黑/白名单是终端防病毒模块全局生效的例外与风险定义机制，其优先级高于所有检测策略。通过配置黑/白名单，您可以精确地定义哪些文件或进程需要被强制豁免扫描（白名单），或被标记为已知风险（黑名单）。

文件白名单 #

文件白名单用于将可信的、被杀毒引擎误报的文件或进程排除在扫描之外，以保障业务的正常运行。

新增与配置 #

1. 登录管理后台。
2. 在左侧导航栏，选择终端安全 ＞ 终端防病毒 ＞ 策略配置。
3. 在策略配置页面，单击白名单页签。
4. 在文件白名单区域的右侧，单击 ＋ 添加白名单，完成以下配置，并单击确定。
   
   • 操作系统
     选择此条白名单规则适用的操作系统（Windows、macOS、Linux），可多选。注意：当您后续添加“文件路径”作为条件时，请确保仅选择一个与之匹配的操作系统，以避免路径格式冲突。
   • 白名单配置规则
     添加一个或多个条件精确定义需要被豁免的对象。多个条件之间为“且”关系，必须同时满足才会生效。支持的条件包括：
     • 文件 SHA1：最精准的加白方式，基于文件内容的唯一哈希值。
     • 文件路径：豁免指定路径下的文件。系统会自动识别路径格式（Windows/POSIX）并校验操作系统的选择。
     • 文件签名：豁免具有特定数字签名的文件
     • 文件名：豁免匹配特定名称的文件。此方式可能存在被恶意程序通过重命名绕过的风险，建议结合其他条件组合使用。
     • 文件后缀：豁免具有特定扩展名（如 .log, .tmp）的所有文件，通常用于放行特定业务产生的低风险临时文件。
     • 告警名称：直接忽略由防病毒引擎抛出的特定告警规则名称（如 Malware.Heuristic.1001）。当业务软件稳定触发某条通用检测规则时，可使用此方式进行精准放行。

     说明

     为实现最精准的豁免、避免误放行，建议优先使用“文件 SHA1”​作为加白条件。

   • 备注（可选）
     为此条白名单规则添加说明，例如“财务部专用报表工具，正常软件”，便于后续审计和管理。
   • 生效范围
     定义此条白名单规则的应用范围。可设置为对全部对象生效，或精确指定到特定的部门、角色、员工或设备。

从告警事件快速添加白名单 #

当您在告警事件 ＞ 病毒查杀页面确认某次告警为误报时，可以直接从此处一键将该文件添加至全局白名单。

1. 在告警事件列表或详情页，找到目标事件，点击操作列的处置按钮。
2. 找到目标文件，在操作列选择更多 ＞ 添加白名单。
   系统将自动弹出“新增白名单”对话框，并智能预填充以下信息：
   • 操作系统：默认为上报该告警的终端操作系统。
   • 白名单配置：默认使用该文件的 SHA1 值作为条件，这是最安全、最精准的加白方式。如果告警信息中无 SHA1，则会默认使用文件路径和文件名。
   • 生效对象：默认为“全部终端”。
3. 根据需要调整预填充的内容（如将生效对象缩小范围），或添加更多“且”条件，然后点击确定即可。

管理已有白名单 #

在文件白名单列表中，您可以：

• 查看每条规则的配置条件、生效对象、备注以及最后修改人等详细信息。
• 对已有规则进行编辑或删除。

黑名单 #

黑名单用于将已知的恶意文件特征手动录入系统，以增强检测能力。

新增与配置 #

1. 登录管理后台。

2. 在左侧导航栏，选择终端安全 ＞ 终端防病毒 ＞ 策略配置。

3. 在策略配置页面，单击黑名单页签。

4. 在页面右侧，单击 ＋ 添加黑名单，完成以下配置，并单击确定。

   配置项	说明	配置样例
   风险类型	选择您希望在黑名单中特别标记的风险类型，可选未知、钓鱼软件、木马、后门、恶意邮件、漏洞利用程序、恶意广告、黑客工具、勒索软件、病毒或挖矿软件。	示例 1：添加特定风险类型的文件到黑名单，此样例将确保在 Windows 系统下，名为 suspicious_file.exe 和 unwanted_app.dll 的文件在扫描时被标记为勒索软件风险。 风险类型：勒索软件 任务类型：文件名称 相关配置： suspicious_file.exe unwanted_app.dll 操作系统：Windows 示例 2：添加进程到黑名单，此样例将 hacker_tool.exe 进程添加到 Windows 和 Linux 系统的黑名单中，以便在扫描时对其进行特别检测。 风险类型：黑客工具 任务类型：进程 相关配置： hacker_tool.exe 操作系统：Windows、Linux 示例 3：基于文件 SHA1 添加到黑名单，此样例将特定 SHA1 值的文件添加到 macOS 和 Linux 系统的黑名单中，以便在扫描时对其进行病毒风险的特别关注。 风险类型：病毒 任务类型：文件 SHA1 相关配置： EF4B7DEB9D7AC41C0B7C7BC8CB8D0B5B6DF65CBF 操作系统：macOS、Linux 示例 4：添加恶意广告风险类型的文件后缀到黑名单，此样例将所有具有 .ads 和 .pop 文件后缀的文件添加到 Windows 和 macOS 系统的黑名单中，以便在扫描时对它们进行恶意广告风险的检测。 风险类型：恶意广告 任务类型：文件后缀 相关配置： .ads .pop 操作系统：Windows、macOS
   任务类型	选择要添加到黑名单的类型，可选进程、文件名称或文件 SHA1。
   相关配置	根据所选任务类型，输入具体的配置信息。多个配置项用回车隔开。
   操作系统	勾选适用的操作系统，如 macOS、Windows 或 Linux。

管理已有黑名单 #

在黑名单列表中，您可以查看每条规则的详细信息，并对其进行编辑或删除。

PowerShell 运行参数白名单 #

针对 Windows 终端，如果在配置检测策略时开启了对可疑 powershell 脚本执行检测，为避免拦截合法的运维脚本，现在可以通过本功能将可信的命令行参数添加为例外，实现对特定操作的精准放行。

新增与配置 #

1. 登录管理后台。
2. 在左侧导航栏，选择终端安全 ＞ 终端防病毒 ＞ 策略配置。
3. 在策略配置页面，单击白名单页签。
4. 找到 PowerShell 运行参数白名单区域，点击右上角 ＋ 添加白名单。
5. 在添加白名单对话框中单击添加单条白名单或批量添加白名单。
   

   • 添加单条白名单
     配置如下参数，单击确定。

     配置项	说明	配置样例
     命令行参数	请输入需要加白的命令行参数，允许输入中、英、特殊字符或空格，最多 2048 个字符。	示例一： 命令行参数：Get-WmiObject -Class Win32_ComputerSystem 匹配方式：包含匹配 备注信息：用于获取计算机品牌和型号的信息。 示例二： 命令行参数：(Get-WmiObject -Class Win32_NetworkAdapterConfiguration).* 匹配方式：正则匹配 匹配目标：Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter IPEnabled=TRUE -ComputerName . | Format-Table -Property IPAddress 备注信息：获取分配给当前计算机的 IP 地址。
     匹配方式	支持正则匹配或包含匹配。 包含匹配：真实的命令行中包含白名单中的命令行参数。 正则匹配：使用正则表达式进行匹配，真实的命令行中匹配到白名单中的命令行参数。
     备注信息	对命令行进行备注，方便了解其用途。

   • 批量添加白名单
     单击模版下载，根据模版中的说明填写 powershell 命令行参数加白模板后，在飞连管理后台点击上传，单击确定。

测试与管理 #

• 测试正则表达式：在配置正则匹配规则时，建议使用测试功能，输入真实的命令行示例，验证表达式是否能按预期命中。
  
• 导出列表：点击导出列表按钮，可以将当前所有的 PowerShell 白名单规则导出为 Excel 文件，用于备份、审计或迁移。
• 管理已有规则：在 PowerShell 运行参数白名单列表中，您可以查看所有已添加的规则，并对其进行编辑或删除。