行为检测
行为检测组件接收有关计算机上应用程序操作的数据,并将此信息提供给其他保护组件以提高其性能。行为检测组件使用应用程序的行为流签名 (BSS)。如果应用程序的活动与行为流签名匹配,Kaspersky Endpoint Security 将执行所选的响应操作。基于行为流签名的 Kaspersky Endpoint Security 功能为计算机提供了主动防御。
默认情况下,行为检测处于启用状态并以卡巴斯基专家推荐的模式运行。如有必要,您可以禁用行为检测。
使用 Web Console 启用/禁用行为检测
- 在 Web Console 的主窗口,选择“资产(设备)”>“策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口打开。
- 选择应用程序设置选项卡。
- 转到“高级威胁防护”>“行为检测”。
- 打开/关闭“行为检测”切换开关。
- 如果启用了行为检测,请选择在检测到恶意软件活动时执行的以下任一操作:
- 阻止
如果选择此选项,Kaspersky Endpoint Security 应用程序会在检测到恶意活动时终止应用程序。
- 删除
如果选择此选项,当检测到恶意活动时,Kaspersky Endpoint Security 应用程序会删除恶意应用程序的可执行文件并在备份区中创建该文件的备份副本。
- 提示操作
如果选择此选项,当检测到恶意活动时,Kaspersky Endpoint Security 应用程序将显示一个通知窗口,其中包含有关恶意对象的信息,并提示用户选择 Kaspersky Endpoint Security 应用程序要采取的操作。可用的操作可能因对象的状态而异。
- 如果启用了行为检测和共享文件夹外部加密防护,请选择在检测到外部加密时要执行的以下操作之一:
- 通知
如果选择此选项,在检测到尝试修改共享文件夹中的文件时,Kaspersky Endpoint Security 应用程序会将有关此尝试的信息添加到活动威胁列表中,在本地应用程序报告中添加条目,并将有关检测到的恶意活动的信息发送到 Kaspersky Security Center。
- 阻止攻击设备
如果选择此选项,当 Kaspersky Endpoint Security 应用程序检测到尝试修改共享文件夹中的文件时,会阻止启动恶意活动的会话访问文件修改(只读),并创建修改文件的备份副本。
- 保存您的更改。
使用管理控制台启用/禁用行为检测
- 启动管理控制台。
- 最大化管理服务器 <服务器名称> 节点。
- 在控制台树中,单击受管理设备。
- 在工作区中,选择策略选项卡。
- 右键单击要配置的策略并选择属性。
- 在“属性”窗口中,选择高级威胁防护 > 行为检测
- 选中或取消选中“行为检测”复选框。
- 如有必要,在检测到恶意软件活动时的操作部分中,选择检测到恶意软件活动时要执行的操作。
- 单击确定保存您的更改。
- 执行以下操作之一以应用策略更改:
- 单击“应用”,保存更改后,仍留在“属性: <策略名称>”窗口中。
- 单击“确定”,保存更改后,将关闭“属性: <策略名称>”窗口。
使用 Kaspersky Endpoint Security 应用程序启用/禁用行为检测
- 在菜单栏,单击应用程序图标并选择设置。
此时会打开应用程序设置窗口。
- 在“高级”选项卡的“行为检测”部分中,选中或取消选中“启用行为检测”复选框。
- 如果选中启用行为检测复选框,请选择在检测到恶意软件活动时要执行的以下操作之一:
- 阻止
如果选择此选项,Kaspersky Endpoint Security 应用程序会在检测到恶意活动时终止应用程序。
- 删除
如果选择此选项,当检测到恶意活动时,Kaspersky Endpoint Security 应用程序会删除恶意应用程序的可执行文件并在备份区中创建该文件的备份副本。
- 提示操作
如果选择此选项,当检测到恶意活动时,Kaspersky Endpoint Security 应用程序将显示一个通知窗口,其中包含有关恶意对象的信息,并提示用户选择 Kaspersky Endpoint Security 应用程序要采取的操作。可用的操作可能因对象的状态而异。
因此,如果启用行为检测,Kaspersky Endpoint Security 将使用行为流签名来分析操作系统中应用程序的活动。
重要提示:除非绝对必要,否则我们不建议禁用行为检测,因为这样做会降低保护组件的有效性。为了检测威胁,保护组件可能会请求行为检测组件收集的数据。
返回页首