案視為受感染
  • 請勿刪除隔離的檔案

藉由包含封存檔案,您可以確保這些檔案都會接受掃描,以尋找惡意程式碼。

經驗法則掃描協助防護在定義檔中尚未識別的惡意程式碼。關閉此功能會使用戶端電腦更容易遭受新惡意程式碼的攻擊。

因為不刪除隔離的檔案,您能還原不要隔離的檔案。

惡意程式碼掃描的排除項目

  • 空白

這個選擇性設定可讓您將特定的檔案、資料夾和副檔名排除在惡意程式碼掃描範圍之外。

用戶端選項

  • 使用者僅能檢視系統匣內的圖示與相關的狀態訊息
  • 偵測到未分類的軟體時不會提示使用者

鎖定用戶端電腦上的使用者介面,您可以確保該設定無法變更。

[覆寫] 索引標籤的預設設定

區域 預設設定 注意

依據惡意程式碼威脅的覆寫

  • 空白

這個選擇性設定可讓您用於變更 Client Security 偵測到特定惡意程式碼,或錯誤偵測到您信任的應用程式時,應如何反應。

依據類別或嚴重性進行覆寫

  • 空白

這個選擇性設定可讓您用於變更 Client Security 偵測到特定類別或嚴重性的惡意程式碼時,應如何反應。

[報告] 索引標籤的預設設定

區域 預設設定 注意

警示等級

  • 警示等級 3 - 中

警示等級決定特定事件或事件集 (例如成功回應惡意程式碼感染) 是否產生警示。

記錄

  • 記錄標示為「不明」檔案的事件

無。

SpyNet

  • 啟用 Basic SpyNet 報告
  • 使用 Internet Explorer 網路連線設定

無。

您可以為原則自訂上述表格中說明的所有設定。自訂您的原則設定時,請為欲套用原則的電腦考慮下列問題:

  • 這些電腦的安全性有多重要?例如,決策電腦可能需要額外的安全性措施,而缺乏網際網路連線且很少使用的電腦可能需要較少的安全性措施。
  • 通知您潛在安全性問題有多重要?郵件伺服器與資料庫伺服器可能需要高於標準電腦的警示等級。
  • 惡意程式碼掃描是否會過度影響用戶端電腦的效能?您可以修改數項設定,以降低 Client Security 對於用戶端電腦效能的影響。
  • 電腦檢查定義更新的頻率為何?無法使用 Client Security 分佈伺服器時是否應轉而依賴 Microsoft Update?
  • Client Security 是否將您允許電腦使用的特定軟體識別為惡意程式碼?

下列章節討論您能變更的原則設定,以回應這些問題。

如需這些設定的詳細資訊,請參閱 Client Security (http://go.microsoft.com/fwlink/?LinkID=88221)(英文)。

對於大多數的用戶端電腦而言,預設的掃描設定可能適用,或只需要稍微變更;但是也有一些案例可能促使您變更會影響惡意程式碼與 SSA 掃描的原則設定。

安全性需求較高的電腦的設定

您可能擁有需要高度防護的電腦,例如資料庫伺服器或執行關鍵性應用程式的電腦。您也許希望重要使用者的電腦獲得高度防護。

Client Security 原則的預設設定反映出保守的安全性態勢,例如排定的每日完整掃描;但是,為需要較高防護的電腦設定 Client Security 原則時,請考慮下列對於預設設定的變更。

索引標籤 區域 建議設定 注意

防護

惡意程式碼掃描

  • 在設定的間隔執行快速掃描

啟用在短間隔執行快速掃描,例如每隔四小時,以確保電腦上的下列區域一天接受檢查數次:

  • 記憶體內處理程序
  • 下列資料夾中的檔案:
    • 使用者設定檔
    • 桌面
    • 系統資料夾
    • 程式檔案
  • 惡意程式碼定義所指定的其他項目

進階

惡意程式碼定義更新

  • 在設定的間隔檢查更新

如果在 [防護] 索引標籤上,啟用以經常間隔執行快速掃描,並且在掃描之前使用預設設定檢查更新,則請考慮停用在設定的間隔檢查更新。

間隔檢查更新能協助確保即時防護對抗新威脅的有效性。我們強烈建議,除非您使用經常間隔掃描,而且在掃描之前檢查更新,否則請勿停用間隔檢查更新。
Bb418804.note(zh-tw,TechNet.10).gif附註

報告

警示等級

  • 警示等級 4 或 5

指定高於預設等級 3 的警示等級,會對更多事件發出警示,以確保您更徹底知悉電腦的安全性狀態。如需警示等級的詳細資訊,請參閱警示等級的原則設定.

安全性需求較低的電腦的設定

您可能擁有安全性需求較少的電腦,例如沒有網際網路連線的電腦。為需要較低防護的電腦設定 Client Security 原則時,請考慮下列對於預設設定的變更。

索引標籤 區域 建議設定 注意

防護

惡意程式碼掃描

  • 排定一週執行一次完整掃描
  • 在設定的間隔執行快速掃描

對於感染風險較低的電腦,每週一次完整掃描應該已經足夠;但是強烈建議您使用即時防護的預設設定,以及檢查定義更新。

除了每日完整掃描,也可以考慮每日快速掃描;亦即以 24 小時為間隔的快速掃描。

防護

安全性狀態評估

  • 每隔 24 個小時掃描漏洞

24 小時是您能為 SSA 掃描設定的最長間隔。建議您讓 SSA 掃描啟用,使與 SSA 相關的報表顯示原則所防護的電腦的潛在漏洞。

報告

警示等級

  • 警示等級 2 或 1

指定低於預設等級 3 的警示等級,會對較少的事件發出警示,這可能比較適合較不重要的電腦。

能提升電腦效能的設定

您可能擁有要將掃描造成的效能影響最小化的電腦。設定 Client Security 原則以提升電腦效能時,請考慮下列對於預設設定的變更。

索引標籤 區域 建議設定 注意

防護

惡意程式碼掃描

  • 排定一週執行一次完整掃描,在一天當中最適合的時間

在所有的 Client Security 功能中,完整掃描對於效能的影響最大。將掃描頻率降為每週一次,能大幅降低 Client Security 對於電腦效能的影響;但是強烈建議您使用即時防護的預設設定,以及檢查定義更新。

我們也強烈建議,所有電腦都應接受完整掃描,即使一週只有一次。完整掃描能保護電腦以防禦最近新增到定義檔案中的威脅。
Bb418804.note(zh-tw,TechNet.10).gif重要事項

也請考慮將排定要執行完整掃描的時間最佳化。預設排定的完整掃描於 02:00 (上午 2:00) 開始;但是,如果這個時間干擾到其它排定的工作,例如備份,請考慮修改原則,讓排定的掃描使用不同時間。

進階

惡意程式碼掃選項

  • 請勿掃描封存檔案

考慮從掃描中排除封存檔案。如需關於此設定的詳細資訊,請參閱判斷是否掃描封存檔案(http://go.microsoft.com/fwlink/?LinkId=88928)(英文)。

進階

惡意程式碼掃描的排除項目

  • 從掃描中排除大型資料檔案

如果受掃描的電腦上有大型資料檔案,可以從掃描中排除它們。

我們建議您謹慎設定排除項目。未經謹慎考量即貿然設定排除項目,可能導致 Client Security 無法有效偵測到惡意程式碼,例如,排除的資料檔案中含有病毒。
Bb418804.note(zh-tw,TechNet.10).gif重要事項

提升 SSA 報表分數的設定

SSA 掃描使用 SSA 檢查來搜尋潛在的漏洞;SSA 檢查能夠描述可以設定得更好以防護電腦的作業系統與常見應用程式的各環節。用戶端電腦可能出現在 Client Security SSA 報表中,因為依據許多理由而採用的軟體設定,可能會被 SSA 掃描偵測為潛在的漏洞。

例如,密碼到期 SSA 檢查會掃描密碼不會過期的本機使用者帳戶。如果用戶端電腦允許使用者帳戶使用不會過期的密碼,Client Security 會為這個漏洞打一個中分數,並且為其記錄一個事件。中分數顯示於 Client Security 報表中;如果您刻意允許本機使用者帳戶擁有不會過期的密碼,則這項顯示並沒有幫助。

Client Security 原則為您提供的唯一能力是開啟會使用所有檢查的 SSA 掃描。此外,您也無法設定 Client Security 如何決定 SSA 檢查的分數。

若要減少有關刻意設定的報告,建議您使用群組原則以執行會允許該設定的設定。一般而言,如果 SSA 檢查所檢查的設定值是由群組原則設定,則會得到「資訊」分數;此分數被排除於 Client Security SSA 報表之外。它會假設群組原則所執行的設定符合您組織的標準,因此是符合預期的。

您可以用五種警示等級之一來設定 Client Security 原則。依據您為其部署原則的電腦的重要性,您可以選擇合適的警示等級。例如,我們可能高度期待每次在資料庫、Web 與電子郵件伺服器上偵測到惡意程式碼時,收到警示;但是對於標準電腦比較不期待。

索引標籤 區域 設定 注意

報告

警示等級

  • 選取適合於電腦接收原則的警示等級

如需警示等級的資訊,請參閱下表。

下表說明五種警示等級。

警示等級 描述

5

這個等級會產生最大量的警示。這個等級的警示適用於用於決策與管理的電腦、重要資料伺服器與資產,以及需要高可用性或含有重要資料的重要作業伺服器。

4

這個等級會產生大量的警示。這個等級的警示適用於高優先順序的作業伺服器、資料伺服器或重要的電腦。

3

這個等級是預設設定,會產生中等數量的警示。這個等級的警示適用於高優先順序的電腦。

2

這個等級會產生少量的警示。這個等級的警示適用於一般的使用者電腦。

1

這個等級會產生最少量的警示。唯有全域爆發和超載偵測會產生這個等級的警示。這個等級的警示適用於所含資料較不重要的電腦。例如,設定為這個等級的原則可涵蓋非常大量,或不含需要立即回應的電腦的一組電腦。

您可以決定使用者使用 Client Security 代理程式使用者介面 (UI) 能作些什麼。因為 Client Security 原則套用至電腦而非使用者,所以會影響使用者能作些什麼的設定,會影響電腦的所有使用者。

如需這些設定的詳細資訊,請參閱控制使用者經驗 (http://go.microsoft.com/fwlink/?LinkID=86661)(英文)。

允許使用者執行掃描的設定

下表中的 [新原則] 或 [編輯原則] 對話方塊設定,允許使用者執行掃描,但是不變更其它設定。

索引標籤 區域 設定 注意

防護

惡意程式碼掃描

  • 排定的掃描設定為特定日期與時間,而非設定為「使用者控制」
  • 設定間隔快速掃描

透過在原則中指定排定的與間隔掃描,您能確保使用者即使能存取 Client Security 代理程式 UI,也無法設定它們。

進階

用戶端選項

  • 使用者可以檢視所有 Client Security 代理程式的設定與訊息

如此使使用者能開啟 Client Security 代理程式 UI,並執行掃描。

用於拒絕使用者存取 Client Security 代理程式 UI 的設定

原則內的預設設定是拒絕使用者存取 Client Security 代理程式 UI。下表顯示控制使用者是否能存取 Client Security 代理程式 UI 的設定。使用者仍然能看到狀態訊息,以及通知區域內的 Client Security 圖示。

索引標籤 區域 設定 注意

進階

用戶端選項

  • 使用者僅能檢視系統匣內的圖示與相關的狀態訊息

如此可防止使用者開啟 Client Security 代理程式 UI 與執行掃描。

提示使用者關於未分類軟體的設定

您可以設定 Client Security 在 Client Security 代理程式偵測到未分類軟體時提示使用者;所謂未分類軟體是沒有在惡意程式碼定義中明確識別為惡意程式碼或受信任軟體的軟體。

Bb418804.note(zh-tw,TechNet.10).gif附註
我們強烈建議您,使用測試環境來判斷 Client Security 是否能偵測到貴組織通用與合法應用程式的可疑動作。若要避免因為這些應用程式而提示使用者,您應從原則內的掃描中排除它們,而這些原則使 Client Security 代理程式能提示使用者關於未分類軟體。

下表顯示的設定用於啟用對於未分類軟體與設定掃描排除項目的使用者提示。

索引標籤 區域 設定 注意

進階

用戶端選項

  • 偵測到未分類的軟體時提示使用者

您啟用此設定時,Client Security 代理程式在偵測到未分類的軟體時會顯示氣球訊息。

進階

惡意程式碼掃描的排除項目

  • 視需要新增檔案與資料夾路徑
  • 視需要新增副檔名

排除未分類程式能防止在 Client Security 偵測到它時通知使用者。

如需例外項目設定的詳細資訊,請參閱從掃描中排除檔案、資料夾和檔案類型 (http://go.microsoft.com/fwlink/?LinkId=88609)(英文)。

您可以設定原則,將特定的檔案、資料夾和檔案類型 (依據副檔名) 從惡意程式碼掃描中省略。這主要用於如果 Client Security 將可接受的軟體錯誤偵測為惡意程式碼時。

Bb418804.note(zh-tw,TechNet.10).gif附註
我們強烈建議您,使用測試環境來判斷 Client Security 是否會將可接受的軟體偵測為潛在的惡意程式碼。在將 Client Security 部署至實際執行環境之前,識別這種發生次數,能有助於減少假報表與使用者的挫折感。

下表顯示的設定用於啟用對於未分類軟體與設定掃描排除項目的使用者提示。

索引標籤 區域 設定 注意

進階

惡意程式碼掃描的排除項目

  • 視需要新增檔案與資料夾路徑
  • 視需要新增副檔名

排除未分類程式能防止在 Client Security 偵測到它時通知使用者。

如需例外項目設定的詳細資訊,請參閱從掃描中排除檔案、資料夾和檔案類型 (http://go.microsoft.com/fwlink/?LinkId=88609)(英文)。

Client Security 將可接受的軟體偵測為惡意程式碼時,請考慮將軟體樣本提交到 Microsoft,使該軟體可被考慮核准為未來惡意程式碼定義中的已知正常應用程式。如需詳細資訊,請參閱將惡意程式碼樣本傳送給 Microsoft (http://go.microsoft.com/fwlink/?LinkId=89635)(英文)。

所有用戶端電腦必須都能可靠接收更新,這一點很重要,因為惡意程式碼定義檔案會經常更新,以防護您的電腦對抗新威脅。

您可以設定關於 Microsoft Update 的 Client Security 原則設定,以防範無法使用 WSUS 伺服器。此設定可使用戶端電腦在無法聯絡 WSUS 伺服器時,聯絡 Microsoft Update。若為可攜式電腦,這項設定特別重要,因為可攜式電腦可以中斷與貴組織網路的連線,並繼續透過網路範圍之外的網際網路接收更新。

索引標籤 區域 設定 注意

進階

惡意程式碼定義更新

  • 無法使用 WSUS 時檢查 Microsoft Update 上的更新

此設定使用戶端電腦在無法使用 WSUS 時,能接收更新。使用 Microsoft Update 時需要網際網路連線。

如需關於此設定的詳細資訊,請參閱設定更新後援 (http://go.microsoft.com/fwlink/?LinkId=88590)(英文)。

顯示: