Loading...

知识中心


针对受信任网站的 URL 白名单功能的 ScriptScan 改善(针对脚本密集型 Web 应用程序的性能改善)
技术文章 ID:   KB65382
上次修改时间:  2016/11/3
已评级:


环境

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i 补丁 1 及更高版本

 

摘要

当 VirusScan Enterprise (VSE) 随 ScriptScan 组件一起安装时,它会在传入脚本与 Windows Scripting Host 之间插入一个代理。这可能会降低网页及脚本密集型 Web 应用程序的性能。 现在您可以将受信任网站的 URL 列入白名单,例如 Intranet 中的站点或您经常使用且确定安全的站点。

以下版本中提供了此功能:
  • VSE 8.8
  • VSE 8.7i 补丁 1 及更高版本
注意:
  • 请勿使用通配符。
  • 可以使用部分 URL。在指定部分匹配项时请务必小心,以免将脚本排除在意外网站之外。例如,仅添加 www 会将脚本排除在 URL 中包含 www 字符的任何来源之外。
  • 您必须启用浏览器辅助对象
  • McAfee 建议您只使用完全限定域名和 NetBIOS 名称。

    示例:

    内部 URL
    要将脚本 script.jshttp://internal.something.local/scripts/script.js 中排除,则 URL 排除项将为 internal.something.local

    外部 URL
    排除外部 URL,例如 http://www.mcafee.com 将为 www.mcafee.com

     
  • 如果 DNS 服务器记录包含特定 URL 的 CNAME 条目,请将其排除。 
  • 网页可以运行其他站点或位置上托管的脚本。如果需要访问其他站点上托管的脚本,您还必须排除主机站点的 URL。
  • 请勿在排除项中包含端口号。如果端口号已指定,则该排除项将视作无效而被忽略。


重要说明:

尽管您可以禁用 ScriptScan,但 McAfee 建议您先创建并测试排除项,然后再完全禁用此功能。禁用 ScriptScan 存在一些安全风险,因为在本地系统上创建文件之前,Outlook 和 Internet Explorer 等应用程序可渲染和执行脚本。在此务必要指出,按访问扫描程序可通过此介质阻止攻击负载,但是 ScriptScan 多了从一开始就防止执行实际威胁这一优点。

客户大可放心,尽管 ScriptScan 可能并不适用于所有环境,但 VirusScan Enterprise 8.x 能够提供卓越的保护功能以防范各种混合型威胁:其中包括为常用桌面应用程序和服务提供集成缓冲区溢出防护;包含常用威胁模型并加以阻止的访问保护规则以及针对恶意软件的有效按访问扫描(包括防间谍软件、快速速响的每日 DAT 更新),由 ePO 的功能和性能提供支持。

但是,McAfee 意识到,这可能会让客户在权衡增强型保护与最终用户性能时陷入困境。客户可以将其保护级别重新提升到参照级别,方法是将 Secure Web Gateway 设备安装在其面向外部的 Web 服务器之后。此解决方案提供的保护与 ScriptScan 一样,但它只针对外部 Web 流量,而内部门户流量则不受影响。
 

解决方案

执行以下步骤以创建 URL 排除项:

注意:本文包含打开或修改注册表的信息。
  • 以下信息供系统管理员使用。 注册表修改是不可逆的,如果执行不正确可能会导致系统故障。
  • 执行前,技术支持强烈建议您先备份注册表并了解还原过程。 有关详细信息,请参阅 http://support.microsoft.com/kb/256986
  • 请不要运行未确认为真正的注册表导入文件的 REG 文件。


重要说明:VSE 8.8 版及更高版本发布之后,可以通过 ePO VSE 8.8 策略执行以下更改;如果不受 ePO 的管理,则还可以通过本地控制台执行。

  1. 依次单击开始运行,键入 regedit,然后单击确定
  2. 导航至相应的注册表项并加以选择:

    • VSE 8.8:[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCORE\Script Scanner]
    • VSE 8.7i:[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCORE\Script Scanner]
        
  3. 依次单击编辑新建多字符串值,然后命名新值 ExcludedURLs
  4. 添加要排除的 URL。 
  5. 确保每个 URL 或部分 URL 用回车隔开。

    注意:
    这只适用于 Windows XP 及更高版本,因为您无法在 Windows 2000 中创建多字符串值 (REG_MULTI_SZ)。如有必要,仍可将多字符串值导入到 Windows 2000 中。
     
  6. 关闭注册表编辑器。
  7. 关闭并重新启动所有 Internet Explorer 窗口,以便允许读取新配置。

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

对此文档进行评级

受影响的产品

Beta Translate with

Select a desired language below to translate this page.