行为检测

“行为检测”组件接收您计算机上的应用程序操作的信息,并将此信息提供给其他保护组件以提高性能。“行为检测”组件将行为流签名 (BSS) 用于应用程序。如果应用程序操作匹配行为流签名,Kaspersky Endpoint Security 将执行选定的响应操作。基于行为流签名的 Kaspersky Endpoint Security 功能为计算机提供了主动防御。

行为检测组件设置

参数

描述

检测到恶意软件活动时的操作

删除文件”。如果选择此选项,在检测到恶意活动时,Kaspersky Endpoint Security 会删除恶意应用程序的可执行文件,同时在备份区创建该文件的备份副本。

阻止”。如果选择此选项,在检测到恶意活动时,Kaspersky Endpoint Security 会终止该应用程序。

通知”。如果选择此选项并且检测到应用程序的恶意活动,Kaspersky Endpoint Security 不会终止该应用程序,但会将该应用程序的恶意活动的相关信息添加至活动威胁列表。

启用共享文件夹对外部加密的防护

如果打开该切换按钮,Kaspersky Endpoint Security 将分析共享文件夹中的活动。如果该活动与外部加密的典型行为流签名匹配,Kaspersky Endpoint Security 将执行选定操作。

Kaspersky Endpoint Security 可防止只在具有 NTFS 文件系统的介质上且未被 EFS 系统加密的文件被外部加密。

  • 通知”。如果选择此选项,在检测到修改共享文件夹中的文件的尝试时,Kaspersky Endpoint Security 会将修改共享文件夹中的文件的尝试的相关信息添加到活动威胁列表中。
  • 阻止连接时间 N 分钟。如果选择此选项,当 Kaspersky Endpoint Security 检测到有人试图修改共享文件夹中的文件时,它将阻止启动恶意活动的会话对文件修改(只读)的访问,并创建已修改文件的备份副本。

如果启用了“修复引擎”组件,并且选择“阻止连接时间 N 分钟”选项,被修改的文件将被从备份副本恢复。

排除项

尝试加密共享文件夹的计算机的列表不会受到监控。

要应用防止共享文件夹被外部加密的计算机排除列表,必须在 Windows 安全审核策略中启用审核登录。默认情况下,审核登录处于禁用状态。有关 Windows 安全审核策略的详细信息,请访问 Microsoft 网站

另请参阅:通过本地界面管理应用程序

启用和禁用行为检测

选择在检测到恶意软件活动时要执行的操作

防止共享文件夹被外部加密

页面顶部