AMSI 保护组件旨在支持 Microsoft 的反恶意软件扫描接口。反恶意软件扫描接口 (AMSI) 允许具有 AMSI 支持的第三方应用程序将对象(例如,PowerShell 脚本)发送到 Kaspersky Endpoint Security 进行附加扫描,然后接收这些对象的扫描结果。例如,第三方应用程序可能包括 Microsoft Office 应用程序(请参见下图)。有关 AMSI 的详细信息,请参阅 Microsoft 文档。
AMSI 保护组件只能检测威胁并将检测到的威胁通知给第三方应用程序。在收到威胁通知后,第三方应用程序不允许执行恶意操作(例如,终止)。
AMSI 操作示例
AMSI 保护组件可能会拒绝第三方应用程序的请求,例如,如果该应用程序超出了指定间隔内的最大请求数。Kaspersky Endpoint Security 将有关来自第三方应用程序的被拒绝请求的信息发送至管理服务器。AMSI 保护组件不会拒绝来自已启用与 AMSI 保护组件持续集成的第三方应用程序的请求。
AMSI 保护组件可用于以下适用于工作站和服务器的操作系统:
AMSI 保护设置
参数 |
描述 |
---|---|
扫描压缩包 |
扫描 ZIP、GZIP、BZIP、RAR、TAR、ARJ、CAB、LHA、JAR、ICE 和其他压缩包。Kaspersky Endpoint Security 不仅按扩展名扫描压缩包,还按格式扫描压缩包。当检查存档时,应用程序执行递归解包。这允许检测多级存档(存档中的存档)中的威胁。 |
扫描分发包 |
该复选框用于启用/禁用对第三方分发包的扫描。 |
扫描 Microsoft Office 格式文件 |
扫描 Microsoft Office 文件(DOC、DOCX、XLS、PPT 和其他 Microsoft 扩展程序)。Office 格式文件也包括 OLE 对象。 |
复合文件大于指定值时不解压 |
如果选中该复选框,Kaspersky Endpoint Security 不会扫描其大小超过指定值的复合文件。 如果清除该复选框,Kaspersky Endpoint Security 将扫描所有大小的复合文件。 Kaspersky Endpoint Security 扫描从存档中提取的大文件,无论是否选择该复选框。 |