Kaspersky Endpoint Security for Windows(以下简称 Kaspersky Endpoint Security)为计算机提供全面保护,阻止各种类型的威胁、网络攻击和钓鱼攻击。
该应用程序不适用于涉及自动化控制系统的技术流程。为了保护此类系统中的设备,建议使用 Kaspersky Industrial CyberSecurity for Nodes 应用程序。
根据限制性措施,自 2024 年 9 月 10 日东部夏令时间 (EDT) 凌晨 0:00 起,在美国境内,本软件中将不再提供更新功能(包括提供反病毒签名更新和代码库更新)以及 KSN 功能。
威胁检测技术
机器学习 Kaspersky Endpoint Security 使用基于机器学习的模型。该模型由 Kaspersky 专家开发。随后,该模型不断地输入来自 KSN(模型训练)的威胁数据。 云分析 Kaspersky Endpoint Security 从卡巴斯基安全网络接收威胁数据。卡巴斯基安全网络 (KSN) 是一个云服务的基础架构。它可以访问在线卡巴斯基知识库。该知识库中包含了文件信誉、网页资源和软件的相关信息。 专家分析 Kaspersky Endpoint Security 使用由 Kaspersky 病毒分析师添加的威胁数据。如果对象的信誉不能被自动判定,则病毒分析师手动检查该对象。 |
行为分析 Kaspersky Endpoint Security 实时分析对象的活动。 自动分析 Kaspersky Endpoint Security 从对象自动分析系统接收数据。系统处理发送给 Kaspersky 的所有对象。然后,系统确定对象的信誉,并将数据添加到反病毒数据库中。如果系统无法确定对象的信誉,系统将询问 Kaspersky 病毒分析师。 Kaspersky Sandbox Kaspersky Endpoint Security 在虚拟机上处理对象。Kaspersky Sandbox 分析对象的行为并判定其信誉。该技术仅在您使用 Kaspersky Sandbox 解决方案时可用。 Cloud Sandbox Kaspersky Endpoint Security 在卡巴斯基提供的隔离环境中扫描对象。Cloud Sandbox 技术是永久启用的,可供所有卡巴斯基安全网络用户使用,无论他们使用的授权许可类型如何。如果您已经部署了 Endpoint Detection and Response 解决方案,您可以为 Cloud Sandbox 检测到的威胁启用单独的计数器。 |
选择树
每种类型的威胁均由专门的组件应对。各个组件均可独立启用或禁用,并可以配置其设置。
选择树
区域 |
组件 |
---|---|
基本威胁防护 |
文件威胁防护 “文件威胁防护”组件允许您防止计算机的文件系统受到感染。默认情况下,“文件威胁防护”组件永久驻留在计算机的 RAM 中。该组件将扫描计算机所有驱动器以及连接的驱动器上的文件。该组件借助反病毒数据库、卡巴斯基安全网络云服务和启发式分析来提供计算机保护。 Web 威胁防护 “Web 威胁防护”组件可防止从 Internet 下载恶意文件,同时阻止恶意网站和钓鱼网站。该组件借助反病毒数据库、卡巴斯基安全网络云服务和启发式分析来提供计算机保护。 邮件威胁防护 “邮件威胁防护”组件扫描传入和传出电子邮件的附件是否有病毒和其他威胁。该组件借助反病毒数据库、卡巴斯基安全网络云服务和启发式分析来提供计算机保护。 邮件威胁防护可以扫描传入和传出的邮件。该应用程序在以下邮件客户端中支持 POP3、SMTP、IMAP 和 NNTP:
邮件威胁防护不支持其他协议和邮件客户端。 邮件威胁防护可能并不总是能够获得邮件的协议级访问权限(例如,使用 Microsoft Exchange 解决方案时)。为此,邮件威胁防护包括 Microsoft Office Outlook 扩展程序。该扩展程序允许在邮件客户端级别扫描邮件。邮件威胁防护扩展程序支持 Outlook 2010、2013、2016 和 2019。 网络威胁防护 网络威胁防护组件(也称为入侵检测系统)监测入站网络流量以查找网络攻击的活动特征。当 Kaspersky Endpoint Security 检测在用户计算机上检测到网络攻击企图时,它将阻止与攻击计算机的网络连接。Kaspersky Endpoint Security 数据库提供了当前已知类型的网络攻击以及应对方法的描述。“网络威胁防护”组件检测到的网络攻击列表在数据库和应用程序模块更新期间更新。 防火墙 在 Internet 或局域网上工作时,防火墙会阻止未经授权的计算机连接。防火墙还控制计算机上应用程序的网络活动。这允许您保护公司局域网免受身份盗窃和其他攻击。该组件借助反病毒数据库、卡巴斯基安全网络云服务和预定义网络规则来提供计算机保护。 BadUSB 攻击防护 BadUSB 攻击防护组件可以防止受感染的模拟键盘 USB 设备连接至计算机。 AMSI 保护 AMSI 保护组件旨在支持 Microsoft 的反恶意软件扫描接口。反恶意软件扫描接口 (AMSI) 允许具有 AMSI 支持的第三方应用程序将对象(例如,PowerShell 脚本)发送到 Kaspersky Endpoint Security 进行附加扫描,然后接收这些对象的扫描结果。 |
高级威胁防护 |
卡巴斯基安全网络 卡巴斯基安全网络 (KSN) 是一个云服务的基础架构。它可以访问在线卡巴斯基知识库。该知识库中包含了文件信誉、网页资源和软件的相关信息。使用卡巴斯基安全网络的数据可确保 Kaspersky Endpoint Security 能够更快地对新威胁作出响应,提高一些保护组件的性能,并减少误报风险。如果您正在参与卡巴斯基安全网络,KSN 服务将为 Kaspersky Endpoint Security 提供有关所扫描文件的类别和信誉的信息,以及有关所扫描网址的信誉的信息。 行为检测 “行为检测”组件接收您计算机上的应用程序操作的信息,并将此信息提供给其他保护组件以提高性能。“行为检测”组件将行为流签名 (BSS) 用于应用程序。如果应用程序操作匹配行为流签名,Kaspersky Endpoint Security 将执行选定的响应操作。基于行为流签名的 Kaspersky Endpoint Security 功能为计算机提供了主动防御。 漏洞利用防御 “漏洞利用防御”组件可检测利用计算机漏洞来利用管理员权限或执行恶意活动的程序代码。例如,漏洞利用程序可以利用缓冲区溢出攻击。为此,漏洞利用程序会向易受攻击的应用程序发送大量数据。处理此数据时,易受攻击的应用程序会执行恶意代码。此攻击的结果是,漏洞利用程序可启动未经授权的恶意软件安装。当存在从易于感染的应用程序运行可执行文件的尝试,并且该尝试并非由用户执行时,Kaspersky Endpoint Security 将阻止该文件运行或通知用户。 主机入侵防御 “主机入侵防御”组件可避免应用程序执行可能给操作系统带来危险的操作,并确保控制对操作系统资源和个人数据的访问。该组件借助反病毒数据库和卡巴斯基安全网络云服务来提供计算机保护。 修复引擎 修复引擎允许 Kaspersky Endpoint Security 回滚恶意软件在操作系统中执行的操作。 |
安全控制 |
应用程序控制 “应用程序控制”管理用户计算机上的应用程序启动。这允许您在使用应用程序时实施公司安全策略。“应用程序控制”还通过限制对应用程序的访问来降低计算机感染的风险。 设备控制 “设备控制”管理用户对安装在计算机上或连接到计算机的设备(例如,硬盘驱动器、相机或 Wi-Fi 模块)的访问。这样可以在连接此类设备时保护计算机免受感染,并防止丢失或泄漏数据。 Web 控制 “Web 控制”管理用户对 Web 资源的访问。这有助于减少流量和工作时间的不当使用。当用户尝试打开受“Web 控制”限制的网站时,Kaspersky Endpoint Security 阻止访问或显示警告。 自适应异常控制 自适应异常控制组件会监视并阻止不是公司网络内计算机典型操作的相关操作。自适应异常控制使用一组规则来跟踪非典型行为(例如,从 office 应用程序启动 Microsoft PowerShell 规则)。规则由 Kaspersky 专家根据恶意活动的典型情景创建。您可以配置“自适应异常控制”处理每条规则的方式,例如,允许执行使某些工作流任务自动化的 PowerShell 脚本。Kaspersky Endpoint Security 会同时更新规则集和应用程序数据库。 日志审查 日志检查根据 Windows 事件日志分析监控受保护环境的完整性。当应用程序在系统中检测到非典型行为的迹象时,它会通知管理员,因为该行为可能表示试图进行网络攻击。 文件完整性监控 文件完整性监控检测给定监控区域中对象(文件和文件夹)的更改。这些更改可能表明存在计算机安全漏洞。当检测到对象更改时,应用程序通知管理员。 |
任务 |
恶意软件扫描 Kaspersky Endpoint Security 扫描计算机以查找病毒和其他威胁。恶意软件扫描有助于排除传播未被保护组件检测到(例如,由于安全级别低)的恶意软件的可能性。 更新 Kaspersky Endpoint Security 下载经过更新的应用程序数据库和模块。更新可以确保计算机防护最新的病毒和其他威胁。在默认设置下,程序将自动更新,但是如有需要,您可以手动更新数据库和程序模块。 上次更新回滚 Kaspersky Endpoint Security将回滚最新更新的数据库和模块。这允许您在必要时将数据库和应用程序模块回滚到以前的版本,例如,当新数据库版本包含无效签名而导致 Kaspersky Endpoint Security 阻止了安全的应用程序时。 完整性检查 Kaspersky Endpoint Security 将检查应用程序安装文件夹内的应用程序模块以检查任何损坏或修改。如果应用程序模块拥有错误的数字签名,则该模块被认定为损坏。 |
数据加密 |
文件级加密 该组件允许创建文件加密规则。您可以选择要加密的预定义文件夹、手动选择文件夹或按扩展名选择单个文件。 完整磁盘加密 该组件允许使用卡巴斯基磁盘加密或 BitLocker 驱动器加密来加密硬盘。 可移动驱动器加密 该组件允许保护可移动驱动器上的数据。您可以使用完整磁盘加密 (FDE) 或文件及加密 (FLE)。 |
Detection and Response |
Endpoint Detection and Response Optimum Kaspersky Endpoint Detection and Response Optimum 解决方案(也叫 “EDR Optimum”)的内置代理。Kaspersky Endpoint Detection and Response 是一种保护企业 IT 基础架构免受高级网络威胁的解决方案。该解决方案的功能将自动检测威胁与应对这些威胁的能力结合起来,以抵御高级攻击,包括新的漏洞利用、勒索软件、无文件攻击以及使用合法系统工具的方法。有关该解决方案的更多信息,请参阅 Kaspersky Endpoint Detection and Response Optimum 帮助。 Endpoint Detection and Response Expert Kaspersky Endpoint Detection and Response Expert 解决方案(也叫 “EDR Expert”)的内置代理。EDR Expert 比 EDR Optimum 提供更多的威胁监控和响应功能。有关该解决方案的更多信息,请参阅 Kaspersky Endpoint Detection and Response Expert 帮助。 Endpoint Detection and Response (KATA) 用于管理 Endpoint Detection and Response 组件的内置代理,该组件是 Kaspersky Anti Targeted Attack Platform 解决方案的一部分。Kaspersky Anti Targeted Attack Platform 是旨在及时检测复杂威胁(如针对性攻击、高级持久性威胁 (APT)、零日攻击等)的解决方案。Kaspersky Anti Targeted Attack Platform 包括两个功能块:Kaspersky Anti Targeted Attack(以下也称为“KATA”)和 Kaspersky Endpoint Detection and Response(以下也称为“EDR(KATA)”)。您可以单独购买 EDR(KATA)。有关解决方案的详细信息,请参阅 Kaspersky Anti Targeted Attack Platform 帮助。 Kaspersky Sandbox Kaspersky Sandbox 解决方案的内置代理。Kaspersky Sandbox 解决方案检测并自动阻止计算机上的高级威胁。Kaspersky Sandbox 分析对象行为,以检测恶意活动和针对组织 IT 基础设施的攻击的活动特征。Kaspersky Sandbox 使用部署的 Microsoft Windows 操作系统虚拟映像(Kaspersky Sandbox 服务器)分析和扫描特殊服务器上的对象。关于解决方案的详情,请参阅 Kaspersky Sandbox 帮助。 Managed Detection and Response 支持 Kaspersky Managed Detection and Response 解决方案操作的内置代理。Kaspersky Managed Detection and Response (MDR) 解决方案自动检测和分析您基础架构中的安全事故。为此,MDR 使用从端点和机器学习接收的遥测数据。MDR 发送事故数据到 Kaspersky 专家。然后专家便可以处理事故,例如,添加新条目到反病毒数据库。或者,专家可以发布处理事件的建议,例如,建议将计算机从网络隔离。对于该解决方案如何工作的详情,请参考 Kaspersky Managed Detection and Response 帮助。 |