按名称或 IP 地址的排除项

“按名称或 IP 地址的排除项”。尝试加密共享文件夹的计算机的列表不会受到监控。

要应用防止共享文件夹被外部加密的计算机排除列表，必须在 Windows 安全审核策略中启用审核登录。默认情况下，审核登录处于禁用状态。有关 Windows 安全审核策略的详细信息，请访问 Microsoft 网站。

“按掩码的排除项”。保护范围排除项。如果您的组织在使用共享文件夹交换文件时使用数据加密，则从保护范围排除文件夹可以减少误报量。例如，当用户处理共享文件夹中具有 ENC 扩展名的文件时，行为检测可能会引发误报。这种活动与外部加密的典型行为模式相匹配。如果您在共享文件夹中有加密文件以保护数据，请将该文件夹添加到排除项。

使用掩码：

• *（星号）字符代表任意一组字符，但 \ 和 / 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 C:\*\*.txt 将包括位于 C: 驱动器的文件夹（但不包括子文件夹）中所有具有 TXT 扩展名的文件的路径。
• 两个连续 * 字符在文件或文件夹名称中代表任意一组字符（包括空集），包括 \ 和 / 字符（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 C:\Folder\**\*.txt 将包括位于 Folder 嵌套子文件夹（除了 Folder 本身）中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码 C:\**\*.txt 不是有效掩码。
• ?（问号）字符代表任意单个字符，但 \ 和 / 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 C:\Folder\???.txt 将包括位于 Folder 文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。

检测到威胁后的操作

• “通知”。如果选择此选项，在检测到尝试修改共享文件夹中的文件时，Kaspersky Endpoint Security 会将有关此尝试的信息添加到活动威胁列表中，并添加条目到本地应用程序界面报告，并将有关检测到的恶意活动的信息发送到 Kaspersky Security Center。
• 阻止连接时长(分钟) N 分钟。如果选择此选项，当 Kaspersky Endpoint Security 检测到有人试图修改共享文件夹中的文件时，它将阻止启动恶意活动的会话对文件修改的访问，并创建已修改文件的备份副本。

如果启用了“修复引擎”组件，并且选择“阻止连接时长(分钟) N 分钟”选项，被修改的文件将被从备份副本恢复。

保护范围

保护范围是 Kaspersky Endpoint Security 监控文件活动的共享文件夹路径列表。当输入掩码时，Kaspersky Endpoint Security 支持环境变量和 * 以及 ? 字符。默认情况下，应用程序会自动识别共享文件夹并监控所有文件夹中的文件活动。