检测到恶意软件活动时的操作

“删除”。如果选择此选项，在检测到恶意活动时，Kaspersky Endpoint Security 会删除恶意应用程序的可执行文件，同时在备份区创建该文件的备份副本。

“阻止”。如果选择此选项，在检测到恶意活动时，Kaspersky Endpoint Security 会终止该应用程序。

“通知”。如果选择此选项并且检测到应用程序的恶意活动，Kaspersky Endpoint Security 不会终止该应用程序，但会将该应用程序的恶意活动的相关信息添加至活动威胁列表。

保护共享文件夹

如果打开该切换按钮，Kaspersky Endpoint Security 将分析共享文件夹中的活动。如果该活动与外部加密的典型行为流签名匹配，Kaspersky Endpoint Security 将执行选定操作。

Kaspersky Endpoint Security 可防止只在具有 NTFS 文件系统的介质上且未被 EFS 系统加密的文件被外部加密。

• “通知”。如果选择此选项，在检测到尝试修改共享文件夹中的文件时，Kaspersky Endpoint Security 会将有关此尝试修改共享文件夹中的文件的信息添加到活动威胁列表中，并添加条目到本地应用程序界面报告，并将有关检测到的恶意活动的信息发送到 Kaspersky Security Center。
• 阻止连接时间 N 分钟。如果选择此选项，当 Kaspersky Endpoint Security 检测到有人试图修改共享文件夹中的文件时，它将阻止启动恶意活动的会话对文件修改的访问，并创建已修改文件的备份副本。

如果启用了“修复引擎”组件，并且选择“阻止连接时间 N 分钟”选项，被修改的文件将被从备份副本恢复。

保护范围

保护范围是 Kaspersky Endpoint Security 监控文件活动的共享文件夹路径列表。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。默认情况下，应用程序会自动识别共享文件夹并监控所有文件夹中的文件活动。

按名称或 IP 地址的排除项

“按名称或 IP 地址的排除项”。尝试加密共享文件夹的计算机的列表不会受到监控。

要应用防止共享文件夹被外部加密的计算机排除列表，必须在 Windows 安全审核策略中启用审核登录。默认情况下，审核登录处于禁用状态。有关 Windows 安全审核策略的详细信息，请访问 Microsoft 网站。

“按掩码的排除项”。保护范围排除项。如果您的组织在使用共享文件夹交换文件时使用数据加密，则从保护范围排除文件夹可以减少误报量。例如，当用户处理共享文件夹中具有 ENC 扩展名的文件时，行为检测可能会引发误报。这种活动与外部加密的典型行为模式相匹配。如果您在共享文件夹中有加密文件以保护数据，请将该文件夹添加到排除项。

使用掩码：

• *（星号）字符代表任意一组字符，但 \ 和 / 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 C:\*\*.txt 将包括位于 C: 驱动器的文件夹（但不包括子文件夹）中所有具有 TXT 扩展名的文件的路径。
• 两个连续 * 字符在文件或文件夹名称中代表任意一组字符（包括空集），包括 \ 和 / 字符（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 C:\Folder\**\*.txt 将包括位于 Folder 嵌套子文件夹（除了 Folder 本身）中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码 C:\**\*.txt 不是有效掩码。
• ?（问号）字符代表任意单个字符，但 \ 和 / 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 C:\Folder\???.txt 将包括位于 Folder 文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。