为确保正常运行,应用程序必须拦截系统事件,即文件操作和进程启动。如果应用程序不使用系统事件拦截,则不会执行文件实时扫描,从而降低设备的保护级别。
如果设备的操作系统支持 fanotify,您可以选择应用程序用来拦截系统事件的机制:
如果在 Light Agent 模式下使用 Kaspersky Endpoint Security 来保护虚拟环境,则不支持可更新内核模块。
对于不支持 fanotify 的操作系统,无法选择拦截机制。该应用程序使用特殊的内核模块来拦截系统事件以提供文件威胁防护功能。当启动文件威胁防护时,如果所有依赖项和构建工具都可用,则会自动编译此模块。
如果操作系统满足安装可更新内核模块的要求,则应用程序可以使用基于可更新内核模块的拦截机制。
您可以使用卡巴斯基 ULKM 工具来检查设备是否满足安装可更新内核模块的要求。
您可以在应用程序安装期间安装可更新内核模块,也可以在后续的可更新内核模块支持更新中进行安装。安装应用程序后,您可以在 Web Console、管理控制台或命令行中选择系统事件拦截机制。
如果选择了基于可更新的内核模块的拦截机制,则可以配置在可更新的内核模块启动而模块没有启动时发生错误的应用程序的行为。在此情况下,应用程序可以回退到 fanotify 或禁用系统事件拦截。
应用程序可以在以下情况下切换到使用可更新的内核模块:
为了使应用程序正常工作,必须在应用程序自动重启后切换到使用可更新内核模块。
您可以通过以下方式查看设备上的可更新内核模块的状态和可用性信息:
kesl-control --app-info 命令的输出中查看。关于可更新内核模块状态的信息以状态的形式显示: