Действие при обнаружении вредоносной активности

Удалять. Если выбран этот вариант, то, обнаружив вредоносную активность приложения, Kaspersky Endpoint Security удаляет исполняемый файл вредоносного приложения и создает резервную копию файла в резервном хранилище.

Блокировать. Если выбран этот вариант, то, обнаружив вредоносную активность приложения, Kaspersky Endpoint Security завершает работу этого приложения.

Информировать. Если выбран этот вариант, то в случае обнаружения вредоносной активности приложения Kaspersky Endpoint Security не завершает работу этого приложения и добавляет информацию о вредоносной активности этого приложения в список активных угроз.

Защищать папки общего доступа

Если переключатель включен, то Kaspersky Endpoint Security анализирует активность в папках общего доступа. Если активность совпадает с одним из шаблонов поведения, характерного для внешнего шифрования, Kaspersky Endpoint Security выполняет выбранное действие.

Kaspersky Endpoint Security защищает от попыток внешнего шифрования только те файлы, которые расположены на носителях информации с файловой системой NTFS и не зашифрованы системой EFS.

• Информировать. Если выбран этот вариант, то, обнаружив попытку изменения файлов в папках общего доступа, Kaspersky Endpoint Security добавляет информацию об этой попытке изменения файлов в папках общего доступа в список активных угроз, добавляет запись в отчеты локального интерфейса приложения и отправляет в Kaspersky Security Center информацию об обнаружении вредоносной активности.
• Блокировать соединение на N мин. Если выбран этот вариант, то, обнаружив попытку изменения файлов в папках общего доступа, Kaspersky Endpoint Security блокирует доступ на изменение файлов (только чтение) для сессии, которая инициировала вредоносную активность, и создает резервные копии измененных файлов.

Если включен компонент Откат вредоносных действий и выбран вариант Блокировать соединение на N мин, то выполняется восстановление измененных файлов из резервных копий.

Область защиты

Область защиты – список путей к папкам общего доступа, в которых Kaspersky Endpoint Security отслеживает файловую активность. Kaspersky Endpoint Security поддерживает переменные среды и символы * и ? для ввода маски. По умолчанию приложение автоматически определяет папки общего доступа и отслеживает файловую активность во всех папках.

Исключения по имени или IP-адресу

Исключения по имени или IP-адресу. Список компьютеров, с которых не будут отслеживаться попытки шифрования папок общего доступа.

Для работы списка исключений компьютеров из защиты папок общего доступа от внешнего шифрования требуется включить аудит входа в систему в политике аудита безопасности Windows. По умолчанию аудит входа в систему выключен. Подробнее о политике аудита безопасности Windows см. на сайте Microsoft.

Исключения по маске. Исключения из области защиты. Исключение папки из области защиты позволит сократить количество ложных срабатываний, если в вашей организации используется шифрование данных при обмене файлами с помощью папок общего доступа. Например, Анализ поведения может создавать ложные срабатывания при работе пользователя с файлами с расширением ENC в папке общего доступа. Такая активность совпадает с шаблоном поведения, характерного для внешнего шифрования. Если вы зашифровали файлы в папке общего доступа для защиты данных, добавьте эту папку в исключения.

Используйте маски:

• Символ *, который заменяет любой набор символов, в том числе пустой, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\*\*.txt будет включать все пути к файлам с расширением txt, расположенным в папках на диске (C:), но не в подпапках.
• Два введенных подряд символа * заменяют любой набор символов, в том числе пустой, в имени файла или папки, включая символы \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\**\*.txt будет включать все пути к файлам с расширением txt в папках, вложенных в папку Folder, кроме самой папки Folder. Маска должна включать хотя бы один уровень вложенности. Маска C:\**\*.txt не работает.
• Символ ?, который заменяет любой один символ, кроме символов \ и / (разделители имен файлов и папок в путях к файлам и папкам). Например, маска C:\Folder\???.txt будет включать пути ко всем расположенным в папке Folder файлам с расширением txt и именем, состоящим из трех символов.