行为检测
“行为检测”组件接收您计算机上的应用程序操作的信息,并将此信息提供给其他保护组件以提高性能。“行为检测”组件将行为流签名 (BSS) 用于应用程序。如果应用程序操作匹配行为流签名,Kaspersky Endpoint Security 将执行选定的响应操作。Kaspersky Endpoint Security 功能基于行为流签名,并为计算机提供主动防御。
行为检测组件还会监控可能威胁计算机安全的应用程序进程的网络端口。应用程序通过反病毒数据库获取有关此类进程的信息。
默认情况下,行为检测已启用并在 Kaspersky 专家建议的模式下运行。当检测到恶意活动时,Kaspersky Endpoint Security 会删除恶意应用程序的可执行文件。
除非绝对必要,否则不建议禁用行为检测,因为这样做会降低保护组件的有效性。保护组件可请求“行为检测”组件收集的数据以检测威胁。
如何在管理控制台(MMC)中启用或禁用行为检测
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 高级威胁防护 → 行为检测。
- 使用“行为检测”复选框启用或禁用组件。
- 在“检测到恶意软件活动时的操作”块中选择相关操作:
- “删除”。如果选择此项目,在检测到恶意活动时,Kaspersky Endpoint Security 会删除恶意应用程序的可执行文件,同时在备份区创建该文件的备份副本。
- “阻止”。如果选择此项目,在检测到恶意活动时,Kaspersky Endpoint Security 会终止该应用程序。
- “通知”。如果选择此项目并且检测到应用程序的恶意软件活动,Kaspersky Endpoint Security 将应用程序恶意软件活动的相关信息添加至活动威胁列表。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。
如何在 Web Console 和云控制台中启用或禁用行为检测
- 在 Web Console 的主窗口中,选择“资产(设备)” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 行为分析 → 行为检测。
- 使用行为检测已启用开关启用或禁用组件。
- 在“检测到威胁后的操作”块中选择相关操作:
- “删除”。如果选择此项目,在检测到恶意活动时,Kaspersky Endpoint Security 会删除恶意应用程序的可执行文件,同时在备份区创建该文件的备份副本。
- “阻止”。如果选择此项目,在检测到恶意活动时,Kaspersky Endpoint Security 会终止该应用程序。
- “通知”。如果选择此项目并且检测到应用程序的恶意软件活动,Kaspersky Endpoint Security 将应用程序恶意软件活动的相关信息添加至活动威胁列表。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。
如何在应用程序界面中启用或禁用行为检测
- 打开主应用程序窗口并单击
按钮。 - 在应用程序设置窗口中,选择“高级威胁防护” → “行为检测”。
行为检测设置
- 使用行为检测开关启用或禁用组件。
- 在“检测到恶意软件活动时的操作”块中选择相关操作:
- “删除”。如果选择此项目,在检测到恶意活动时,Kaspersky Endpoint Security 会删除恶意应用程序的可执行文件,同时在备份区创建该文件的备份副本。
- “阻止”。如果选择此项目,在检测到恶意活动时,Kaspersky Endpoint Security 会终止该应用程序。
- “通知”。如果选择此项目并且检测到应用程序的恶意软件活动,Kaspersky Endpoint Security 将应用程序恶意软件活动的相关信息添加至活动威胁列表。
- 保存更改。
结果,如果行为检测被启用,Kaspersky Endpoint Security 将使用行为流签名分析操作系统中的应用程序活动。
页面顶部