Kaspersky Endpoint Security for Windows(以下簡稱 Kaspersky Endpoint Security)為電腦提供全面防護,封鎖各種類型的威脅、網路攻擊和釣魚攻擊。
威脅偵測技術
機器學習 Kaspersky Endpoint Security 使用基於機器學習的模型。該模型由 Kaspersky 專家開發。隨後,模型被不斷灌輸以 KSN 的威脅資料(模型訓練)。 雲端分析 Kaspersky Endpoint Security 接收來自卡巴斯基安全網路的威脅資料。卡巴斯基安全網路(KSN)是雲端服務的基礎結構,可提供對線上卡巴斯基知識庫的存取,該知識庫包含有關檔案、網頁資源和軟體信譽的資訊。 專家分析 Kaspersky Endpoint Security 使用 Kaspersky 病毒分析師新增的威脅資料。如果物件的信譽無法自動確定,則病毒分析師將評估物件。 |
行為分析 Kaspersky Endpoint Security 會及時分析物件的活動。 自動分析 Kaspersky Endpoint Security 接收來自物件自動分析系統的資料。系統處理傳送到 Kaspersky 的所有物件。系統然後確定物件的信譽,並將資料新增至病毒資料庫。如果系統無法確定物件的信譽,則系統會查詢 Kaspersky 病毒分析。 Kaspersky Sandbox Kaspersky Endpoint Security 會處理虛擬機中的物件。Kaspersky Sandbox 會分析物件的行為並就其信譽做出決定。該技術只有在您使用 Kaspersky Sandbox 解決方案時才可使用。 |
選取目錄
每種類型的威脅是由專門的元件處理。各個元件均可獨立啟用或停用,並可以配置其設定。
選取目錄
區域 |
元件 |
---|---|
關鍵威脅防護 |
檔案威脅防護 “檔案威脅防護”元件允許您防止電腦的檔案系統受到感染。預設情況下,“檔案威脅防護”元件會永久常駐在電腦的 RAM 中。該元件將掃描電腦所有磁碟機以及連接之磁碟機上的檔案。該元件借助防毒資料庫、卡巴斯基安全網路雲端服務和啟發式分析來提供電腦防護。 Web 威脅防護 “Web 威脅防護”元件可防止從網際網路下載惡意檔案,同時封鎖惡意網站和釣魚網站。該元件借助防毒資料庫、卡巴斯基安全網路雲端服務和啟發式分析來提供電腦防護。 郵件威脅防護 “郵件威脅防護”元件掃描傳送和接收電子郵件的附件是否有病毒和其他威脅。此元件還會掃描郵件中是否有惡意連結和釣魚連結。預設情況下,“郵件威脅防護”元件會永久常駐在電腦的 RAM 中,並掃描使用 POP3、SMTP、IMAP 或 NNTP 協定或 Microsoft Office Outlook 郵件用戶端 (MAPI) 接收或傳送的所有郵件。該元件借助防毒資料庫、卡巴斯基安全網路雲端服務和啟發式分析來提供電腦防護。 網路威脅防護 “網路威脅防護”元件將掃描接收的網路流量以偵測常見的網路攻擊活動。當 Kaspersky Endpoint Security 偵測到在使用者電腦上有網路攻擊企圖時,它將封鎖與攻擊電腦的連線。Kaspersky Endpoint Security 資料庫提供目前已知類型的網路攻擊以及應對方法。“網路威脅防護”元件偵測到的網路攻擊清單在資料庫和應用程式模組更新期間更新。 防火牆 在網際網路或區域網路上工作時,防火牆會封鎖未經授權的電腦連線。防火牆還控制電腦上應用程式的網路活動。這允許您防護公司區域網路免受身分竊盜和其他攻擊。該元件借助防毒資料庫、卡巴斯基安全網路雲端服務和預先定義的網路規則來提供電腦防護。 BadUSB 攻擊防護 BadUSB 攻擊防護元件可以防止受感染的模擬鍵盤的 USB 裝置連線至電腦。 AMSI 防護 AMSI 防護元件旨在支援 Microsoft 的惡意軟體防護掃描介面。惡意軟體防護掃描介面 (AMSI) 允許具有 AMSI 支援的協力廠商應用程式將物件(例如,PowerShell 指令碼)傳送到 Kaspersky Endpoint Security 進行附加掃描,然後接收這些物件的掃描結果。 |
進階威脅防護 |
卡巴斯基安全網路 卡巴斯基安全網路(KSN)是雲端服務的基礎結構,可提供對線上卡巴斯基知識庫的存取,該知識庫包含有關檔案、網頁資源和軟體信譽的資訊。使用卡巴斯基安全網路的資料可確保 Kaspersky Endpoint Security 能夠更快地對新型威脅作出回應,提高一些防護元件的效能,並減少誤報風險。如果您正在參與卡巴斯基安全網路,KSN 服務將為 Kaspersky Endpoint Security 提供有關所掃描檔案的類別和信譽的資訊,以及有關所掃描網址的信譽的資訊。 行為偵測 “行為偵測”元件接收您電腦上的應用程式操作的資訊,並將此資訊提供給其他防護元件以提高效能。“行為偵測”元件將行為流簽章 (BSS) 用於應用程式。如果應用程式操作比對危險活動行為流簽章,Kaspersky Endpoint Security 將執行選定的回應操作。根據危險活動行為流簽章的 Kaspersky Endpoint Security 功能為電腦提供主動防禦。 弱點利用防禦 “弱點利用防禦”元件可偵測利用電腦弱點來利用管理員權限或執行惡意活動的程式程式碼。例如,弱點利用程式可以利用緩衝區溢位攻擊。為此,弱點利用程式會向易受攻擊的應用程式傳送大量資料。處理此資料時,易受攻擊的應用程式會執行惡意程式碼。此攻擊的結果是,弱點利用程式可啟動未經授權的惡意軟體安裝。當存在從易於感染的應用程式執行可執行檔的嘗試,並且該嘗試並非由使用者執行時,Kaspersky Endpoint Security 將封鎖該檔案執行或通知使用者。 主機入侵防禦 “主機入侵防禦”元件可避免應用程式執行可能給作業系統帶來危險的操作,並確保控制對作業系統資源和個人資料的存取。該元件借助防毒資料庫和卡巴斯基安全網路雲端服務來提供電腦防護。 修復引擎 修復引擎允許 Kaspersky Endpoint Security 復原惡意軟體在作業系統中執行的操作。 |
安全控制 |
應用程式控制 “應用程式控制”管理使用者電腦上的應用程式啟動。這允許您在使用應用程式時實行公司安全政策。“應用程式控制”還透過限制對應用程式的存取來降低電腦感染的風險。 裝置控制 “裝置控制”管理使用者對安裝在電腦上或連線到電腦的裝置(例如,硬碟磁碟機、相機或 Wi-Fi 模組)的存取。這樣可以在連線此類裝置時防護電腦免受感染,並防止遺失或洩漏資料。 Web 控制 “Web 控制”管理使用者對 Web 資源的存取。這有助於減少流量和工作時間的不當使用。當使用者嘗試開啟受“Web 控制”限制的網站時,Kaspersky Endpoint Security 會封鎖存取或顯示警告。 適應性異常控制 自適應異常控制元件會監視並封鎖不是公司網路內電腦典型操作的相關操作。自適應異常控制使用一組規則來偵錯異常行為(例如,從 Office 應用程式啟動 Microsoft PowerShell 規則)。規則由 Kaspersky 專家根據惡意活動的典型情景建立。您可以配置“自適應異常控制”處理每條規則的方式,例如,允許執行使某些工作流工作自動化的 PowerShell 指令碼。Kaspersky Endpoint Security 會同時更新規則集和應用程式資料庫。 |
加密 |
檔案級加密 該元件允許建立檔案加密規則。您可以選擇預定義資料夾進行加密,手動選擇資料夾,或者根據副檔名選取單個檔案。 完整磁碟加密 該元件允許使用卡巴斯基磁碟加密或者 BitLocker 磁碟機加密來加密硬碟。 卸除式磁碟機加密 該元件允許防護卸除式磁碟機上的資料。您可以使用完整磁碟加密 (FDE) 或者檔案級加密 (FLE)。 |
Detection and Response |
Endpoint Detection and Response Kaspersky Endpoint Detection and Response Optimum 解決方案的內建代理(以下也稱為 "EDR Optimum")。Kaspersky Endpoint Detection and Response Optimum 是用於防護組織的 IT 基礎架構抵禦進階網路威脅的解決方案。該解決方案的功能結合了自動偵測威脅和回應這些威脅的能力,以抵消包括新漏洞、勒索軟體、無檔案攻擊以及使用合法系統工具的方法。有關解決方案的更多資訊,請參閱Kaspersky Endpoint Detection and Response Optimum 說明。 Kaspersky Sandbox 該元件可讓與 Kaspersky Sandbox 解決方案進行互通性。Kaspersky Sandbox 解決方案可偵測和自動封鎖電腦上的進階威脅。Kaspersky Sandbox 會分析物件行為以偵測惡意行動和組織的 IT 基礎架構上的針對性攻擊所特有的活動。Kaspersky Sandbox 會分析和掃描部署了 Microsoft Windows 作業系統的虛擬影像的特殊伺服器(Kaspersky Sandbox 伺服器)上的物件。有關解決方案的詳情,請參閱 Kaspersky Sandbox 說明。 Managed Detection and Response 支援 Kaspersky Endpoint Detection and Response Optimum 解決方案操作的內建代理。Kaspersky Managed Detection and Response (MDR) 解決方案可自動偵測和分析您的基礎架構中的安全事件。為此,MDR 會使用從端點和機學習收到的遙測資料。MDR 會將事件資料傳送給卡巴斯基專家。專家然後可以處理事件,並且,例如,新增新項目至病毒資料庫。或者,專家可以簽發事件處理建議,並且,例如,建議從網路中隔離電腦。如欲瞭解該解決方案如何工作的詳細資訊,請參閱 Kaspersky Managed Detection and Response 說明。 |
除了應用程式元件提供的即時防護外,我們也建議您定期掃描電腦病毒和其他威脅。這有助於排除傳播未被防護元件偵測到(例如,由於安全等級低)的惡意軟體的可能性。
為確保電腦防護為最新,您必須更新應用程式使用的資料庫和模組。在預設設定下,應用程式將會自動更新,但視情況所需,您亦可手動更新資料庫和應用程式模組。
Kaspersky Endpoint Security 提供以下工作:
應用程式的服務功能
Kaspersky Endpoint Security 包含了大量的服務功能。它們用於確保應用程式為最新版本、擴充應用程式功能和協助使用者操作。
如果該應用程式返回錯誤,或者在執行期間掛起,它可能會自動重新啟動。
如果程式遇到反覆導致程式異常關閉的錯誤,它將執行以下操作: