容器扫描
容器是一个隔离的环境,应用程序可以在其中运行而无需与操作系统直接交互。使用容器存在以下风险:
- 黑客可能能够利用容器化漏洞来破坏容器内的应用程序。
- 黑客可能会利用容器环境的不安全配置来获取对计算机上的数据的未经授权的访问或破坏系统的完整性。
- 成功攻击容器可以让黑客获得计算机上的数据。
- 黑客可能利用网络漏洞来拦截网络流量。
Kaspersky Endpoint Security 不仅扫描磁盘上的文件,还扫描容器内的文件。也就是说,Kaspersky Endpoint Security 是一个用于检测容器内部恶意活动的外部工具。这可以维持容器的性能并防止与容器内的其他应用程序发生冲突。不支持在容器内安装 Kaspersky Endpoint Security。
除了提供容器安全之外,Kaspersky Endpoint Security 还允许使用应用程序控制管理容器内的应用程序。容器的应用程序控制配置方式与计算机上安装的应用程序的配置方式相同。系统完整性监控还支持容器。
容器要求
- 该容器必须是 Docker 容器。不支持其他容器化工具。
- 容器必须以进程隔离模式运行。不支持 Hyper-V 隔离模式。
- 容器必须放置在 Windows Server 2016、2019 或 2022 服务器上(Docker Host)。
- 容器必须包含 Windows 映像 (Docker Image)。不支持 Windows 10 和 11。不支持 Linux 镜像。
检测到威胁后的操作
如果在容器内检测到威胁,该应用程序将应用为文件威胁防护组件选择的操作。容器扫描有附加设置(请参阅下面的说明)。如果检测到威胁,应用程序会阻止恶意活动并执行选定的操作(例如,尝试对对象清除)。如果无法清除检测到的对象, Kaspersky Endpoint Security 可以停止该容器。默认情况下,容器停止功能是禁用的。
如何在管理控制台 (MMC) 中配置容器扫描
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 基本威胁防护 → 文件威胁防护。
- 单击“设置”。
- 在打开的窗口中,选择“附加”选项卡。
- 在“扫描在 Windows 容器中执行的文件操作”块,配置容器扫描设置:
- “如果清除失败,则停止容器”。应用程序可能没有足够的对检测到的对象进行读写的权限。在这种情况下,不可能对检测到的对象进行清除或删除。如果选中此复选框,应用程序将阻止检测到的对象并停止容器。如果清除此复选框,应用程序将仅阻止检测到的对象。
- “不扫描在 Windows 容器中执行的文件操作”。如果选中此复选框,应用程序仅在容器启动时扫描容器。如果清除该复选框,应用程序将实时连续扫描容器。
- 保存更改。
如何在 Web Console 和云控制台中配置容器扫描
- 在 Web Console 的主窗口中,选择“资产(设备)” → “策略和配置文件”。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 基本威胁防护 → 文件威胁防护。
- 在“扫描在 Windows 容器中执行的文件操作”块,配置容器扫描设置:
- “如果清除失败,则停止容器”。应用程序可能没有足够的对检测到的对象进行读写的权限。在这种情况下,不可能对检测到的对象进行清除或删除。如果选中此复选框,应用程序将阻止检测到的对象并停止容器。如果清除此复选框,应用程序将仅阻止检测到的对象。
- “不扫描在 Windows 容器中执行的文件操作”。如果选中此复选框,应用程序仅在容器启动时扫描容器。如果清除该复选框,应用程序将实时连续扫描容器。
- 保存更改。
如何在应用程序界面中配置容器扫描
- 打开主应用程序窗口并单击
按钮。 - 在应用程序设置窗口中,选择“基本威胁防护” → “文件威胁防护”。
- 在“扫描在 Windows 容器中执行的文件操作”块,配置容器扫描设置:
- “如果清除失败,则停止容器”。应用程序可能没有足够的对检测到的对象进行读写的权限。在这种情况下,不可能对检测到的对象进行清除或删除。如果选中此复选框,应用程序将阻止检测到的对象并停止容器。如果清除此复选框,应用程序将仅阻止检测到的对象。
- “不扫描在 Windows 容器中执行的文件操作”。如果选中此复选框,应用程序仅在容器启动时扫描容器。如果清除该复选框,应用程序将实时连续扫描容器。
- 保存更改。