扫描计算机
扫描对于计算机安全至关重要。定期进行恶意软件扫描有助于防止因安全级别设置过低或者其他原因导致保护组件未能检测到的恶意软件进行传播。该组件借助反病毒数据库、卡巴斯基安全网络云服务和启发式分析来提供计算机保护。
Kaspersky Endpoint Security 预定义了以下标准任务: 全盘扫描、关键区域扫描、自定义扫描。如果您的组织部署了 Kaspersky Security Center 管理系统,您可以创建一个恶意软件扫描任务并配置扫描。“后台扫描”任务 也在 Kaspersky Security Center 中可用。后台扫描无法被配置。
按钮。因此,Kaspersky Endpoint Security 扫描计算机,如果检测到威胁,则执行应用程序设置中配置的操作。通常,应用程序会尝试对受感染的文件进行清除。因此,受感染的文件可能会收到以下状态:
- “已延期”。无法对感染的文件进行清除。应用程序在计算机重新启动后删除受感染的文件。
- “已记录”。无法对感染的文件进行清除。该应用程序将有关检测到的受感染文件的信息添加到活动威胁列表中。
- 不支持写入或写入错误。无法对感染的文件进行清除。应用程序没有写入权限。
- “已处理”。该应用程序之前检测到受感染的文件。应用程序在计算机重新启动后清除或删除受感染的文件。
扫描设置
参数
描述
安全级别
Kaspersky Endpoint Security 可以使用不同的设置组运行扫描。存储在应用程序中的设置组叫做安全级别:
- “高”。Kaspersky Endpoint Security 扫描所有类型的文件。在扫描复合文件时,应用程序同时将扫描邮件格式的文件。
- “建议”。Kaspersky Endpoint Security 将仅扫描计算机所有硬盘驱动器、网络驱动器和可移动存储介质中的指定文件格式,还有嵌入式 OLE 对象。应用程序不扫描压缩包或安装包。
- “低”。Kaspersky Endpoint Security 仅扫描计算机的所有硬盘驱动器、可移动驱动器以及网络驱动器上拥有指定扩展名的新建文件或已修改文件。应用程序不扫描复合文件。
您可以选择某种预设的安全级别或手动配置安全性级别的设置。如果您改变了文件安全级别设置,仍可随时恢复到推荐的文件安全级别设置。
检测到威胁后的操作
“清除;如果清除失败则删除”。如果选择该选项,应用程序将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果清除失败,应用程序将删除文件。
“清除;如果清除失败则阻止”。如果选择该选项,Kaspersky Endpoint Security 将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果无法进行清除,Kaspersky Endpoint Security 会将检测到的受感染文件的相关信息添加到活动威胁列表。
“通知”。如果选择此选项,Kaspersky Endpoint Security 会在检测到受感染文件时将这些文件的相关信息添加到活动威胁列表。
在对感染的文件进行清除或删除操作之前,应用程序会创建一个备份,以免日后会需要恢复该文件或对该文件进行清除。
在检测到属于 Windows Store 应用程序一部分的受感染文件时,Kaspersky Endpoint Security 将尝试删除文件。
立即运行高级清除
(仅在 Kaspersky Security Center 控制台可用)
仅当在应用于计算机的策略的属性中启用“高级清除”功能后,才会在该计算机上运行病毒扫描任务期间执行高级清除。
如果选中该复选框,则在执行病毒扫描任务期间检测到活动感染后,Kaspersky Endpoint Security 会立即对其进行清除。在活动感染被清除后,Kaspersky Endpoint Security 会在不提示用户的情况下重启计算机。
如果清空该复选框,则在执行病毒扫描任务期间检测到活动感染后,Kaspersky Endpoint Security 不对其进行清除。Kaspersky Endpoint Security 在本地应用程序报告中和 Kaspersky Security Center 端生成活动感染事件。在启用高级清除功能的情况下再次运行病毒扫描任务时,可以对活动感染进行清除。这样,系统管理员可以选择适当的时间进行高级清除,然后自动重启计算机。
扫描范围
Kaspersky Endpoint Security 在运行扫描任务时扫描的对象列表。扫描范围内的对象可以包括内核内存、运行的进程、启动扇区、系统备份存储、邮件数据库、硬盘驱动器、可移动驱动器或网络驱动器、文件夹或文件。
扫描计划
“手动”。您可以在方便时手动启动扫描的运行模式。
“根据计划”。在该扫描任务运行模式下,应用程序将按照您创建的计划启动扫描任务。如果选择该扫描任务运行模式,您也可以手动启动扫描任务。
在应用程序启动此时间后延迟运行 N 分钟
应用程序启动后已推迟扫描任务的启动。在操作系统启动时,许多进程正在运行,因此推迟运行扫描任务而不是在 Kaspersky Endpoint Security 启动后立即运行扫描任务是有利的。
运行略过的任务
如果选中该复选框,Kaspersky Endpoint Security 将在可能的情况下尽快启动已忽略的扫描任务。扫描任务在某些情况下可能被略过,例如,计算机在启动计划扫描时处于关闭状态。如果清除该复选框,Kaspersky Endpoint Security 不会运行已忽略的扫描任务。它将按照当前计划运行下一次扫描任务。
仅在计算机空闲时运行
计算机资源忙时推迟扫描任务。如果计算机被锁定或屏幕保护开启,Kaspersky Endpoint Security 启动扫描任务。如果您中断了任务的执行,例如通过解锁计算机,Kaspersky Endpoint Security 将自动运行该任务,并从中断点继续运行。
运行扫描身份
默认下,扫描任务以您使用其权限在操作系统中注册的用户的名称运行。保护范围可能包含需要特殊权限才能访问的网络驱动器或其他对象。您可以在应用程序设置中指定拥有所需权限的用户,然后在该用户账户下运行扫描任务。
文件类型
Kaspersky Endpoint Security 将没有扩展名的文件视为可执行文件。应用程序总是扫描可执行文件,而与所选的要扫描的文件类型无关。
“所有文件”。如果启用该设置,Kaspersky Endpoint Security 将毫无例外地扫描所有文件(所有格式和扩展名)。
“按格式扫描文件”。如果启用该设置,则应用程序仅扫描被感染的文件。在扫描文件以查找恶意代码之前,系统将分析文件的内部头以确定文件的格式(例如,.txt、.doc 或 .exe)。该扫描也查找具有特殊文件扩展名的文件。
“按扩展名扫描文件”。如果启用该设置,则应用程序仅扫描被感染的文件。此时,系统将根据文件的扩展名确定文件格式。
默认情况下,Kaspersky Endpoint Security 按格式扫描文件。按扩展名扫描文件不太安全,因为恶意文件的扩展名可能不在潜在可感染列表中(例如,
.123)。仅扫描新建和已修改的文件
仅扫描新文件以及自从上次扫描以来被修改的文件。这有助于缩短扫描的持续时间。此模式适用于简单文件和复合文件。
跳过扫描时间超过以下值的文件 N 秒
这设置了扫描单个对象的时间限制。超出指定时间后,应用程序将停止扫描文件。这有助于缩短扫描的持续时间。
不同时运行多个扫描任务
如果扫描已在运行,则推迟启动扫描任务。如果当前扫描继续,Kaspersky Endpoint Security 将使新的扫描任务排队。这有助于优化计算机上的负载。例如,假设应用程序已根据计划启动了全盘扫描任务。如果有用户试图从应用程序界面启动快速扫描,Kaspersky Endpoint Security 会将此快速扫描任务排队,然后在完成全盘磁盘扫描任务后自动启动此任务。
然而,即使正在运行以下扫描任务之一,Kaspersky Endpoint Security 也会立即启动扫描任务:
- 连接时扫描可移动驱动器。
- 从上下文菜单扫描。
- 在检测到妥协的指标(IoC)时开始的关键区域扫描。
如果清除此复选框,则 Kaspersky Endpoint Security 允许您同时运行多个扫描任务。运行多个扫描任务需要更多的计算机资源。
扫描压缩包
扫描 ZIP、GZIP、BZIP、RAR、TAR、ARJ、CAB、LHA、JAR、ICE 和其他压缩包。应用程序不仅按扩展名扫描压缩包,还按格式扫描压缩包。当检查存档时,应用程序执行递归解包。这允许检测多级存档(存档中的存档)中的威胁。
扫描分发包
该复选框用于启用/禁用对第三方分发包的扫描。
扫描 Microsoft Office 格式文件
扫描 Microsoft Office 文件(DOC、DOCX、XLS、PPT 和其他 Microsoft 扩展程序)。Office 格式文件也包括 OLE 对象。Kaspersky Endpoint Security 扫描小于 1 MB 的 office 格式文件,无论该复选框是否被选中。
扫描电子邮件格式文件
扫描电子邮件格式文件和电子邮件数据库。该应用程序扫描 MS Outlook 和 Windows Mail 邮件客户端使用的 PST 和 OST 文件以及 EML 文件。
Kaspersky Endpoint Security 不支持 64 位版本的 MS Outlook 邮件客户端。这意味着,如果计算机上安装了 64 位版本的 MS Outlook,即使邮件包含在扫描范围内,Kaspersky Endpoint Security 也不会扫描 MS Outlook 文件(PST 和 OST 文件)。
如果选择该选框,Kaspersky Endpoint Security 将把邮件格式文件的各个部分分解(标题、正文、附件)后扫描威胁。
如果清空该选框,Kaspersky Endpoint Security 将把邮件格式的文件作为一个单独的文件扫描。
扫描受密码保护的存档
如果选择该选框,应用程序将扫描密码保护的存档。在扫描存档中的文件前,系统将提示您输入密码。
如果清空该选框,应用程序将跳过扫描密码保护的存档。
复合文件大于指定值时不解压
如果选中该复选框,应用程序不会扫描其大小超过指定值的复合文件。
如果清除该复选框,应用程序将扫描所有大小的复合文件。
应用程序扫描从存档中提取的大文件,无论是否选择该复选框。
机器学习和特征码分析
机器学习和签名分析方法使用 Kaspersky Endpoint Security 数据库,其中包含已知威胁的描述以及消除它们的方法。使用此方法的保护提供了可接受的最低安全级别。
根据 Kaspersky 专家的推荐,机器学习和签名分析始终启用。
启发式分析
开发该技术的目的是检测使用当前版本的 Kaspersky 应用程序数据库无法检测到的威胁。它可以检测可能受未知病毒或已知病毒新变种感染的文件。
当扫描文件以查找恶意代码时,启发式分析执行可执行文件中的指令。启发式分析执行的指令数量取决于启发式分析级别。启发式分析级别可在全面搜索新威胁、加载操作系统资源和启发式分析持续时间之间进行平衡。
iSwift 技术
(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)
该技术允许通过排除特定文件不扫描的方式提高扫描速度。该技术将使用特殊算法将文件排除在扫描范围之外,该算法会考虑 Kaspersky Endpoint Security 数据库的发布日期、文件的上次扫描日期以及对扫描设置的任何修改。iSwift 技术是对用于 NTFS 文件系统的 iChecker 技术的增强版。
iChecker 技术
(仅在管理控制台(MMC)和 Kaspersky Endpoint Security 界面可用)
该技术允许通过排除特定文件不扫描的方式提高扫描速度。该技术将使用特殊算法将文件排除在扫描范围之外,该算法会考虑 Kaspersky Endpoint Security 数据库的发布日期、文件的上次扫描日期以及对扫描设置的任何修改。iChecker 技术受到一些限制:它无法操作大型文件,并且仅能应用于具有应用程序可识别结构的文件(例如:EXE、DLL、LNK、TTF、INF、SYS、COM、CHM、ZIP 和 RAR)。