AMSI 防護
AMSI 防護元件旨在支援 Microsoft 的惡意軟體防護掃描介面。惡意軟體防護掃描介面 (AMSI) 允許具有 AMSI 支援的協力廠商應用程式將物件(例如,PowerShell 指令碼)傳送到 Kaspersky Endpoint Security 進行附加掃描,然後接收這些物件的掃描結果。例如,協力廠商應用程式可能包括 Microsoft Office 應用程式(請參見下圖)。有關 AMSI 的詳細資訊,請參閱 Microsoft 文件。
AMSI 防護元件只能偵測威脅並將偵測到的威脅通知給協力廠商應用程式。在收到威脅通知後,協力廠商應用程式不允許執行惡意操作(例如,終止)。
AMSI 操作示範
AMSI 防護元件可能會拒絕協力廠商應用程式的請求,例如,如果該應用程式超出了指定間隔內的最大請求數。Kaspersky Endpoint Security 將有關來自協力廠商應用程式的被拒絕請求的資訊傳送至管理伺服器。AMSI 防護元件不會拒絕來自對其啟用了與 AMSI 防護元件的持續整合的協力廠商應用程式的請求。
AMSI 防護元件可用於以下適用於工作站和伺服器的作業系統:
- Windows 10 Home / Pro / Pro for Workstations / Education / Enterprise;
- Windows 11 Home / Pro / Pro for Workstations / Education / Enterprise;
- Windows Server 2016 Essentials / Standard / Datacenter;
- Windows Server 2019 Essentials / Standard / Datacenter;
- Windows Server 2022 Standard / Datacenter / Datacenter: Azure Edition。
“AMSI 防護”設定
參數
描述
掃描存檔
掃描 ZIP、GZIP、BZIP、RAR、TAR、ARJ、CAB、LHA、JAR、ICE 和其它存檔。應用程式不僅依照副檔名而且依照格式掃描存檔。當檢查封存時,應用程式會執行巡迴解壓縮。這可讓人偵測多層封存(封存內的封存)內的威脅。
掃描分發套件
該核取方塊用於啟用/停用對協力廠商分發套件的掃描。
掃描 Microsoft Office 格式的檔案
掃描 Microsoft Office 檔案(DOC,DOCX,XLS,PPT 和其他 Microsoft 副檔名)。Office 格式檔案也包含 OLE 物件。
不解壓縮大型複合檔案
如果選中該核取方塊,應用程式不會掃描其大小超過指定值的複合檔案。
如果清除該核取方塊,應用程式將掃描所有大小的複合檔案。
應用程式會掃描從存檔中提取的大檔案,而不管是否選中該核取方塊。