如何管控终端病毒防护能力_办公安全平台(SASE)-阿里云帮助中心

终端防病毒集成阿里云恶意文件检测平台的能力，自动匹配阿里云最新的病毒引擎版本，能够及时有效地防护企业的办公终端，避免业务遭受重大损失。本文介绍终端防病毒支持的检测项及扫描方式、如何配置扫描任务、配置文件的黑白名单以及查看扫描结果。

支持的检测项及扫描方式

类别	说明
检测项	支持反弹Shell后门、DDoS木马、下载器木马、引擎测试程序、黑客工具、高危程序、被污染的基础软件、恶意脚本、恶意程序、挖矿程序、代理工具、勒索病毒、风险软件、Rootkit、窃密工具、扫描器、可疑程序、感染型病毒、网站后门、蠕虫病毒检测。
扫描方式	快速扫描对系统关键路径进行扫描（如服务、驱动、启动项、当前运行的进程、下载目录、桌面目录、文档目录）。自定义扫描根据业务需要指定具体的扫描路径。全盘扫描对所有文件进行扫描。

创建扫描任务和处置方式

使用终端防病毒能力，首先需要创建扫描任务，配置扫描方式、性能消耗、及对恶意文件的处置方式，然后SASE会根据您的扫描任务对终端进行扫描。

如果您需要周期性对办公终端扫描，即创建定时扫描任务。如果您需要立即对办公终端扫描，即创建立即扫描任务，立即扫描任务在任务开始后的24小时有效，如果在此时间段内，某个企业员工未登录SASE App，则无法扫描到该员工办公终端的数据。

创建定时扫描任务

登录办公安全平台控制台。在左侧导航栏，选择终端管理 > 终端防病毒。
在终端防病毒页面，单击配置策略。
在定时扫描页签，单击新建定时任务。

参考下表配置定时任务，然后单击确定。

配置项	说明	示例值
任务名称	策略的名称。	防病毒策略_test
描述	策略的描述信息。	本策略主要是对本公司所有办公终端进行防病毒扫描。
优先级	策略的优先级。策略优先级取值范围：1～10。数值越小，表示优先级越高。	1
策略状态	策略只有在开启状态才能生效。	开启
检测项	支持反弹Shell后门、DDoS木马、下载器木马、引擎测试程序、黑客工具、高危程序、被污染的基础软件、恶意脚本、恶意程序、挖矿程序、代理工具、勒索病毒、风险软件、Rootkit、窃密工具、扫描器、可疑程序、感染型病毒、网站后门、蠕虫病毒检测。	全选
扫描方式	快速扫描对系统关键路径进行扫描（如服务，驱动，启动项，当前运行的进程，下载目录，桌面目录，文档目录）。自定义扫描根据业务需要指定具体的扫描路径。全盘扫描对所有文件进行扫描。	快速扫描
定时频率	设置定时扫描的触发时间。	每隔3天，00:00-24:00
性能消耗	体验优先资源消耗较小，保障员工办公体验，极端情况下会暂停或取消扫描任务。均衡模式均衡分配办公与安全所消耗资源，不影响办公体验的情况下完成扫描任务。安全优先性能占用较高，优先完成扫描任务，保障企业安全防线。	体验优先
处置方式	基于阿里云恶意文件检测平台的文件定级机制，可自行匹配扫描文件的危险等级，您可以根据危险等级设置处置方式。高危可设置提醒用户或者提醒用户并隔离恶意文件。中危可设置提醒用户或者提醒用户并隔离恶意文件。低危可设置不处置、可设置提醒用户或者提醒用户并隔离恶意文件。	高危提醒用户并隔离恶意文件中危提醒用户并隔离恶意文件低危提醒用户
生效用户	策略管控的用户。可选择全部用户或者部分用户，如果选择部分用户，则需要再选择要管控的用户组。	全部用户
例外用户	白名单用户。添加后，配置的策略不对白名单用户生效。	-

创建立即扫描任务

登录办公安全平台控制台。在左侧导航栏，选择终端管理 > 终端防病毒。
在扫描任务区域，单击立即扫描。

参考下表配置立即扫描任务，然后单击确定。

配置项	说明	示例值
任务名称	策略的名称。	防病毒策略_test
检测项	支持反弹Shell后门、DDoS木马、下载器木马、引擎测试程序、黑客工具、高危程序、被污染的基础软件、恶意脚本、恶意程序、挖矿程序、代理工具、勒索病毒、风险软件、Rootkit、窃密工具、扫描器、可疑程序、感染型病毒、网站后门、蠕虫病毒检测。	全选
扫描方式	快速扫描对系统关键路径进行扫描（如服务，驱动，启动项，当前运行的进程，下载目录，桌面目录，文档目录）。自定义扫描根据业务需要指定具体的扫描路径。全盘扫描对所有文件进行扫描。	快速扫描
性能消耗	体验优先资源消耗较小，保障员工办公体验，极端情况下会暂停或取消扫描任务。均衡模式均衡分配办公与安全所消耗资源，不影响办公体验的情况下完成扫描任务。安全优先性能占用较高，优先完成扫描任务，保障企业安全防线。	体验优先
处置方式	高危支持提醒用户、提醒用户并隔离恶意文件两种方式。中危支持提醒用户、提醒用户并隔离恶意文件两种方式。低危支持不处置、提醒用户、提醒用户并隔离恶意文件三种方式。	高危提醒用户并隔离恶意文件中危提醒用户并隔离恶意文件低危提醒用户
生效用户	策略管控的用户。可选择部分用户或者全部用户，如果选择部分用户，则需要再选择要管控的用户组。	全部用户
部分用户	白名单用户。添加后，配置的策略不对白名单用户生效。	-

配置文件的黑白名单

终端防病毒功能支持您对某一种文件设置黑白名单。例如您不需要对Windows操作系统中.exe的文件进行扫描，则可以将此类文件添加到白名单。如果您严令禁止某一种文件出现在企业员工的终端上，可以将此类文件添加到黑名单，添加后，如果存在该类文件，SASE会根据您扫描任务配置的处置方式，提醒用户或者隔离恶意文件等。

在终端防病毒页面，单击配置策略。
在黑白名单页签，参考下表配置文件的黑白名单。
支持设置Windows和macOS系统如下类型文件的黑白名单：
- 文件后缀：文件全名中最后一个点（.）后面的字符串为文件后缀。
  例如，文件scan_file.exe的文件后缀为exe
- 文件名：文件全名，包括文件后缀。
  例如，文件scan_file.exe的文件名为scan_file.exe
- 文件夹路径：文件夹的绝对路径。
  例如，文件夹scan_dir的文件夹路径为C:\scan_dir
- 文件路径：文件的绝对路径。
  例如，文件scan_file.exe的文件路径为C:\scan_dir\scan_file.exe
- 文件md5：文件内容的MD5签名。
  例如，文件scan_file.exe的文件MD5为56486982bc352eb0e29efd54f7f0****

查看病毒统计数据

配置终端防病毒策略后，待业务运行一段时间，您可以在终端防病毒页面查看被SASE防护的企业员工终端情况。

在终端防病毒页面，默认为您展示近30天的病毒统计数据和分布情况。

序号	说明
①	高危病毒：基于阿里云恶意文件检测平台扫描出来的含有高危病毒，且未被隔离的恶意文件数量。单击恶意文件数量，可在列表处（区域⑤）展示所有的恶意文件信息。隔离区文件：基于您的处置方式，被隔离的恶意文件。单击隔离区文件的数字，可查看所有被隔离的文件信息。单击加白，可对指定文件解除隔离。
②	扫描任务：可创建立即扫描任务和查看创建的所有任务，也支持您查看当前扫描中的任务详情。病毒引擎版本：阿里云恶意文件检测平台最新的病毒引擎版本和更新时间。
③	类型分布：统计扫描结果中不同病毒类型的数量。等级分布：统计扫描结果中不同病毒等级的数量。
④	以设备和员工两个维度，为您统计扫描结果的Top 5病毒数量。单击查看更多，可查看所有办公设备和企业员工扫描的病毒数量。
⑤	待处理：扫描出来的含有高危病毒，且未被隔离的恶意文件列表。您需要根据业务自行处理这些高危病毒，可选择对这些文件加白或者隔离。已处理：已被隔离、加白或者处置失败的恶意文件列表。对于被隔离的文件，可以通过加白操作恢复该类文件。对于被加白的文件，可以通过取消加白操作使该文件继续被SASE扫描。对于处置失败的文件，在您确认文件安全后，可以通过忽略操作恢复该文件。