计算机

通信方向

双向：缺省情况下，通信是双向的。这意味着客户端/设备通常会启动波动信号，但仍会在客户端端口上侦听管理中心的连接。管理中心仍可以自行联系客户端/设备，以执行所需的操作。这样，当安全配置发生更改时，管理中心可立即将更改应用到客户端/设备。
趋势科技服务器深度安全防护系统虚拟设备仅能在双向模式下运行。将虚拟设备的此设置更改为其他任何模式都将破坏功能。
管理中心已启动：选择此选项后，所有管理中心与客户端/设备之间的通信将由管理中心启动。这些通信包括安全配置更新、波动信号操作以及对事件日志的请求等。
客户端/设备已启动：选择此选项后，客户端/设备将不会侦听端口 4118，而是在波动信号设置指定的波动信号端口（缺省为 4120）上联系管理中心。当客户端/设备与管理中心建立 TCP 连接后，便开始执行所有的标准通信：管理中心会先请求客户端/设备的状态和任何事件。（这就是波动信号操作）。如果有待处理的操作需要在计算机上执行（例如，需要更新策略），则会在关闭连接之前执行这些操作。在此模式下，管理中心与客户端/设备之间的通信仅在每个波动信号启动时发生。如果客户端/设备的安全配置已更改，则只有在启动下一个波动信号时才会更新安全配置。
在针对客户端/设备启动的通信配置客户端/设备之前，请确保客户端/设备可访问管理中心 URL 和波动信号端口。如果客户端/设备无法解析管理中心 URL，或无法访问 IP 和端口，则此客户端/设备的“客户端/设备启动的通信”将不成功。管理中心 URL 和波动信号端口在管理 > 系统信息页面的系统详细信息区域中列出。

客户端/设备会根据 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心的主机名在网络中查找管理中心。因此，您的本地 DNS 中必须有管理中心的主机名，才能执行客户端/设备启动的通信或双向通信。

为了实现管理中心与客户端/设备之间的通信，管理中心将自动执行（隐藏的）防火墙规则（优先级为 4 的“放行”规则），此规则会在客户端/设备上打开端口 4118，以接受传入的 TCP/IP 网络通信。缺省设置将对任何 IP 地址和任何 MAC 地址开放此端口。您可以建立一个优先级为 4 的“强制允许”或“放行”的新防火墙规则，以限制此端口上的传入网络通信，此规则仅允许来自特定 IP 和/或 MAC 地址的传入 TCP/IP 网络通信。如果这个新防火墙规则的设置符合下列条件，则会替换隐藏的防火墙规则：

操作：强制允许或放行
优先级：4 – 最高
数据包流向：传入
帧类型：IP
协议：TCP
数据包目标端口：4118（或包含 4118 的列表或范围）

只要这些设置有效，新规则就会替换隐藏的规则。然后，您就可以键入 IP 和/或 MAC 地址的数据包源信息，以限制流向计算机的网络通信。

波动信号

波动信号间隔（以分钟为单位）：两个波动信号之间经过的时间。
在引发警报之前可以错过的波动信号数：此设置确定在管理中心触发警报之前允许错过的波动信号数量。（例如，输入 3 会使管理中心在错过第 4 个波动信号时触发警报。）
如果计算机是服务器，连续错过的波动信号过多可能表示客户端/设备或计算机本身出现问题。但是，如果计算机是便携式计算机或任何其他可能会持续断开连接的系统，此设置应设为“无限制”。
引发警报之前计算机上的本地系统时间在波动信号之间的最大变化（以分钟为单位）：对于能够检测系统时钟更改的客户端（Windows 客户端），这些事件会以客户端事件 5004 向管理中心报告。如果更改超过这里列出的时钟更改，就会触发警报。对于不支持此功能的客户端（非 Windows 客户端），管理中心将监控客户端在每次波动信号操作时报告的系统时间，并在检测到的更改超出此设置中指定的允许更改范围时触发警报。系统时钟的更改会以客户端事件 5004 向管理中心报告。如果更改超过这里列出的时钟更改，就会触发警报。
一旦触发计算机时钟已更改警报，就必须手动解除此警报。
对非活动的虚拟机引发脱机错误：设置在虚拟机停止或暂停时是否引发脱机错误。

立即发送策略更改

缺省情况下，自动将策略更改发送到计算机设置的值为“是”。这意味着对安全策略的任何更改都将自动应用于使用该策略的计算机。如果将此设置更改为“否”，您将需要在计算机页面上查找受影响的计算机，然后右键单击这些计算机并从上下文菜单中选择“发送策略”。

故障排除

您可以增加日志记录级别的粒度并记录更多事件以进行故障排除，但使用此选项时请小心，因为启用此选项会大幅增加事件日志的总大小。

选择是从分配给此计算机的策略继承日志记录覆盖设置（“已继承”）、不覆盖日志记录设置（“不覆盖”）、记录所有已触发的防火墙规则（“完整的防火墙事件日志记录”）、记录所有已触发的入侵防御规则（“完整的入侵防御事件日志记录”）还是记录所有已触发的规则（“完整的日志记录”）。

客户端自我保护

“客户端自我保护”功能仅适用于 Windows 客户端。

使用这些设置可防止本地用户干扰客户端功能。

防止本地最终用户卸载、停止或以其他方式修改客户端：此操作将防止本地用户卸载客户端、停止客户端服务、修改客户端相关的 Windows 注册表项或修改客户端相关的文件。您可以从命令行发出本地指令来覆盖这些限制。（请参阅命令行工具。）启用了客户端自我保护后，如果尝试通过本地操作系统的图形用户界面对客户端进行修改，会收到一条类似于“安全设置禁止删除或修改此应用程序”的消息。
- 本地覆盖需要密码：Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心可能会失去与客户端通信的能力。在这种情况下，您必须使用客户端的命令行界面与客户端本地进行交互。在此处输入密码，以使用密码保护本地命令行功能。（推荐。）
  将此密码存储在安全位置。如果丢失或忘记密码，必须联系支持提供商获取帮助以覆盖此保护。

防恶意软件保护必须处于“启用”状态，以防止发生以下情况：

停止客户端服务
修改客户端相关的 Windows 注册表项
修改客户端相关的文件

防恶意软件保护对于防止本地用户卸载客户端不是必需的。

从命令行关闭或打开客户端自我保护：

以管理员身份登录到本地计算机
从客户端（或中继）的安装目录运行命令提示符
输入以下命令（其中 "password" 是使用本地覆盖需要密码设置所设置的密码）：
- to turn Self-Protection off:
  dsa_control --selfprotect=0 --passwd=password
- 打开自我防护：
  dsa_control --selfprotect=1 --passwd=password
如果未设置任何密码，请省略 "--passwd" 参数。

在趋势科技服务器深度安全防护系统 9.0 及较早版本中，此选项为 --harden=<num>

或者，可以使用重置参数，该参数将重置客户端并禁用客户端自我保护：

dsa_control --reset

环境变量覆盖

完整性监控模块使用环境变量表示 Windows 操作系统的目录系统中的一些标准位置。例如，Microsoft Windows - 'Hosts' file modified 完整性监控规则，其监控对 Windows hosts 文件的更改，并在 C:\WINDOWS\system32\drivers\etc 文件夹中查找该文件。但是，不是所有 Windows 安装都使用 C:\WINDOWS\ 目录，因此完整性监控规则使用 WINDIR 环境变量，并以 %WINDIR%\system32\drivers\etc 的方式表示该目录。

在虚拟机上执行无客户端完整性监控时，环境变量主要由虚拟设备使用。这是因为虚拟设备无法知道特定虚拟机上的操作系统是否正在使用标准目录位置。

以下是完整性监控模块使用的缺省环境变量：

名称	值
ALLUSERSPROFILE	C:\ProgramData
COMMONPROGRAMFILES	C:\Program Files\Common Files
PROGRAMFILES	C:\Program Files
SYSTEMDRIVE	C:
SYSTEMROOT	C:\Windows
WINDIR	C:\Windows

覆盖上述任一环境变量：

单击查看环境变量... 按钮显示环境变量覆盖页面。
单击菜单栏中的新建，然后输入新的名称/值对（例如，WINDIR 和 D:\Windows），然后单击确定。