Kaspersky Sandbox

从版本 11.7.0 开始,Kaspersky Endpoint Security for Windows 包含一个用于与 Kaspersky Sandbox 解决方案集成的内置代理。Kaspersky Sandbox 解决方案检测并自动阻止计算机上的高级威胁。Kaspersky Sandbox 分析对象行为,以检测恶意活动和针对组织 IT 基础设施的攻击的活动特征。Kaspersky Sandbox 使用部署的 Microsoft Windows 操作系统虚拟映像(Kaspersky Sandbox 服务器)分析和扫描特殊服务器上的对象。关于解决方案的详情,请参阅 Kaspersky Sandbox 帮助

该组件只能使用 Kaspersky Security Center Web Console 进行管理。您无法使用管理控制台(MMC)管理此组件。

Kaspersky Sandbox 组件设置

参数

描述

服务器 TLS 证书

要配置与 Kaspersky Sandbox 服务器的可信连接,必须准备 TLS 证书。接下来,您必须将证书添加到 Kaspersky Sandbox 服务器和 Kaspersky Endpoint Security 策略。有关准备证书和将证书添加到服务器的详细信息,请参阅 Kaspersky Sandbox 帮助

超时

Kaspersky Sandbox 服务器连接超时。配置的超时时间过后,Kaspersky Endpoint Security 将向下一台服务器发送请求。如果连接速度低或连接不稳定,您可以增加 Kaspersky Sandbox 的连接超时。建议的请求超时是 0.5 秒或更少。

Sandbox 请求队列

请求队列文件夹的大小。当在计算机上访问对象(启动可执行文件或打开文档,例如 DOCX 或 PDF 格式)时,Kaspersky Endpoint Security 还可以发送该对象以供 Kaspersky Sandbox 扫描。如果有多个请求,Kaspersky Endpoint Security 将创建一个请求队列。默认情况下,请求队列文件夹的大小限制为 100 MB。达到最大大小后,Kaspersky Sandbox 停止向队列添加新请求,并将相应的事件发送到 Kaspersky Security Center。您可以根据您的服务器配置来配置请求队列文件夹的大小。

Sandbox 服务器

Kaspersky Sandbox 服务器连接设置。服务器使用部署的 Microsoft Windows 操作系统虚拟映像来运行需要扫描的对象。您可以输入 IP 地址(IPv4 或 IPv6)或完全限定的域名。

检测到威胁后的操作

将副本移动到隔离区,删除对象”。如果选择此选项,Kaspersky Endpoint Security 删除在计算机上发现的恶意对象。删除对象之前,Kaspersky Endpoint Security 创建备份副本,以便日后对其进行恢复。Kaspersky Endpoint Security 移动备份副本到隔离区。

对关键区域运行扫描”。如果选择此选项,Kaspersky Endpoint Security 运行关键区域扫描任务。默认情况下, Kaspersky Endpoint Security 会扫描内核内存、运行进程和磁盘的引导扇区。

创建 IOC 扫描任务”。如果选择此选项,Kaspersky Endpoint Security 将自动创建 IOC 扫描任务(自主 IOC 扫描任务)。对于此任务,您可以配置运行模式、扫描范围和 IOC 检测操作:删除对象、运行关键区域扫描任务。要修改 IOC 扫描任务的其他设置,请转到任务设置。

IOC 扫描范围

关键文件区域”。如果选择此选项,Kaspersky Endpoint Security 仅在计算机的关键文件区域(内核内存和引导扇区)执行 IOC 扫描。

计算机系统驱动器上的文件区域”。如果选择此选项,Kaspersky Endpoint Security 在计算机的系统驱动器上执行 IOC 扫描。

运行 IOC 扫描任务

手动”。您可以在选择的时间手动启动 IOC 扫描任务。

检测到威胁后”。Kaspersky Endpoint Security 在检测到威胁时自动运行 IOC 扫描任务。

仅在计算机空闲时运行”。Kaspersky Endpoint Security 在屏幕保护程序处于活动状态或屏幕被锁定时运行 IOC 扫描任务。如果用户解锁计算机,Kaspersky Endpoint Security 将暂停任务。这意味着任务可能需要几天才能完成。

页面顶部