檔案威脅防護

“檔案威脅防護”元件允許您防止電腦的檔案系統受到感染。預設情況下,“檔案威脅防護”元件會永久常駐在電腦的 RAM 中。該元件將掃描電腦所有磁碟機以及連接之磁碟機上的檔案。該元件借助防毒資料庫、卡巴斯基安全網路雲端服務和啟發式分析來提供電腦防護。

該元件將掃描使用者或應用程式存取的檔案。如果偵測到惡意檔案,Kaspersky Endpoint Security 將封鎖檔案操作。應用程式隨後將根據“檔案威脅防護”元件的設定來清除或刪除惡意檔案。

當嘗試存取其內容儲存在 OneDrive 雲端中的檔案時,Kaspersky Endpoint Security 會下載並掃描檔案內容。

檔案威脅防護元件設定

參數

描述

安全等級

(僅在管理主控台(MMC)和 Kaspersky Endpoint Security 介面中可用)

對於檔案威脅防護,Kaspersky Endpoint Security 可以套用不同的設定群組。這些儲存在應用程式中的設定群組稱為“安全防護等級”:

  • 選擇此檔案安全等級後,“檔案威脅防護”元件將對開啟、儲存和執行的所有檔案實施最嚴格的控制。“檔案威脅防護”元件會掃描電腦的所有硬碟磁碟機、卸除式磁碟機和網路磁碟機上的所有檔案類型。它還掃描存檔、安裝套件和嵌入式 OLE 物件。
  • 建議Kaspersky Lab 專家建議此檔案安全等級。“檔案威脅防護”元件僅掃描電腦的所有硬碟磁碟機、卸除式磁碟機和網路磁碟機上的指定檔案格式,以及嵌入式 OLE 物件。“檔案威脅防護”元件不掃描壓縮套件或安裝套件。
  • 此檔案安全等級的設定可確保最大掃描速度。“檔案威脅防護”元件僅掃描電腦的所有硬碟磁碟機、卸除式磁碟機以及網路磁碟機上擁有指定副檔名的檔案。“檔案威脅防護”元件不掃描複合檔案。

檔案類型

(僅在管理主控台(MMC)和 Kaspersky Endpoint Security 介面中可用)

所有檔案如果啟用該設定,Kaspersky Endpoint Security 將毫無例外地掃描所有檔案(所有格式和副檔名)。

按格式掃描檔案如果啟用該設定,則應用程式僅掃描被感染的檔案。在掃描檔案以尋找惡意程式碼之前,系統將分析檔案的內部頭以確定檔案的格式(例如,.txt、.doc 或 .exe)。掃描還會查找具有特定副檔名的檔案。

按副檔名掃描檔案如果啟用該設定,則應用程式僅掃描被感染的檔案。此時,系統將根據檔案的副檔名確定檔案格式。

掃描範圍

包含“檔案威脅防護”元件掃描的物件。掃描物件可能是硬碟、卸除式磁碟機、網路磁碟機、資料夾、檔案或由遮罩定義的多個檔案。

預設情況下,“檔案威脅防護”元件將掃描任何硬碟、網路磁碟機或卸除式磁碟機中啟動的檔案。無法變更或刪除這些物件的防護範圍。您還可以從掃描中排除項(例如卸除式磁碟機)。

機器學習和簽章分析

(僅在管理主控台(MMC)和 Kaspersky Endpoint Security 介面中可用)

機器學習和簽章分析使用 Kaspersky Endpoint Security 資料庫,其中包含已知威脅的敘述以及消除它們的方法。使用此方法的防護提供了可接受的最低安全等級。

根據 Kaspersky 專家的建議,機器學習和簽章分析始終啟用。

啟發式分析

(僅在管理主控台(MMC)和 Kaspersky Endpoint Security 介面中可用)

開發該技術的目的是偵測使用 Kaspersky 應用程式資料庫無法偵測到的威脅。它可以偵測受未知病毒或已知病毒新變種感染的可疑檔案。

掃描檔案中的惡意代碼時,啟發式分析器將執行可執行檔案中的指令。啟發式分析器執行的指令數取決於為啟發式分析器指定的級別。啟發式分析等級可在全面搜尋新威脅、載入作業系統資源和啟發式分析持續時間之間進行平衡。

偵測到威脅後的動作

解毒;若解毒失敗則刪除如果選擇該選項,應用程式將自動對已經偵測到的所有受感染的檔案執行解毒操作。如果解毒失敗,應用程式將刪除檔案。

解毒;若解毒失敗則封鎖如果選擇該選項,Kaspersky Endpoint Security 將自動對已經偵測到的所有受感染的檔案執行解毒操作。如果無法進行解毒,Kaspersky Endpoint Security 會將偵測到的受感染檔案的相關資訊新增到活動威脅清單。

封鎖如果選擇該選項,“檔案威脅防護”元件將自動封鎖所有受感染的檔案,而不對其進行解毒處理。

通知如果選擇此選項,Kaspersky Endpoint Security 會在偵測到受感染檔案時將這些檔案的相關資訊新增到活動威脅清單。

在嘗試解毒或刪除受感染的檔案之前,應用程式會建立該檔案的備份副本,以防您需要還原該檔案或將來可以對其進行解毒

只掃描新增及修改的檔案

僅掃描新檔案和自上次掃描以來已被修改的檔案。這有助於縮短掃描的持續時間。此模式適用於簡單檔案和複合檔案。

掃描存檔

掃描 ZIP、GZIP、BZIP、RAR、TAR、ARJ、CAB、LHA、JAR、ICE 和其它存檔。應用程式不僅依照副檔名而且依照格式掃描存檔。當檢查封存時,應用程式會執行巡迴解壓縮。這可讓人偵測多層封存(封存內的封存)內的威脅。

掃描分發套件

該核取方塊用於啟用/停用對協力廠商分發套件的掃描。

掃描 Microsoft Office 格式的檔案

掃描 Microsoft Office 檔案(DOC,DOCX,XLS,PPT 和其他 Microsoft 副檔名)。Office 格式檔案也包含 OLE 物件。Kaspersky Endpoint Security 掃描小於 1 MB 的 office 格式檔案,無論該核取方塊是否被選中。

掃描電子郵件格式檔案

掃描電子郵件格式的檔案。應用程式掃描 MSG 和 EML 檔案。電子郵件格式檔案也包含 OLE 物件。Kaspersky Endpoint Security 掃描小於 1 MB 的 office 格式檔案,無論該核取方塊是否被選中。

不解壓縮大型複合檔案

如果選中該核取方塊,應用程式不會掃描其大小超過指定值的複合檔案。

如果清除該核取方塊,應用程式將掃描所有大小的複合檔案。

應用程式會掃描從存檔中提取的大檔案,而不管是否選中該核取方塊。

在背景解壓縮複合檔案

如果選中該核取方塊,應用程式會提供對大於指定值的複合檔案的存取權限,然後再掃描這些檔案。在這種情況下,Kaspersky Endpoint Security 在背景解壓並掃描複合檔案。

對於小於該值的複合檔案,只有在解壓和掃描這些檔案後,應用程式才會提供對這些檔案的存取權限。

如果未選中該核取方塊,則只有在解壓和掃描任何大小的複合檔案後,應用程式才會提供對這些檔案的存取權限。

掃描模式

(僅在管理主控台(MMC)和 Kaspersky Endpoint Security 介面中可用)

Kaspersky Endpoint Security 掃描由使用者、作業系統或以使用者帳戶執行的應用程式存取的檔案。

智慧模式在此模式中,檔案威脅防護將基於對物件所做操作進行分析以掃描物件。例如,當操作某個 Microsoft Office 手冊時,Kaspersky Endpoint Security 將在其首次開啟和最後一次關閉時掃描該檔案。覆蓋檔案的操作過程不會掃描檔案。

在存取及修改時在該模式中,檔案威脅防護將在出現開啟/修改檔案的嘗試時掃描物件。

存取時在此模式中,檔案威脅防護將在出現開啟/修改檔案的嘗試時掃描物件。

執行時在該模式中,檔案威脅防護僅在出現執行檔案的嘗試時掃描物件。

使用 iSwift 技術

(僅在管理主控台(MMC)和 Kaspersky Endpoint Security 介面中可用)

該技術允許透過排除特定檔案不掃描的方式提高掃描速度。該技術將使用特殊演算法將檔案排除在掃描範圍之外,該演算法會考慮 Kaspersky Endpoint Security 資料庫的發佈日期、檔案的上次掃描日期以及對掃描設定的任何修改。iSwift 技術是對用於 NTFS 檔案系統的 iChecker 技術的增強版。

使用 iChecker 技術

(僅在管理主控台(MMC)和 Kaspersky Endpoint Security 介面中可用)

該技術允許透過排除特定檔案不掃描的方式提高掃描速度。該技術將使用特殊演算法將檔案排除在掃描範圍之外,該演算法會考慮 Kaspersky Endpoint Security 資料庫的發佈日期、檔案的上次掃描日期以及對掃描設定的任何修改。iChecker 技術受到幾個限制:它無法操作大檔案,並且僅能套用至擁有程式可辨識結構的檔案 (例如:.exe、.dll、.lnk、.ttf、.inf、.sys、.com、.chm、.zip 和 .rar)。

暫停檔案威脅防護

(僅在管理主控台(MMC)和 Kaspersky Endpoint Security 介面中可用)

在指定的時間或使用指定的應用程式時,這會臨時自動暫停檔案威脅防護的操作。

另請參閱:透過本機介面管理應用程式

啟用和停用檔案威脅防護

自動暫停檔案威脅防護

變更“檔案威脅防護”元件對受感染檔案執行的操作

構成“檔案威脅防護”元件的防護範圍

選擇掃描方式

在“檔案威脅防護”元件的執行中使用掃描技術

最佳化檔案掃描

掃描複合檔案

變更掃描模式

頁面頂部