В таблице описаны все доступные значения и значения по умолчанию для всех параметров, которые вы можете указать для задачи Защита от файловых угроз.
|
|
|
Параметр
|
Описание
|
Значения
|
ScanArchived
|
Включение проверки архивов (включая самораспаковывающиеся архивы SFX).
Приложение проверяет такие архивы, как: .zip; .7z*; .7-z; .rar; .iso; .cab; .jar; .bz; .bz2; .tbz; .tbz2; .gz; .tgz; .arj. Список поддерживаемых форматов архивов зависит от используемых баз приложения.
|
Yes – проверять архивы. Если указано значение FirstAction=Recommended , то в зависимости от типа архива приложение удаляет либо зараженный объект, либо целиком весь архив, содержащий угрозу.
No (значение по умолчанию) – не проверять архивы.
|
ScanSfxArchived
|
Включение проверки только самораспаковывающихся архивов (архивов, имеющих в своем составе исполняемый модуль-распаковщик, self-extracting archives).
|
Yes – проверять самораспаковывающиеся архивы.
No (значение по умолчанию) – не проверять самораспаковывающиеся архивы.
|
ScanMailBases
|
Включение проверки почтовых баз приложений Microsoft Outlook®, Outlook Express, The Bat и других.
|
Yes – проверять файлы почтовых баз.
No (значение по умолчанию) – не проверять файлы почтовых баз.
|
ScanPlainMail
|
Включение проверки сообщений электронной почты в текстовом формате (plain text).
|
Yes – проверять сообщения электронной почты в текстовом формате.
No (значение по умолчанию) – не проверять сообщения электронной почты в текстовом формате.
|
SkipPlainTextFiles
|
Временное исключение из проверки файлов в текстовом формате.
Если значение этого параметра SkipPlainTextFiles=Yes , приложение не будет проверять файлы в текстовом формате, если эти файлы повторно используются тем же процессом в течение 10 минут после последней проверки. Параметр позволяет оптимизировать проверку журналов работы приложений.
|
Yes – не проверять файлы в текстовом формате, если эти файлы повторно используются тем же процессом в течение 10 минут после последней проверки.
No (значение по умолчанию) – проверять файлы в текстовом формате.
|
SizeLimit
|
Максимальный размер проверяемого объекта (в мегабайтах). Если размер проверяемого объекта превышает указанное значение, приложение пропускает объект при проверке.
|
0 – 999999
0 – приложение проверяет объекты любого размера.
Значение по умолчанию: 0.
|
TimeLimit
|
Максимальная продолжительность проверки объекта (в секундах).
Приложение прекращает проверку объекта, если она выполняется дольше, чем указано значением этого параметра.
|
0 – 9999
0 – продолжительность проверки объектов не ограничена.
Значение по умолчанию: 60.
|
FirstAction
|
Выбор первого действия, которое приложение будет выполнять над зараженными объектами.
Перед тем как выполнить над объектом выбранное вами действие, Kaspersky Endpoint Security блокирует доступ к этому объекту для приложений, которые к нему обращаются.
Если в общих параметрах приложения для параметра InterceptorProtectionMode задано значение Notify , то при обнаружении зараженных объектов приложение не выполняет действие, указанное параметром FirstAction .
|
Disinfect (лечить) – приложение пытается вылечить объект, сохранив копию объекта в хранилище. Если лечение невозможно (например, тип объекта или тип угрозы в объекте не предполагает лечения), приложение оставляет объект неизменным. Если первым действием выбрано Disinfect , рекомендуется задать второе действие в параметре SecondAction .
Remove (удалять) – приложение удаляет зараженный объект, предварительно создав его резервную копию.
Recommended (выполнять рекомендуемое действие) – приложение автоматически выбирает и выполняет действие над объектом на основе данных об обнаруженной в объекте угрозе. Например, Kaspersky Endpoint Security сразу удаляет троянские приложения, так как они не заражают другие файлы и поэтому не предполагают лечения.
Block (блокировать) – приложение блокирует доступ к зараженному объекту. Информация о зараженном объекте сохраняется в журнале.
Значение по умолчанию: Recommended .
|
SecondAction
|
Выбор второго действия, которое приложение будет выполнять над зараженными объектами. Приложение выполняет второе действие, если не удалось выполнить первое действие.
Если в общих параметрах приложения для параметра InterceptorProtectionMode задано значение Notify , то при обнаружении зараженных объектов приложение не выполняет действие, указанное параметром SecondAction .
|
Значения параметра SecondAction такие же, как значения параметра FirstAction .
Если в качестве первого действия выбрано Block (блокировать) или Remove (удалять), то второе действие указывать не нужно. В остальных случаях рекомендуется указывать два действия. Если вы не указали второе действие, приложение в качестве второго действия выполняет Block (блокировать).
Значение по умолчанию: Block .
|
UseExcludeMasks
|
Включение исключения из проверки объектов, указанных параметром ExcludeMasks.item_# .
|
Yes – исключать из проверки объекты, указанные параметром ExcludeMasks.item_# .
No (значение по умолчанию) – не исключать из проверки объекты, указанные параметром ExcludeMasks.item_# .
|
ExcludeMasks.item_#
|
Исключение из проверки объектов по именам или маскам.
C помощью этого параметра вы можете исключать из указанной области проверки отдельный файл по имени или несколько файлов, используя маски в формате shell.
|
Значение по умолчанию не задано.
Пример:
UseExcludeMasks=Yes
ExcludeMasks.item_0000=eicar1.*
ExcludeMasks.item_0001=eicar2.*
|
|
UseExcludeThreats
|
Включение исключения из проверки объектов с угрозами, указанными параметром ExcludeThreats.item_# .
|
Yes – исключать из проверки объекты, которые содержат угрозы, указанные параметром ExcludeThreats.item_# .
No (значение по умолчанию) – не исключать из проверки объекты, которые содержат угрозы, указанные параметром ExcludeThreats.item_# .
|
ExcludeThreats.item_#
|
Исключение из проверки объектов по названиям обнаруженных в объектах угроз. Перед тем как указать значения этого параметра, убедитесь, что включен параметр UseExcludeThreats .
Чтобы исключить объект из проверки, укажите полное название угрозы, обнаруженной в этом объекте: строку-заключение приложения о том, что объект является зараженным.
Например, вы используете одну из утилит для получения информации о сети. Чтобы приложение не блокировало ее, добавьте полное название угрозы в ней в список угроз, исключаемых из проверки.
Вы можете найти полное название угрозы, обнаруженной в объекте, в журнале приложения или на веб-сайте https://threats.kaspersky.com.
|
Значение параметра чувствительно к регистру.
Значение по умолчанию не задано.
Пример:
UseExcludeThreats=Yes
ExcludeThreats.item_0000=EICAR-Test-*
ExcludeThreats.item_0001=?rojan.Linux
|
|
ReportCleanObjects
|
Включение записи в журнал информации о проверенных объектах, которые приложение признало незараженными.
Вы можете включить этот параметр, например, чтобы убедиться в том, что какой-либо объект был проверен приложением.
|
Yes – записывать в журнал информацию о незараженных объектах.
No (значение по умолчанию) – не записывать в журнал информацию о незараженных объектах.
|
ReportPackedObjects
|
Включение записи в журнал информации о проверенных объектах, которые являются частью составных объектов.
Вы можете включить этот параметр, например, чтобы убедиться в том, что какой-либо объект в составе архива был проверен приложением.
|
Yes – записывать в журнал информацию о проверке объектов в составе архивов.
No (значение по умолчанию) – не записывать в журнал информацию о проверке объектов в составе архивов.
|
ReportUnprocessedObjects
|
Включение записи в журнал информации об объектах, которые по какой-то причине не были обработаны.
|
Yes – записывать в журнал информацию о необработанных объектах.
No (значение по умолчанию) – не записывать в журнал информацию о необработанных объектах.
|
UseAnalyzer
|
Включение эвристического анализатора.
Эвристический анализ позволяет приложению распознавать угрозы еще до того, как они станут известны вирусным аналитикам.
|
Yes (значение по умолчанию) – включить эвристический анализатор.
No – выключить эвристический анализатор.
|
HeuristicLevel
|
Уровень эвристического анализа.
Уровень эвристического анализа обеспечивает баланс между тщательностью поиска угроз, степенью загрузки ресурсов операционной системы и длительностью проверки. Чем выше установленный уровень эвристического анализа, тем больше ресурсов потребует проверка и больше времени займет.
|
Light – наименее тщательная проверка, минимальная загрузка системы.
Medium – средний уровень эвристического анализа, сбалансированная загрузка системы.
Deep – наиболее тщательная проверка, максимальная загрузка системы.
Recommended (значение по умолчанию) – рекомендуемое значение.
|
UseIChecker
|
Включение использования технологии iChecker.
Если приложение Kaspersky Endpoint Security используется в режиме Легкого агента для защиты виртуальных сред, использование технологии iChecker не поддерживается. Оптимизация проверки реализована средствами Сервера защиты.
|
Yes (значение по умолчанию) – включить использование технологии iChecker.
No – выключить использование технологии iChecker.
|
ScanByAccessType
|
Режим работы задачи Защита от файловых угроз. Этот параметр ScanByAccessType применяется только в задаче Защита от файловых угроз.
|
SmartCheck (значение по умолчанию) – проверять файл при попытке открытия, и проверять его повторно при попытке закрытия, если файл был изменен. Если процесс во время своей работы многократно обращается к файлу в течение некоторого времени и изменяет его, повторно проверять файл только при последней попытке закрытия файла этим процессом.
OpenAndModify – проверять файл при попытке открытия и проверять его повторно при попытке закрытия, если файл был изменен.
Open – проверять файл при попытке открытия как на чтение, так и на выполнение или изменение.
|
Секция [ScanScope.item_#] содержит следующие параметры:
|
AreaDesc
|
Описание области проверки, содержит дополнительную информацию об области проверки.
Максимальная длина строки, задаваемой этим параметром: 4096 символов.
|
Значение по умолчанию: All objects .
Пример:
AreaDesc=" Проверка почтовых баз "
|
|
UseScanArea
|
Включение проверки указанной области. Для выполнения задачи требуется включить проверку хотя бы одной области.
|
Yes (значение по умолчанию) – проверять указанную область.
No – не проверять указанную область.
|
AreaMask.item_#
|
Ограничение области проверки. В области проверки приложение проверяет только файлы, указанные помощью масок в формате shell.
Если параметр не указан, приложение проверяет все объекты в области проверки. Вы можете указать несколько значений этого параметра.
|
Значение по умолчанию: * (проверять все объекты).
Пример:
AreaMask_item_< номер элемента >=*doc
|
|
Path
|
Путь к директории с проверяемыми объектами.
|
< путь к локальной директории > – проверять объекты в указанной директории. Для указания пути вы можете использовать маски и теги.
Вы можете использовать специальные теги для указания контейнера или образа:
[container-id:< идентификатор >]/< путь к локальной директории > [container-name:< название >]/< путь к локальной директории > [image-id:< идентификатор >]/< путь к локальной директории > [image-name:< название >]/< путь к локальной директории >
Также вы можете использовать уникальные комбинации из тегов [container-id:< идентификатор >], [container-name:< название >], [image-id:< идентификатор >] и [image-name:< название >]/< путь к локальной директории >.
Возможна любая комбинация из уникальных тегов в количестве от 1 до 4 в рамках одной области. Порядок указания не важен.
Например:
[container-name:< название >][image-name:< название >]/< путь к локальной директории > [container-id:< идентификатор >][image-name:< название >]/< путь к локальной директории > [image-name:< название >][image-id:< идентификатор >]/< путь к локальной директории > [container-name:< название >][container-id:< идентификатор >][image-name:< название >]/< путь к локальной директории > [container-name:< название >][image-id:< идентификатор >][container-id:< идентификатор >][image-name:< название >]/< путь к локальной директории >
В названиях и идентификаторах можно использовать маски (символы ? и * ).
Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.
Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file .
Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ / . Например, /dir/**/file*/ или /dir/file**/ .
Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.
Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.
Shared:NFS – проверять ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу NFS.
Shared:SMB – проверять ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу Samba.
Mounted:NFS – проверять удаленные директории, смонтированные на устройстве по протоколу NFS.
Mounted:SMB – проверять удаленные директории, смонтированные на устройстве по протоколу Samba.
AllRemoteMounted – проверять все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.
AllShared – проверять все ресурсы файловой системы устройства, доступ к которым предоставляется по протоколам Samba и NFS.
< тип файловой системы > – проверять все ресурсы указанной файловой системы устройства.
|
Секция [ExcludedFromScanScope.item_#] содержит следующие параметры:
|
AreaDesc
|
Описание области исключения из проверки, содержит дополнительную информацию об области исключения.
|
Значение по умолчанию не задано.
|
UseScanArea
|
Исключение указанной области из проверки.
|
Yes (значение по умолчанию) – исключать указанную область.
No – не исключать указанную область.
|
AreaMask.item_#
|
Ограничение области исключения из проверки. В области исключения приложение не проверяет только файлы, указанные с помощью масок в формате shell.
Если параметр не указан, приложение исключает из проверки все объекты в области исключения. Вы можете указать несколько значений этого параметра.
|
Значение по умолчанию: * (исключать из проверки все объекты).
|
Path
|
Путь к директории с исключаемыми объектами.
|
< путь к локальной директории > – исключать из проверки объекты в указанной директории (включая вложенные директории). Для указания пути вы можете использовать маски и теги.
Вы можете использовать специальные теги для указания контейнера или образа:
[container-id:< идентификатор >]/< путь к локальной директории > [container-name:< название >]/< путь к локальной директории > [image-id:< идентификатор >]/< путь к локальной директории > [image-name:< название >]/< путь к локальной директории >
Также вы можете использовать уникальные комбинации из тегов [container-id:< идентификатор >], [container-name:< название >], [image-id:< идентификатор >] и [image-name:< название >]/< путь к локальной директории >.
Возможна любая комбинация из уникальных тегов в количестве от 1 до 4 в рамках одной области. Порядок указания не важен.
Например:
[container-name:< название >][image-name:< название >]/< путь к локальной директории > [container-id:< идентификатор >][image-name:< название >]/< путь к локальной директории > [image-name:< название >][image-id:< идентификатор >]/< путь к локальной директории > [container-name:< название >][container-id:< идентификатор >][image-name:< название >]/< путь к локальной директории > [container-name:< название >][image-id:< идентификатор >][container-id:< идентификатор >][image-name:< название >]/< путь к локальной директории >
В названиях и идентификаторах можно использовать маски (символы ? и * ).
Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.
Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file .
Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ / . Например, /dir/**/file*/ или /dir/file**/ .
Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.
Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.
Mounted:NFS – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу NFS.
Mounted:SMB – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу Samba.
AllRemoteMounted – исключать из проверки все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.
<тип файловой системы > – исключать из проверки все ресурсы указанной файловой системы устройства.
|
Секция [ExcludedForProgram.item_#] содержит следующие параметры:
|
ProgramPath
|
Путь к исключаемому процессу.
|
< полный путь к процессу > – исключать из проверки процесс в указанной локальной директории.
|
ApplyToDescendants
|
Исключение из проверки дочерних процессов исключаемого процесса, указанного параметром ProgramPath .
|
Yes – исключать из проверки указанный процесс и все его дочерние процессы.
No (значение по умолчанию) – исключать из проверки только указанный процесс, не исключать из проверки дочерние процессы.
|
AreaDesc
|
Описание области исключения процессов.
|
Значение по умолчанию: All objects .
|
UseExcludedForProgram
|
Исключение указанной области из проверки.
|
Yes (значение по умолчанию) – исключать указанную область.
No – не исключать указанную область.
|
AreaMask.item_#
|
Ограничение области исключения процессов. В области исключения процессов приложение не проверяет только файлы, указанные помощью масок в формате shell.
Если параметр не указан, приложение исключает из проверки все объекты в области исключения процессов. Вы можете указать несколько значений этого параметра.
|
Значение по умолчанию: * (исключать из проверки все объекты).
|
Path
|
Путь к директории с файлами, которые изменяет процесс.
|
< путь к локальной директории > – исключать из проверки объекты в указанной директории. Для указания пути можно использовать маски.
Вы можете использовать символ * (звездочка) для формирования маски имени файла или директории.
Вы можете указать один символ * вместо любого набора символов (включая пустой набор), предшествующего символу / в имени файла или директории. Например, /dir/*/file или /dir/*/*/file .
Вы можете указать два последовательно идущих символа * вместо любого набора символов (включая пустой набор) в имени файла или директории, включающего символ / . Например, /dir/**/file*/ или /dir/file**/ .
Маску ** можно использовать в имени директории только один раз. Например, /dir/**/**/file – это неправильная маска.
Вы можете использовать символ ? вместо любого одного символа в имени файла или директории.
Shared:NFS – исключать из проверки ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу NFS.
Shared:SMB – исключать из проверки ресурсы файловой системы устройства, доступ к которым предоставляется по протоколу Samba.
Mounted:NFS – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу NFS.
Mounted:SMB – исключать из проверки удаленные директории, смонтированные на устройстве по протоколу Samba.
AllRemoteMounted – исключать из проверки все удаленные директории, смонтированные на устройстве с помощью протоколов Samba и NFS.
AllShared – исключать из проверки все ресурсы файловой системы устройства, доступ к которым предоставляется по протоколам Samba и NFS.
< тип файловой системы > – исключать из проверки все ресурсы указанной файловой системы устройства.
|