AMSI-защита

Компонент AMSI-защита предназначен для поддержки интерфейса Antimalware Scan Interface от Microsoft. Интерфейс Antimalware Scan Interface (AMSI) позволяет сторонним приложениям с поддержкой AMSI отправлять объекты (например, скрипты PowerShell) в Kaspersky Endpoint Security для дополнительной проверки и получать результаты проверки этих объектов. Сторонними приложениями могут быть, например, программы Microsoft Office (см. рис. ниже). Подробнее об интерфейсе AMSI см. в документации Microsoft.

AMSI-защита может только обнаруживать угрозу и уведомлять стороннее приложение об обнаруженной угрозе. Стороннее приложение после получения уведомления об угрозе не дает выполнить вредоносные действия (например, завершает работу).

Пример работы AMSI

Компонент AMSI-защита может отклонить запрос от стороннего приложения, например, если это приложение превысило максимальное количество запросов за промежуток времени. Kaspersky Endpoint Security отправляет информацию об отклонении запроса от стороннего приложения на Сервер администрирования. Компонент AMSI-защита не отклоняет запросы от тех сторонних приложений, для которых установлен флажок Не блокировать взаимодействие с компонентом AMSI-защита.

AMSI-защита доступна для следующих операционных систем рабочих станций и серверов:

• Windows 10 Home / Pro / Pro для рабочих станций / Education / Enterprise;
• Windows 11;
• Windows Server 2016 Essentials / Standard / Datacenter;
• Windows Server 2019 Essentials / Standard / Datacenter;
• Windows Server 2022.

Включение и выключение AMSI-защиты

По умолчанию AMSI-защита включена.

Чтобы включить или выключить AMSI-защиту, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → AMSI-защита.
3. Используйте переключатель AMSI-защита, чтобы включить или выключить компонент.
4. Сохраните внесенные изменения.

Проверка составных файлов AMSI-защитой

Распространенной практикой сокрытия вирусов и других программ, представляющих угрозу, является внедрение их в составные файлы, например, архивы. Чтобы обнаружить скрытые таким образом вирусы и другие программы, представляющие угрозу, составной файл нужно распаковать, что может привести к снижению скорости проверки. Вы можете ограничить набор типов проверяемых составных файлов, таким образом увеличив скорость проверки.

Чтобы настроить проверку составных файлов AMSI-защитой, выполните следующие действия:

1. В главном окне программы нажмите на кнопку .
2. В окне параметров программы выберите раздел Базовая защита → AMSI-защита.
3. В блоке Проверка составных файлов укажите, какие составные файлы вы хотите проверять: архивы, дистрибутивы или файлы офисных форматов.
4. В блоке Ограничение по размеру выполните одно из следующих действий:
   • Чтобы запретить компоненту AMSI-защита распаковывать составные файлы большого размера, установите флажок Не распаковывать составные файлы большого размера и в поле Максимальный размер файла укажите нужное значение. Компонент AMSI-защита не будет распаковывать составные файлы больше указанного размера.
   • Чтобы разрешить компоненту AMSI-защита распаковывать составные файлы большого размера, снимите флажок Не распаковывать составные файлы большого размера.

   Компонент AMSI-защита проверяет файлы больших размеров, извлеченные из архивов, независимо от того, установлен ли флажок Не распаковывать составные файлы большого размера.

5. Сохраните внесенные изменения.