启用加密连接扫描
默认情况下,Kaspersky Endpoint Security 并不总是扫描加密连接,而是仅在保护组件请求时才扫描。
如何在管理控制台 (MMC) 中启用加密连接扫描
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 常规设置 → 网络设置。
- 在“加密连接扫描”块中,选择加密连接扫描模式:
- “扫描加密连接”。Kaspersky Endpoint Security 将无法访问地址以
https://
开头的网站的内容。 - “根据保护组件的请求扫描加密连接”。Kaspersky Endpoint Security 只有在得到文件威胁防护、Web 威胁防护和 Web 控制组件的请求时才扫描加密流量。
- “始终扫描加密连接”。即使保护组件被禁用,Kaspersky Endpoint Security 也将扫描加密网络流量。
Kaspersky Endpoint Security 不扫描由禁用了流量扫描的受信任应用程序建立的加密连接。Kaspersky Endpoint Security 不扫描预定义的受信任网站的加密连接。预定义的受信任网站列表由 Kaspersky 专家创建。该列表与应用程序的反病毒数据库一起更新。您仅可以在 Kaspersky Endpoint Security 界面查看预定义的受信任网站列表。您无法在 Kaspersky Security Center 控制台查看列表。
- 如有必要,添加扫描排除项:受信任地址和应用程序。
- 配置用于扫描加密连接的设置(参见下表)。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。
如何在 Web Console 和云控制台中启用加密连接扫描
- 在 Web Console 的主窗口中,选择“资产(设备)” → “策略和配置文件”选项卡。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 常规设置 → 网络设置。
- 在“加密连接扫描”块中,选择加密连接扫描模式:
- “扫描加密连接”。Kaspersky Endpoint Security 将无法访问地址以
https://
开头的网站的内容。 - “根据保护组件的请求扫描加密连接”。Kaspersky Endpoint Security 只有在得到文件威胁防护、Web 威胁防护和 Web 控制组件的请求时才扫描加密流量。
- “始终扫描加密连接”。即使保护组件被禁用,Kaspersky Endpoint Security 也将扫描加密网络流量。
Kaspersky Endpoint Security 不扫描由禁用了流量扫描的受信任应用程序建立的加密连接。Kaspersky Endpoint Security 不扫描预定义的受信任网站的加密连接。预定义的受信任网站列表由 Kaspersky 专家创建。该列表与应用程序的反病毒数据库一起更新。您仅可以在 Kaspersky Endpoint Security 界面查看预定义的受信任网站列表。您无法在 Kaspersky Security Center 控制台查看列表。
- 如有必要,添加扫描排除项:受信任地址和应用程序。
- 配置用于扫描加密连接的设置(参见下表)。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。
如何在应用程序界面中启用加密连接扫描
- 打开主应用程序窗口并单击
按钮。 - 在应用程序设置窗口中,选择“常规设置” → “网络设置”。

加密连接扫描设置
- 在“加密连接扫描”块中,选择加密连接扫描模式:
- “不扫描加密连接”。Kaspersky Endpoint Security 将无法访问地址以
https://
开头的网站的内容。 - “根据保护组件的请求扫描加密连接”。Kaspersky Endpoint Security 只有在得到文件威胁防护、Web 威胁防护和 Web 控制组件的请求时才扫描加密流量。
- “始终扫描加密连接”。即使保护组件被禁用,Kaspersky Endpoint Security 也将扫描加密网络流量。
Kaspersky Endpoint Security 不扫描由禁用了流量扫描的受信任应用程序建立的加密连接。Kaspersky Endpoint Security 不扫描预定义的受信任网站的加密连接。预定义的受信任网站列表由 Kaspersky 专家创建。该列表与应用程序的反病毒数据库一起更新。您仅可以在 Kaspersky Endpoint Security 界面查看预定义的受信任网站列表。您无法在 Kaspersky Security Center 控制台查看列表。
- 如有必要,添加扫描排除项:受信任地址和应用程序。
- 配置用于扫描加密连接的设置(参见下表)。

扫描加密连接的附加设置
- 保存更改。
加密连接扫描设置
参数
|
描述
|
受信任根证书
|
受信任的根证书列表。Kaspersky Endpoint Security 允许您在用户计算机上安装受信任的根证书,例如,如果您需要部署新的证书中心。该应用程序允许您将证书添加到特殊的 Kaspersky Endpoint Security 证书存储中。在这种情况下,证书仅被认为是 Kaspersky Endpoint Security 应用程序的受信任证书。换句话说,用户可以通过浏览器中的新证书访问网站。如果另一个应用程序试图访问该网站,您可能会因为证书问题而出现连接错误。要添加到系统证书存储,您可以使用 Active Directory 组策略。
|
访问带有不受信任证书的域
|
- “允许”。当访问具有不受信任证书的域时,Kaspersky Endpoint Security 将允许网络连接。
在浏览器中打开具有未受信任证书的域时,Kaspersky Endpoint Security 会显示一个 HTML 页面,其中显示警告和不建议访问该域的原因。用户可以单击 HTML 警告页面中的链接来获取对所请求 Web 资源的访问权限。
如果第三方应用程序或服务与具有不受信任的证书的域建立连接,Kaspersky Endpoint Security 将创建自己的证书来扫描流量。新证书具有“不信任组”状态。这对于警告第三方应用程序不受信任的连接是必要的,因为在这种情况下无法显示 HTML 页面,并且连接可以在后台模式下建立。
- “阻止”。当访问具有不受信任证书的域时,Kaspersky Endpoint Security 将阻止网络连接。在浏览器中打开具有未受信任证书的域时,Kaspersky Endpoint Security 会显示一个 HTML 页面,其中显示阻止该域的原因。
|
访问带有加密连接扫描错误的域
|
- “阻止”。如果选择此项,在发生加密连接扫描错误时,Kaspersky Endpoint Security 会阻止网络连接。
- “允许并添加域到排除项”。如果选择此项,在发生加密连接扫描错误时,Kaspersky Endpoint Security 将导致错误的域添加到具有扫描错误的域列表中,并且在访问此域时不监控加密网络流量。您只能在应用程序的本地界面中查看具有加密连接扫描错误的域列表。要清除列表内容,您需要选择“阻止”。Kaspersky Endpoint Security 也为加密连接扫描错误生成事件。
|
阻止 SSL 2.0 连接
|
如果选中该复选框,应用程序将监控并阻止通过 SSL 2.0 协议建立的网络连接。
如果清除该复选框,应用程序将不会阻止通过 SSL 2.0 协议建立的网络连接。但是,应用程序不会监控通过该协议的网络流量。
|
阻止 SSL 3.0 连接
|
如果选中该复选框,应用程序将阻止通过 SSL 3.0 协议建立的网络连接。
如果选中该复选框,应用程序将阻止通过 SSL 3.0 协议建立的网络连接。应用程序监控通过该协议的网络流量。应用程序的所有组件均不受限制地运行。
|
阻止 TLS 1.0 连接
|
如果选中该复选框,应用程序将阻止通过 TLS 1.0 协议建立的网络连接。
如果选中该复选框,应用程序将阻止通过 TLS 1.0 协议建立的网络连接。应用程序监控通过该协议的网络流量。应用程序的所有组件均不受限制地运行。
|
解密与使用 EV 证书的网站之间的加密连接
|
EV 证书(Extended Validation Certificate)确认网站的真实性并增强连接的安全性。浏览器在地址栏中使用锁定图标来指示网站具有 EV 证书。浏览器还可能将地址栏的全部或部分填充绿色。
如果选中该复选框,应用程序将解密并监控与使用 EV 证书的网站的加密连接。
如果清除该复选框,应用程序无权访问 HTTPS 流量的内容。为此,应用程序仅基于网址(例如 https://bing.com )监控 HTTPS 流量。
如果您第一次打开具有 EV 证书的网站,则无论是否选中该复选框,加密连接都将被解密。
|
页面顶部