启用和禁用文件威胁防护

默认情况下，“文件威胁防护”组件已启用并在 Kaspersky 专家建议的模式下运行。对于文件威胁防护，Kaspersky Endpoint Security 可以应用不同的设置组。存储在应用程序中的设置组叫做“安全级别”：高、建议、低。建议安全级别设置将被视为 Kaspersky 专家建议的最佳设置（参加下表）。您可以选择某种预设的安全级别或手动配置安全性级别的设置。如果您改变了文件安全级别设置，仍可随时恢复到推荐的文件安全级别设置。

如何在管理控制台(MMC)中启用或禁用文件威胁防护组件

打开 Kaspersky Security Center Administration Console。
在控制台树中，选择“策略”。
选择必要的策略并双击以打开策略属性。
在策略窗口中，选择基本威胁防护 → 文件威胁防护。
使用“文件威胁防护”复选框启用或禁用组件。
如果您启用了组件，在“安全级别”块做以下之一：
- 如果您希望应用一种预设的安全级别，请使用滑动条选择：
  - “高”。选择该文件安全级别后，“文件威胁防护”组件将对打开、保存和运行的所有文件实施最严格的控制。“文件威胁防护”组件会扫描计算机的所有硬盘驱动器、可移动驱动器和网络驱动器上的所有文件类型。它还扫描存档、安装包和嵌入式 OLE 对象。
  - “建议”。该文件安全级别被 Kaspersky 专家推荐。“文件威胁防护”组件仅扫描计算机的所有硬盘驱动器、可移动驱动器和网络驱动器上的指定文件格式，以及嵌入式 OLE 对象。“文件威胁防护”组件不扫描压缩包或安装包。
  - “低”。该文件安全级别的设置确保最大的扫描速度。“文件威胁防护”组件仅扫描计算机的所有硬盘驱动器、可移动驱动器以及网络驱动器上拥有指定扩展名的文件。“文件威胁防护”组件不扫描复合文件。
- 如果您要配置自定义安全级别，单击“设置”按钮并定义您自己的组件设置。
  您可以通过单击“根据默认”按钮恢复预设安全级别的值。
在“检测到威胁后的操作”块中选择 Kaspersky Endpoint Security 对恶意对象所采取的操作：
- “清除；如果清除失败则删除”。如果选择该选项，应用程序将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果清除失败，应用程序将删除文件。
- “清除；如果清除失败则阻止”。如果选择该选项，Kaspersky Endpoint Security 将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果无法进行清除，Kaspersky Endpoint Security 会将检测到的受感染文件的相关信息添加到活动威胁列表。
- “阻止”。如果选择该选项，“文件威胁防护”组件将自动阻止所有受感染的文件，而不对其进行清除处理。
- “仅记录”。如果选择此选项，Kaspersky Endpoint Security 会在检测到受感染文件时将这些文件的相关信息添加到活动威胁列表。
在对感染的文件进行清除或删除操作之前，应用程序会创建一个备份，以免日后会需要恢复该文件或对该文件进行清除。
保存更改。

如何在 Web Console 和云控制台中启用或禁用文件威胁防护组件

在 Web Console 的主窗口中，选择“设备” → “策略和配置文件”。
单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
选择应用程序设置选项卡。
选择基本威胁防护 → 文件威胁防护。
使用文件威胁防护开关启用或禁用组件。
如果您希望将新对象添加至保护范围：
1. 在“保护范围”块中单击“添加”按钮。
2. 在打开的窗口中，选择您要添加到保护范围的对象。
  使用掩码：
  - *（星号）字符代表任意一组字符，但 \ 和 / 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 C:\*\*.txt 将包括位于 C: 驱动器的文件夹（但不包括子文件夹）中所有具有 TXT 扩展名的文件的路径。
  - 两个连续 * 字符在文件或文件夹名称中代表任意一组字符（包括空集），包括 \ 和 / 字符（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 C:\Folder\**\*.txt 将包括位于 Folder 嵌套子文件夹（除了 Folder 本身）中所有带 TXT 扩展名的文件的路径。掩码必须包含至少一个嵌套级别。掩码 C:\**\*.txt 不是有效掩码。
  - ?（问号）字符代表任意单个字符，但 \ 和 / 字符除外（这两个字符是文件和文件夹路径中的文件和文件夹名称的分隔符）。例如，掩码 C:\Folder\???.txt 将包括位于 Folder 文件夹中所有带 TXT 扩展名且名称由三个字符构成的文件的路径。
  您可以在文件或文件夹路径中的任何位置使用掩码。例如，如果您希望扫描范围包括计算机上所有用户账户的下载文件夹，请输入 C:\Users\*\Downloads\ 掩码。
  
  您可以从保护排除对象，而不用将其从保护范围对象列表中删除。为此，请将其旁边的切换开关设置为关闭位置。
3. 保存更改。
在“检测到威胁后的操作”块中选择 Kaspersky Endpoint Security 对恶意对象所采取的操作：
- “清除；如果清除失败则删除”。如果选择该选项，应用程序将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果清除失败，应用程序将删除文件。
- “清除；如果清除失败则阻止”。如果选择该选项，Kaspersky Endpoint Security 将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果无法进行清除，Kaspersky Endpoint Security 会将检测到的受感染文件的相关信息添加到活动威胁列表。
- “阻止”。如果选择该选项，“文件威胁防护”组件将自动阻止所有受感染的文件，而不对其进行清除处理。
- “仅记录”。如果选择此选项，Kaspersky Endpoint Security 会在检测到受感染文件时将这些文件的相关信息添加到活动威胁列表。
在对感染的文件进行清除或删除操作之前，应用程序会创建一个备份，以免日后会需要恢复该文件或对该文件进行清除。
如有必要，请编辑文件威胁防护的高级设置。
保存更改。

如何在应用程序界面中启用或禁用文件威胁防护组件

打开主应用程序窗口并单击按钮。
在应用程序设置窗口中，选择“基本威胁防护” → “文件威胁防护”。
使用文件威胁防护开关启用或禁用组件。
如果您启用了组件，在“安全级别”块做以下之一：
- 如果您希望应用一种预设的安全级别，请使用滑动条选择：
  - “高”。选择该文件安全级别后，“文件威胁防护”组件将对打开、保存和运行的所有文件实施最严格的控制。“文件威胁防护”组件会扫描计算机的所有硬盘驱动器、可移动驱动器和网络驱动器上的所有文件类型。它还扫描存档、安装包和嵌入式 OLE 对象。
  - “建议”。该文件安全级别被 Kaspersky 专家推荐。“文件威胁防护”组件仅扫描计算机的所有硬盘驱动器、可移动驱动器和网络驱动器上的指定文件格式，以及嵌入式 OLE 对象。“文件威胁防护”组件不扫描压缩包或安装包。
  - “低”。该文件安全级别的设置确保最大的扫描速度。“文件威胁防护”组件仅扫描计算机的所有硬盘驱动器、可移动驱动器以及网络驱动器上拥有指定扩展名的文件。“文件威胁防护”组件不扫描复合文件。
- 如果您要配置自定义安全级别，单击“高级设置”按钮并定义您自己的组件设置。
  您可以通过单击“恢复推荐的安全级别”按钮恢复预设安全级别的值。
在“检测到威胁后的操作”块中选择 Kaspersky Endpoint Security 对恶意对象所采取的操作：
- “清除；如果清除失败则删除”。如果选择该选项，应用程序将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果清除失败，应用程序将删除文件。
- “清除；如果清除失败则阻止”。如果选择该选项，Kaspersky Endpoint Security 将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果无法进行清除，Kaspersky Endpoint Security 会将检测到的受感染文件的相关信息添加到活动威胁列表。
- “阻止”。如果选择该选项，“文件威胁防护”组件将自动阻止所有受感染的文件，而不对其进行清除处理。
- “通知”。如果选择此选项，Kaspersky Endpoint Security 会在检测到受感染文件时将这些文件的相关信息添加到活动威胁列表。
在对感染的文件进行清除或删除操作之前，应用程序会创建一个备份，以免日后会需要恢复该文件或对该文件进行清除。
保存更改。

Kaspersky 专家推荐的文件威胁防护设置（推荐的安全级别）

参数	值	描述
文件类型	按格式扫描文件	如果启用该设置，则应用程序仅扫描被感染的文件。在扫描文件以查找恶意代码之前，系统将分析文件的内部头以确定文件的格式（例如，.txt、.doc 或 .exe）。该扫描也查找具有特殊文件扩展名的文件。基于文件的结构或格式，某些文件可能会作为存储和传播恶意代码的“容器”而成为入侵者的工具。一般来说，此类文件是可执行文件，例如扩展名为 .com、.exe 和 .dll 的文件。恶意代码入侵此类文件的风险相当高。
启发式分析	轻度扫描	开发该技术的目的是检测使用当前版本的卡巴斯基应用程序数据库无法检测到的威胁。它可以检测可能受未知病毒或已知病毒新变种感染的文件。当扫描文件以查找恶意代码时，启发式分析执行可执行文件中的指令。启发式分析执行的指令数量取决于启发式分析级别。启发式分析级别可在全面搜索新威胁、加载操作系统资源和启发式分析持续时间之间进行平衡。
仅扫描新建和已修改的文件	启用	仅扫描新文件以及自从上次扫描以来被修改的文件。这有助于缩短扫描的持续时间。此模式适用于简单文件和复合文件。
使用 iSwift 技术	启用	该技术允许通过排除特定文件不扫描的方式提高扫描速度。该技术将使用特殊算法将文件排除在扫描范围之外，该算法会考虑 Kaspersky Endpoint Security 数据库的发布日期、文件的上次扫描日期以及对扫描设置的任何修改。iSwift 技术是对用于 NTFS 文件系统的 iChecker 技术的增强版。
使用 iChecker 技术	启用	该技术允许通过排除特定文件不扫描的方式提高扫描速度。该技术将使用特殊算法将文件排除在扫描范围之外，该算法会考虑 Kaspersky Endpoint Security 数据库的发布日期、文件的上次扫描日期以及对扫描设置的任何修改。iChecker 技术受到一些限制：它无法操作大型文件，并且仅能应用于具有应用程序可识别结构的文件（例如：EXE、DLL、LNK、TTF、INF、SYS、COM、CHM、ZIP 和 RAR）。
扫描 Microsoft Office 格式文件	启用	扫描 Microsoft Office 文件（DOC、DOCX、XLS、PPT 和其他 Microsoft 扩展程序）。Office 格式文件也包括 OLE 对象。Kaspersky Endpoint Security 扫描小于 1 MB 的 office 格式文件，无论该复选框是否被选中。
扫描电子邮件格式文件	启用	扫描电子邮件格式的文件。应用程序扫描 MSG 和 EML 文件。电子邮件格式文件也包括 OLE 对象。Kaspersky Endpoint Security 扫描小于 1 MB 的 office 格式文件，无论该复选框是否被选中。
扫描模式	智能模式	在该模式中，文件威胁防护将基于对象所做操作进行分析以扫描对象。例如，当操作某个 Microsoft Office 文档时，Kaspersky Endpoint Security 将在其首次打开和最后一次关闭时扫描该文件。覆盖文件的中间操作不会引起文件扫描。
检测到威胁后的操作	清除；如果清除失败则删除	如果选择该选项，应用程序将自动尝试对已经检测到的所有受感染的文件执行清除操作。如果清除失败，应用程序将删除文件。

页面顶部