您可以根据企业安全需求，手动配置终端防病毒策略。在策略中，您可以指定病毒检测项、检测方式、处置方式以及生效的终端范围等信息。本文将介绍策略的添加、编辑、复制和删除等操作说明，以及如何配置检测白名单、病毒扫描方式等通用信息。

病毒检测策略配置属于终端防病毒模块的专属能力，需确保已购买“终端防病毒授权”。

操作路径 #

1. 登录管理后台。
2. 在左侧导航栏，选择终端安全 ＞ 策略中心。
3. 在策略配置页面的病毒检测配置页签，单击新增策略。
   
4. 在添加检测策略页面，完成以下配置，然后单击确定。

配置项 #

基本信息 #

• 策略名称：自定义名称，用于标识当前策略。
• 生效优先级：当前策略的优先级。取值范围为 0 ～ 100，数值越大表示优先级越高。您可以同时生效多条策略，飞连在对终端检测时，按优先级数值大小依次匹配策略，命中后停止匹配，如果一直未命中，则执行完所有策略后停止检测。如果存在两条优先级数值相同的策略，则优先执行策略修改时间最新的一条。

检测方式 #

系统定时巡检

• 快速扫描：根据飞连默认设置的扫描路径进行病毒扫描，默认扫描桌面、系统目录、下载目录等。
  • 检测频率：指定每天 1 次或每周 1 次。​如果选择每周 1 次，还可指定每周几进行检测。
  • 检测时间：指定检测的时间段，精确到分钟。
• 自定义：指定各终端（Windows、macOS、Linux）需要扫描的路径。不同终端的路径格式可以参考页面提供的提示信息。
  • 检测频率：指定每天 1 次、每周 1 次或每月 1 次。​如果选择每周 1 次或每月 1 次，还可指定每周几或每月几日检测。
  • 检测时间：指定检测的时间段，精确到分钟。

系统实时防护

开启后，需要选择至少一个保护场景。

• 敏感文件监控（Windows）：当文件被打开时，自动进行扫描。支持 word 文件、PE 文件和脚本文件。
• 程序启动保护（Windows）：在程序启动时，对程序的可执行文件、加载的模块进行扫描。
• 文件下载保护（Windows、macOS）：实时扫描通过浏览器、即时通讯软件下载的文件。
• 外设接入保护（Windows、macOS）：外接设备接入电脑时，自动对外设中的文件进行扫描。您可以选择扫描的文件夹深度，文件夹深度分为 3 层、5 层、10 层以及无限制。
• 注册表监控（Windows）：当注册表被修改时，自动解析内容中的文件路径并进行扫描。
• 进程内存保护（Windows）：当进程执行修改启动项、连接网络等敏感行为，对进程内存进行扫描，有效防护混淆恶意代码和无文件攻击。
• 敏感目录监控（Windows、macOS、Linux）：当指定目录下的文件被打开时，自动进行扫描，不区分文件格式。当目录路径范围过大时会导致较高的性能消耗，请谨慎开启。

用户快速查杀

此功能默认开启，不允许关闭。客户端用户可以主动执行快速查杀操作，以迅速检测和清除潜在的安全威胁。单击右侧的展开，可以查看 Windows、macOS 和 Linux 的扫描路径。

用户指定路径查杀或右键查杀

此功能默认开启，不支持关闭。所有 macOS、Linux 和 Windows 系统的客户端用户都能够主动选择特定路径进行查杀。此外，Windows 系统的用户还可以通过右键菜单快速启动查杀。

资源占用模式

• 体验优先：将病毒查杀功能资源占用控制到最低，避免影响办公体验。
• 平衡模式：平衡病毒查杀效率和终端资源占用。建议在日常安全办公场景下启用。
• 安全优先：病毒查杀效率高，会占用较多资源。建议在攻防演习、重保等场景下启用。

处置方式 #

• 日志审计：此功能默认开启，不支持关闭。针对未隔离的恶意文件，您可以调整需要记录在客户端的风险范围，支持选择全部、中危及高危、仅高危等级的风险。
• 文件隔离：选择是否开启文件隔离，开启后系统会对发现的恶意文件进行隔离。您需要完成以下配置：
  • 设置需要隔离的恶意文件等级，可选择全部、中危及高危、仅高危。
  • 根据需要勾选以下配置：
    • 针对感染型病毒。将先尝试对文件进行修复剥离病毒模块，无法修复时再移入隔离区
    • 文件隔离后，用户仅可以删除文件，无法恢复和信任

  注意

  在进程内存保护场景下，会终止进程并隔离内存转储文件，对进程原文件不作隔离。

通知 #

选择是否开启用户通知，开启后，在发现恶意文件时主动弹窗通知用户。您需要完成以下配置：

• 设置需要主动弹窗通知用户的恶意文件等级，可选择全部、中危及高危、仅高危。
• 分别编辑发现恶意文件、发现恶意进程、外设扫描结果弹窗的通知内容。飞连默认提供了通知内容，您可以按需自定义修改内容，并支持效果预览。通知内容支持多语言配置，若某种语言未配置，则会展示默认语言语种的通知内容。

系统防御 #

• 防御类型：开启或关闭可疑 PowerShell 脚本执行的检测。
  当前，许多挖矿病毒和勒索病毒会利用 Windows PowerShell 脚本，使恶意代码无需写入磁盘就能长期驻留于系统中，从而持续发起攻击。因此，建议开启此项防护功能。
  开启后可在终端防病毒日志审计中查看系统防御日志。

  说明

  1. 此功能仅 Windows 客户端支持。
  2. 为避免拦截合法的运维脚本，可将可信的命令行参数添加至白名单。
• 处置方式：设置检测到可疑 PowerShell 脚本后的处置方式：
  • 宽松（推荐）：用户无感知，仅在管理后台上报告警事件。
  • 适中：默认拦截可疑脚本运行，用户可以在弹窗中自主选择继续运行，对本次操作放行，后台上报告警事件。
  • 严格：默认拦截可疑脚本运行，用户无法自主放行，需要联系管理员后台加白。

生效对象 #

支持以员工或设备维度限制生效范围：

• 员工：​通过部门或角色限制员工范围。
• 设备：​通过设备名称、操作系统、设备分组限制设备范围。

1. 登录管理后台。
2. 在左侧导航栏，选择终端安全 ＞ 策略中心。
3. 在策略中心页面，单击病毒检测配置页签。
4. 找到指定的策略，支持以下操作。
   • 切换生效状态栏开关，可设置策略的生效状态。
     • 当开关打开时，当前策略生效，飞连将会按照策略配置检测各终端事件。
     • 当开关关闭时，当前策略不生效，飞连不会通过该策略检测终端。
   • 策略操作栏中支持复制、编辑或者删除策略。

     说明

     策略被删除后无法恢复，且飞连将不会再继续通过该策略检测终端病毒，但历史已经检测出的病毒事件仍然会记录在事件列表。