加密軟體防護元件可讓您透過 SMB/NFS 協定的網路存取防護本機目錄中的檔案免受遠端惡意加密。
要使用該元件,需要包含相應功能的產品授權。
如果啟用了加密軟體防護,Kaspersky Endpoint Security 將使用位於受防護裝置的共用網路目錄中的檔案資源掃描遠端裝置的操作,以尋找是否有惡意加密。如果應用程式將遠端裝置存取共用網路資源的行為視為惡意加密,則應用程式將建立並啟用作業系統防火牆的規則,以封鎖來自受感染裝置的 Web 流量。被入侵的裝置將被新增至不受信任的裝置清單中,並封鎖所有不受信任的裝置存取共用網路目錄。應用程式會建立一個加密偵測事件,其中包含關於受感染裝置的資訊。
預設情況下,應用程式會阻止不受信任的裝置存取網路檔案資源 30 分鐘。當封鎖時間到期時,應用程式會將受感染的裝置從不受信任的裝置清單中刪除,並自動還原該裝置對網路檔案資源的存取權。
無法使用 iptables 公用程式刪除加密軟體防護元件建立的防火牆規則,因為應用程式每分鐘都會還原一組規則。
預設情況下,停用針對遠端惡意加密的防護。
您可以啟用或停用針對惡意加密(加密軟體防護)的防護,也可以配置防護設定:
如果選擇了通知操作,則在啟用加密軟體防護時,應用程式仍會掃描遠端裝置在網路檔案共用上的操作,以檢查是否有惡意加密。如果偵測到惡意活動,則會建立偵測到加密事件,但不會封鎖受感染的裝置。
如果在不受加密防護(加密軟體防護)的目錄中偵測到加密活動,則應用程式不會將操作視為加密。
您可以使用指令列中管理被封鎖裝置的指令來檢視被封鎖裝置的清單並手動解除對這些裝置的封鎖。除偵測到加密事件外,卡巴斯基安全管理中心不提供監控和管理被封鎖裝置的工具。
為了使加密軟體防護元件正常運作,必須在作業系統中安裝至少一種服務 (Samba 或 NFS)。NFS 服務需要安裝 rpcbind 套件。
加密軟體防護元件可以與 SMB1、SMB2、SMB3、NFS3、TCP/UDP 和 IP/IPv6 協定正確执行。不支援使用 NFS2 和 NFS4 協定。建議配置您的伺服器設定,以便不能使用 NFS2 和 NFS4 協定來掛載資源。
Kaspersky Endpoint Security 不會阻止對網路檔案資源的存取,除非裝置的活動被識別為惡意。因此,在應用程式偵測到惡意活動之前,至少會有一個檔案被加密。