Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security for Windows(以下簡稱 Kaspersky Endpoint Security)為電腦提供全面防護,封鎖各種類型的威脅、網路攻擊和釣魚攻擊。
該應用程式不適用於涉及自動化控制系統的技術流程。為了防護此類系統中的裝置,建議使用 Kaspersky Industrial CyberSecurity for Nodes應用程式。
威脅偵測技術
Kaspersky Endpoint Security 使用基於機器學習的模型。該模型由 Kaspersky 專家開發。隨後,模型被不斷灌輸以 KSN 的威脅資料(模型訓練)。
Kaspersky Endpoint Security 接收來自卡巴斯基安全網路的威脅資料。卡巴斯基安全網路(KSN)是雲端服務的基礎結構,可提供對線上卡巴斯基知識庫的存取,該知識庫包含有關檔案、網頁資源和軟體信譽的資訊。
Kaspersky Endpoint Security 使用 Kaspersky 病毒分析師新增的威脅資料。如果物件的信譽無法自動確定,則病毒分析師將評估物件。 |
Kaspersky Endpoint Security 會及時分析物件的活動。
Kaspersky Endpoint Security 接收來自物件自動分析系統的資料。系統處理傳送到 Kaspersky 的所有物件。系統然後確定物件的信譽,並將資料新增至病毒資料庫。如果系統無法確定物件的信譽,則系統會查詢 Kaspersky 病毒分析。
Kaspersky Endpoint Security 會處理虛擬機中的物件。Kaspersky Sandbox 會分析物件的行為並就其信譽做出決定。該技術只有在您使用 Kaspersky Sandbox 解決方案時才可使用。
Kaspersky Endpoint Security 在卡巴斯基提供的隔離環境中掃描物件。Cloud Sandbox 技術永久啟用,對所有卡巴斯基安全網路使用者可用,與他們使用的產品授權類型無關。如果您已經部署 Endpoint Detection and Response 解決方案,可以為 Cloud Sandbox 偵測到的威脅啟用單獨的計數器。 |
選取目錄
每種類型的威脅是由專門的元件處理。各個元件均可獨立啟用或停用,並可以配置其設定。
選取目錄
區域 |
元件 |
|---|---|
關鍵威脅防護
|
檔案威脅防護 “檔案威脅防護”元件允許您防止電腦的檔案系統受到感染。預設情況下,“檔案威脅防護”元件會永久常駐在電腦的 RAM 中。該元件將掃描電腦所有磁碟機以及連接之磁碟機上的檔案。該元件借助防毒資料庫、卡巴斯基安全網路雲端服務和啟發式分析來提供電腦防護。 Web 威脅防護 “Web 威脅防護”元件可防止從網際網路下載惡意檔案,同時封鎖惡意網站和釣魚網站。該元件借助防毒資料庫、卡巴斯基安全網路雲端服務和啟發式分析來提供電腦防護。 郵件威脅防護 “郵件威脅防護”元件掃描傳送和接收電子郵件的附件是否有病毒和其他威脅。該元件借助防毒資料庫、卡巴斯基安全網路雲端服務和啟發式分析來提供電腦防護。 郵件威脅防護可以掃描傳入和傳出的郵件。該應用程式在以下郵件用戶端中支援 POP3、SMTP、IMAP 和 NNTP:
若要掃描 Mozilla Thunderbird、MyOffice Mail 和 R7-Office Organizer 郵件用戶端中的流量,您需要 將卡巴斯基憑證新增至憑證儲存並選擇自己的憑證儲存。 郵件威脅防護不支援其他協定和郵件用戶端。 郵件威脅防護並不總是能夠獲得協定級別的郵件存取權限(例如,當使用 Microsoft Exchange 解決方案時)。為此,郵件威脅防護包括 Microsoft Office Outlook 延伸程式。該延伸程式允許在郵件用戶端級別掃描郵件。郵件威脅防護延伸支援 Outlook 2010、2013、2016、2019 和 2021 的操作。 網路威脅防護 網路威脅防護元件(也稱為入侵偵測系統)可監控入站網路流量以了解網路攻擊的活動特徵。當應用程式偵測到在使用者電腦上有網路攻擊企圖時,它將封鎖與攻擊電腦的連線。應用程式資料庫提供目前已知類型的網路攻擊以及應對方法。“網路威脅防護”元件偵測到的網路攻擊清單在資料庫和應用程式模組更新期間更新。 防火牆 在網際網路或區域網路上工作時,防火牆會封鎖未經授權的電腦連線。防火牆還控制電腦上應用程式的網路活動。這允許您防護公司區域網路免受身分竊盜和其他攻擊。該元件借助防毒資料庫、卡巴斯基安全網路雲端服務和預先定義的網路規則來提供電腦防護。 BadUSB 攻擊防護 BadUSB 攻擊防護元件可以防止受感染的模擬鍵盤的 USB 裝置連線至電腦。 AMSI 防護 AMSI 防護元件旨在支援 Microsoft 的惡意軟體防護掃描介面。惡意軟體防護掃描介面 (AMSI) 允許具有 AMSI 支援的協力廠商應用程式將物件(例如,PowerShell 指令碼)傳送到 Kaspersky Endpoint Security 進行附加掃描,然後接收這些物件的掃描結果。 |
進階威脅防護
|
卡巴斯基安全網路 卡巴斯基安全網路(KSN)是雲端服務的基礎結構,可提供對線上卡巴斯基知識庫的存取,該知識庫包含有關檔案、網頁資源和軟體信譽的資訊。使用卡巴斯基安全網路的資料可確保 Kaspersky Endpoint Security 能夠更快地對新型威脅作出回應,提高一些防護元件的效能,並減少誤報風險。如果您正在參與卡巴斯基安全網路,KSN 服務將為 Kaspersky Endpoint Security 提供有關所掃描檔案的類別和信譽的資訊,以及有關所掃描網址的信譽的資訊。 行為偵測 “行為偵測”元件接收您電腦上的應用程式操作的資訊,並將此資訊提供給其他防護元件以提高效能。“行為偵測”元件將行為流簽章 (BSS) 用於應用程式。如果應用程式操作比對危險活動行為流簽章,Kaspersky Endpoint Security 將執行選定的回應操作。根據危險活動行為流簽章的 Kaspersky Endpoint Security 功能為電腦提供主動防禦。 弱點利用防禦 “弱點利用防禦”元件可偵測利用電腦弱點來利用管理員權限或執行惡意活動的程式程式碼。例如,弱點利用程式可以利用緩衝區溢位攻擊。為此,弱點利用程式會向易受攻擊的應用程式傳送大量資料。處理此資料時,易受攻擊的應用程式會執行惡意程式碼。此攻擊的結果是,弱點利用程式可啟動未經授權的惡意軟體安裝。當存在從易於感染的應用程式執行可執行檔的嘗試,並且該嘗試並非由使用者執行時,Kaspersky Endpoint Security 將封鎖該檔案執行或通知使用者。 主機入侵防禦 “主機入侵防禦”元件可避免應用程式執行可能給作業系統帶來危險的操作,並確保控制對作業系統資源和個人資料的存取。該元件借助防毒資料庫和卡巴斯基安全網路雲端服務來提供電腦防護。 修復引擎 修復引擎允許 Kaspersky Endpoint Security 復原惡意軟體在作業系統中執行的操作。 |
安全控制
|
應用程式控制 “應用程式控制”管理使用者電腦上的應用程式啟動。這允許您在使用應用程式時實行公司安全政策。“應用程式控制”還透過限制對應用程式的存取來降低電腦感染的風險。 裝置控制 “裝置控制”管理使用者對安裝在電腦上或連線到電腦的裝置(例如,硬碟磁碟機、相機或 Wi-Fi 模組)的存取。這樣可以在連線此類裝置時防護電腦免受感染,並防止遺失或洩漏資料。 Web 控制 “Web 控制”管理使用者對 Web 資源的存取。這有助於減少流量和工作時間的不當使用。當使用者嘗試開啟受“Web 控制”限制的網站時,Kaspersky Endpoint Security 會封鎖存取或顯示警告。 自適應異常控制 自適應異常控制元件會監視並封鎖不是公司網路內電腦典型操作的相關操作。自適應異常控制使用一組規則來偵錯非典型行為(例如,從 Office 應用程式啟動 Microsoft PowerShell 規則)。規則由 Kaspersky 專家根據惡意活動的典型情景建立。您可以配置“自適應異常控制”處理每條規則的方式,例如,允許執行使某些工作流工作自動化的 PowerShell 指令碼。Kaspersky Endpoint Security 會同時更新規則集和應用程式資料庫。 記錄檢查 記錄檢查會基於 Windows 事件記錄分析監控受防護環境的完整性。如果應用程式在系統中偵測到有非典型行為的跡象,它會通知管理員,因為該行為可能表明有人嘗試網路攻擊。 系統完整性監控 系統完整性監控元件監視作業系統中可能表示電腦安全漏洞的變化。當偵測到此類變更時,Kaspersky Endpoint Security 會產生相應的事件並向管理員發出警報。 |
工作
|
惡意軟體掃描 Kaspersky Endpoint Security 掃描電腦查找病毒和其它威脅。惡意軟體掃描有助於排除傳播未被防護元件偵測到(例如,由於安全等級低)的惡意軟體的可能性。 資料庫和應用程式模組更新 Kaspersky Endpoint Security 下載更新應用程式資料庫和模組。更新可以確保電腦防護最新的病毒和其他威脅。在預設設定下,應用程式將會自動更新,但視情況所需,您亦可手動更新資料庫和應用程式模組。 上次更新回溯 Kaspersky Endpoint Security 將回溯最新更新的資料庫和模組。這允許您在必要時將資料庫和應用程式模組回溯到以前的版本,例如,當新資料庫版本包含無效簽章而導致 Kaspersky Endpoint Security 封鎖了安全的應用程式時。 應用程式完整性檢查 Kaspersky Endpoint Security 將檢查應用程式安裝資料夾內的應用程式模組以檢查任何損壞或修改。如果應用程式模組擁有錯誤的數位簽章,則此模組被認定為損壞。 |
資料加密
|
檔案級加密 該元件允許建立檔案加密規則。您可以選擇預定義資料夾進行加密,手動選擇資料夾,或者根據副檔名選取單個檔案。 完整磁碟加密 該元件允許使用卡巴斯基磁碟加密或者 BitLocker 磁碟機加密來加密硬碟。 卸除式磁碟機加密 該元件允許防護卸除式磁碟機上的資料。您可以使用完整磁碟加密 (FDE) 或者檔案級加密 (FLE)。 |
Detection and Response
|
Endpoint Detection and Response Optimum Kaspersky Endpoint Detection and Response Optimum 解決方案的內建代理(以下也稱為 ”EDR Optimum“)。Kaspersky Endpoint Detection and Response 是用於防護組織的 IT 基礎結構抵禦進階網路威脅的解決方案。該解決方案的功能結合了自動偵測威脅和回應這些威脅的能力,以抵消包括新漏洞、勒索軟體、無檔案攻擊以及使用合法系統工具的方法。有關解決方案的更多資訊,請參見Kaspersky Endpoint Detection and Response Optimum 說明。 Endpoint Detection and Response Expert Kaspersky Endpoint Detection and Response Expert 解決方案的內建代理(以下也稱為 ”EDR Expert”)。EDR Expert 比 EDR Optimum 提供更多的威脅監控和回應功能。有關解決方案的更多資訊,請參見Kaspersky Endpoint Detection and Response Expert 說明。 Endpoint Detection and Response (KATA)和Network Detection and Response (KATA) 用於管理 Endpoint Detection and Response 和 Network Detection and Response 元件的內建代理,元件屬於 Kaspersky Anti Targeted Attack Platform 解決方案。Kaspersky Anti Targeted Attack Platform 是旨在及時偵測複雜威脅(如針對性攻擊、進階持久性威脅 (APT)、零日攻擊等)的解決方案。Kaspersky Anti Targeted Attack Platform 包括三個功能單元:
您可以單獨購買所有功能單元或單獨的功能單元。有關解決方案的詳細資訊,請參閱 Kaspersky Anti Targeted Attack Platform 說明。 Sandbox Sandbox 的內建代理。Sandbox元件可偵測和自動封鎖電腦上的進階威脅。Sandbox 會分析物件行為以偵測惡意行動和組織的 IT 基礎架構上的針對性攻擊所特有的活動。Sandbox 會分析和掃描部署了 Microsoft Windows 作業系統的虛擬影像的特殊伺服器(Sandbox 伺服器)上的物件。有關解決方案的詳細資訊,請參閱 Kaspersky Sandbox 說明 和 Kaspersky Anti Targeted Attack Platform 說明。 Managed Detection and Response 支援 Kaspersky Endpoint Detection and Response Optimum 解決方案操作的內建代理。Kaspersky Managed Detection and Response (MDR) 解決方案可自動偵測和分析您的基礎架構中的安全事件。為此,MDR 會使用從端點和機學習收到的遙測資料。MDR 會將事件資料傳送給卡巴斯基專家。專家然後可以處理事件,並且,例如,新增新項目至病毒資料庫。或者,專家可以簽發事件處理建議,並且,例如,建議從網路中隔離電腦。如欲瞭解該解決方案如何工作的詳細資訊,請參閱 Kaspersky Managed Detection and Response 說明。 |
