AMSI 保护
AMSI 保护组件旨在支持 Microsoft 的反恶意软件扫描接口。反恶意软件扫描接口 (AMSI) 允许具有 AMSI 支持的第三方应用程序将对象(例如,PowerShell 脚本)发送到 Kaspersky Endpoint Security 进行附加扫描,然后接收这些对象的扫描结果。例如,第三方应用程序可能包括 Microsoft Office 应用程序(请参见下图)。有关 AMSI 的详细信息,请参阅 Microsoft 文档。
AMSI 保护组件只能检测威胁并将检测到的威胁通知给第三方应用程序。在收到威胁通知后,第三方应用程序不允许执行恶意操作(例如,终止)。
AMSI 操作示例
AMSI 保护组件可能会拒绝第三方应用程序的请求,例如,如果该应用程序超出了指定间隔内的最大请求数。Kaspersky Endpoint Security 将有关来自第三方应用程序的被拒绝请求的信息发送至管理服务器。AMSI 保护组件不会拒绝来自已启用与 AMSI 保护组件持续集成的第三方应用程序的请求。
AMSI 保护组件可用于以下适用于工作站和服务器的操作系统:
- Windows 10 Home / Pro / Pro for Workstations / Education / Enterprise / Enterprise multi-session;
- Windows 11 Home / Pro / Pro for Workstations / Education / Enterprise;
- Windows Server 2016 Essentials / Standard / Datacenter (包括 Server Core 模式);
- Windows Server 2019 Essentials / Standard / Datacenter (包括 Server Core 模式);
- Windows Server 2022 Standard / Datacenter / Datacenter: Azure Edition (包括 Server Core 模式)。
AMSI 保护设置
参数
描述
扫描压缩包
扫描 ZIP、GZIP、BZIP、RAR、TAR、ARJ、CAB、LHA、JAR、ICE 和其他压缩包。应用程序不仅按扩展名扫描压缩包,还按格式扫描压缩包。当检查存档时,应用程序执行递归解包。这允许检测多级存档(存档中的存档)中的威胁。
扫描分发包
该复选框用于启用/禁用对第三方分发包的扫描。
扫描 Microsoft Office 格式文件
扫描 Microsoft Office 文件(DOC、DOCX、XLS、PPT 和其他 Microsoft 扩展程序)。Office 格式文件也包括 OLE 对象。Kaspersky Endpoint Security 扫描小于 1 MB 的 office 格式文件,无论该复选框是否被选中。
复合文件大于指定值时不解压
如果选中该复选框,应用程序不会扫描其大小超过指定值的复合文件。
如果清除该复选框,应用程序将扫描所有大小的复合文件。
应用程序扫描从存档中提取的大文件,无论是否选择该复选框。