文件威胁防护

“文件威胁防护”组件允许您防止计算机的文件系统受到感染。默认情况下,“文件威胁防护”组件永久驻留在计算机的 RAM 中。该组件将扫描计算机所有驱动器以及连接的驱动器上的文件。该组件借助反病毒数据库、卡巴斯基安全网络云服务和启发式分析来提供计算机保护。

该组件将扫描用户或应用程序访问的文件。如果检测到恶意文件,Kaspersky Endpoint Security 将阻止文件操作。应用程序随后将根据“文件威胁防护”组件的设置来清除或删除恶意文件。

当尝试访问其内容存储在 OneDrive 云中的文件时,Kaspersky Endpoint Security 会下载并扫描文件内容。

文件威胁防护组件设置

参数

描述

安全级别

(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)

对于文件威胁防护,Kaspersky Endpoint Security 可以应用不同的设置组。存储在应用程序中的设置组叫做安全级别

  • ”。选择该文件安全级别后,“文件威胁防护”组件将对打开、保存和运行的所有文件实施最严格的控制。“文件威胁防护”组件会扫描计算机的所有硬盘驱动器、可移动驱动器和网络驱动器上的所有文件类型。它还扫描存档、安装包和嵌入式 OLE 对象。
  • 建议”。该文件安全级别被 Kaspersky 专家推荐。“文件威胁防护”组件仅扫描计算机的所有硬盘驱动器、可移动驱动器和网络驱动器上的指定文件格式,以及嵌入式 OLE 对象。“文件威胁防护”组件不扫描压缩包或安装包。
  • ”。该文件安全级别的设置确保最大的扫描速度。“文件威胁防护”组件仅扫描计算机的所有硬盘驱动器、可移动驱动器以及网络驱动器上拥有指定扩展名的文件。“文件威胁防护”组件不扫描复合文件。

文件类型

(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)

所有文件”。如果启用该设置,Kaspersky Endpoint Security 将毫无例外地扫描所有文件(所有格式和扩展名)。

按格式扫描文件”。如果启用该设置,则应用程序仅扫描被感染的文件。在扫描文件以查找恶意代码之前,系统将分析文件的内部头以确定文件的格式(例如,.txt、.doc 或 .exe)。该扫描也查找具有特殊文件扩展名的文件。

按扩展名扫描文件”。如果启用该设置,则应用程序仅扫描被感染的文件。此时,系统将根据文件的扩展名确定文件格式。

扫描范围

包含“文件威胁防护”组件扫描的对象。扫描对象可能是硬盘驱动器、可移动驱动器、网络驱动器、文件夹、文件或由掩码定义的多个文件。

默认情况下,“文件威胁防护”组件将扫描任何硬盘驱动器、网络驱动器或可移动驱动器中启动的文件。无法更改或删除这些对象的保护范围。您还可以从扫描中排除项(例如可移动驱动器)。

机器学习和特征码分析

(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)

机器学习和签名分析方法使用 Kaspersky Endpoint Security 数据库,其中包含已知威胁的描述以及消除它们的方法。使用此方法的保护提供了可接受的最低安全级别。

根据 Kaspersky 专家的推荐,机器学习和签名分析始终启用。

启发式分析

(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)

开发该技术的目的是检测使用当前版本的 Kaspersky 应用程序数据库无法检测到的威胁。它可以检测可能受未知病毒或已知病毒新变种感染的文件。

当扫描文件以查找恶意代码时,启发式分析执行可执行文件中的指令。启发式分析执行的指令数量取决于启发式分析级别。启发式分析级别可在全面搜索新威胁、加载操作系统资源和启发式分析持续时间之间进行平衡。

检测到威胁后的操作

清除;如果清除失败则删除”。如果选择该选项,应用程序将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果清除失败,应用程序将删除文件。

清除;如果清除失败则阻止”。如果选择该选项,Kaspersky Endpoint Security 将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果无法进行清除,Kaspersky Endpoint Security 会将检测到的受感染文件的相关信息添加到活动威胁列表。

阻止”。如果选择该选项,“文件威胁防护”组件将自动阻止所有受感染的文件,而不对其进行清除处理。

在对感染的文件进行清除或删除操作之前,应用程序会创建一个备份,以免日后会需要恢复该文件或对该文件进行清除

仅扫描新建和已更改的文件

仅扫描新文件以及自从上次扫描以来被修改的文件。这有助于缩短扫描的持续时间。此模式适用于简单文件和复合文件。

扫描压缩包

扫描 ZIP、GZIP、BZIP、RAR、TAR、ARJ、CAB、LHA、JAR、ICE 和其他压缩包。应用程序不仅按扩展名扫描压缩包,还按格式扫描压缩包。当检查存档时,应用程序执行递归解包。这允许检测多级存档(存档中的存档)中的威胁。

扫描分发包

该复选框用于启用/禁用对第三方分发包的扫描。

扫描 Microsoft Office 格式文件

扫描 Microsoft Office 文件(DOC、DOCX、XLS、PPT 和其他 Microsoft 扩展程序)。Office 格式文件也包括 OLE 对象。

复合文件大于指定值时不解压

如果选中该复选框,应用程序不会扫描其大小超过指定值的复合文件。

如果清除该复选框,应用程序将扫描所有大小的复合文件。

应用程序扫描从存档中提取的大文件,无论是否选择该复选框。

在后台解压复合文件

如果选中该复选框,应用程序会提供对大于指定值的复合文件的访问权限,然后再扫描这些文件。在这种情况下,Kaspersky Endpoint Security 在后台解压并扫描复合文件。

对于小于该值的复合文件,只有在解压和扫描这些文件后,应用程序才会提供对这些文件的访问权限。

如果未选中该复选框,则只有在解压和扫描任何大小的复合文件后,应用程序才会提供对这些文件的访问权限。

扫描模式

(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)

Kaspersky Endpoint Security 扫描被用户、操作系统或使用该用户的账户运行的应用程序访问的文件。

智能模式”。在该模式中,文件威胁防护将基于对象所做操作进行分析以扫描对象。例如,当操作某个 Microsoft Office 文档时,Kaspersky Endpoint Security 将在其首次打开和最后一次关闭时扫描该文件。覆盖文件的中间操作不会引起文件扫描。

在访问和修改时”。在该模式中,文件威胁防护将在出现打开/修改文件的尝试时扫描对象。

在访问时”。在该模式中,文件威胁防护将在出现打开对象的尝试时进行扫描。

执行时”。在该模式中,文件威胁防护仅在出现运行文件的尝试时扫描对象。

iSwift 技术

(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)

该技术允许通过排除特定文件不扫描的方式提高扫描速度。该技术将使用特殊算法将文件排除在扫描范围之外,该算法会考虑 Kaspersky Endpoint Security 数据库的发布日期、文件的上次扫描日期以及对扫描设置的任何修改。iSwift 技术是对用于 NTFS 文件系统的 iChecker 技术的增强版。

iChecker 技术

(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)

该技术允许通过排除特定文件不扫描的方式提高扫描速度。该技术将使用特殊算法将文件排除在扫描范围之外,该算法会考虑 Kaspersky Endpoint Security 数据库的发布日期、文件的上次扫描日期以及对扫描设置的任何修改。iChecker 技术受到一些限制:它无法操作大型文件,并且仅能应用于具有应用程序可识别结构的文件(例如:EXE、DLL、LNK、TTF、INF、SYS、COM、CHM、ZIP 和 RAR)。

暂停文件威胁防护

(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)

这将在指定时间或使用指定应用程序时暂时和自动暂停文件威胁防护操作。

另请参阅:通过本地界面管理应用程序

启用和禁用文件威胁防护

自动暂停文件威胁防护

更改“文件威胁防护”组件对受感染文件执行的操作

构成“文件威胁防护”组件的保护范围

使用扫描方法

在“文件威胁防护”组件的运行中使用扫描技术

优化文件扫描

扫描复合文件

更改扫描模式

页面顶部