Anti-Cryptor

Het onderdeel Anti-Cryptor analyseert de activiteit in gedeelde mappen. Als deze activiteit overeenkomt met een definitie van gedragspatronen die kenmerkend is voor externe encryptie, voert Kaspersky Endpoint Security de geselecteerde actie uit.

Kaspersky Endpoint Security voorkomt de externe encryptie alleen voor bestanden op media die het NTFS-bestandssysteem gebruiken en niet zijn geëncrypt door het EFS-systeem.

Instellingen voor onderdeel Anti-Cryptor

Parameter	Beschrijving
Uitzonderingen op naam of IP-adres	Uitzonderingen op naam of IP-adres. Lijst met computers waarvoor geen pogingen tot het encrypten van gedeelde mappen worden gemonitord. Als u de lijst met computers waarvoor gedeelde mappen niet moeten worden beschermd tegen externe encryptie wilt toepassen, moet u 'Aanmelden controleren' in het Windows-beveiligingsbeleid inschakelen. 'Aanmelden controleren' is standaard uitgeschakeld. Voor meer informatie over een Windows-beveiligingsbeleid gaat u naar de Microsoft-website. Uitzonderingen door masker. Uitzonderingen voor beschermd bereik. Het uitsluiten van een map van het beschermd bereik kan foutieve identificaties verminderen als uw organisatie gegevensencryptie gebruikt bij het uitwisselen van bestanden met behulp van gedeelde mappen. Gedragsdetectie kan bijvoorbeeld foutieve identificatie opleveren wanneer de gebruiker werkt met bestanden met de ENC-extensie in een gedeelde map. Dergelijke activiteit komt overeen met een gedragspatroon dat typisch is voor externe versleuteling. Als u bestanden in een gedeelde map hebt versleuteld om gegevens te beschermen, voegt u die map toe aan uitzonderingen. Gebruik maskers: Het teken `` (sterretje), dat een willekeurige reeks tekens voorstelt, behalve de tekens `\` en `/` (scheidingstekens van de namen van bestanden en mappen in paden naar bestanden en mappen). Het masker `C:\\.txt` omvat bijvoorbeeld alle paden naar bestanden met de TXT-extensie die zich in mappen op de C-schijf bevinden, maar niet in submappen. Twee opeenvolgende sterretjes `` stellen een willekeurige reeks tekens voor (inclusief een lege reeks) in de bestands- of mapnaam, inclusief de tekens `\` en `/` (scheidingstekens van de namen van bestanden en mappen in paden naar bestanden en mappen). Het masker `C:\Folder\*\.txt` omvat bijvoorbeeld alle paden naar bestanden met de TXT-extensie die zich in mappen bevinden genest in de `Folder`, uitgezonderd de `Folder` zelf. Het masker moet ten minste één genest niveau bevatten. Het masker `C:\*\.txt` is geen geldig masker. Het teken `?` (vraagteken), dat een enkel willekeurig teken voorstelt, behalve de tekens `\` en `/` (scheidingstekens van de namen van bestanden en mappen in paden naar bestanden en mappen). Het masker `C:\Folder\???.txt` omvat bijvoorbeeld paden naar alle bestanden die zich in de map met de naam `Folder` bevinden, die een TXT-extensie hebben en die een naam met drie tekens hebben.
Actie bij detectie van een dreiging	Melden. Als deze optie is geselecteerd, voegt Kaspersky Endpoint Security bij het detecteren van een poging om bestanden in gedeelde mappen te wijzigen, informatie over deze poging toe aan de lijst met actieve bedreigingen, voegt een item toe aan lokale programma-interface rapporten en stuurt informatie over de gedetecteerde kwaadaardige activiteit naar Kaspersky Security Center. Verbinding blokkeren voor (min) N min. Als Kaspersky Endpoint Security een poging tot wijziging van bestanden in gedeelde mappen detecteert wanneer deze optie is geselecteerd, blokkeert het toegang tot bestandswijziging voor de sessie die de kwaadaardige activiteit heeft gestart en maakt back-ups van de gewijzigde bestanden. Als het onderdeel Remediation Engine is ingeschakeld en de optie Verbinding blokkeren voor (min) N min is geselecteerd, worden gewijzigde bestanden teruggezet vanuit back-ups.
Beschermd bereik	Het beschermd bereik is een lijst met paden naar gedeelde mappen waarin Kaspersky Endpoint Security de bestandsactiviteit controleert. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de `*` en `?`-tekens bij het invoeren van een masker. Standaard identificeert het programma automatisch gedeelde mappen en controleert de bestandsactiviteit in alle mappen.

Parameter

Beschrijving

Uitzonderingen op naam of IP-adres

Uitzonderingen op naam of IP-adres. Lijst met computers waarvoor geen pogingen tot het encrypten van gedeelde mappen worden gemonitord.

Als u de lijst met computers waarvoor gedeelde mappen niet moeten worden beschermd tegen externe encryptie wilt toepassen, moet u 'Aanmelden controleren' in het Windows-beveiligingsbeleid inschakelen. 'Aanmelden controleren' is standaard uitgeschakeld. Voor meer informatie over een Windows-beveiligingsbeleid gaat u naar de Microsoft-website.

Uitzonderingen door masker. Uitzonderingen voor beschermd bereik. Het uitsluiten van een map van het beschermd bereik kan foutieve identificaties verminderen als uw organisatie gegevensencryptie gebruikt bij het uitwisselen van bestanden met behulp van gedeelde mappen. Gedragsdetectie kan bijvoorbeeld foutieve identificatie opleveren wanneer de gebruiker werkt met bestanden met de ENC-extensie in een gedeelde map. Dergelijke activiteit komt overeen met een gedragspatroon dat typisch is voor externe versleuteling. Als u bestanden in een gedeelde map hebt versleuteld om gegevens te beschermen, voegt u die map toe aan uitzonderingen.

Gebruik maskers:

Het teken * (sterretje), dat een willekeurige reeks tekens voorstelt, behalve de tekens \ en / (scheidingstekens van de namen van bestanden en mappen in paden naar bestanden en mappen). Het masker C:\*\*.txt omvat bijvoorbeeld alle paden naar bestanden met de TXT-extensie die zich in mappen op de C-schijf bevinden, maar niet in submappen.
Twee opeenvolgende sterretjes * stellen een willekeurige reeks tekens voor (inclusief een lege reeks) in de bestands- of mapnaam, inclusief de tekens \ en / (scheidingstekens van de namen van bestanden en mappen in paden naar bestanden en mappen). Het masker C:\Folder\**\*.txt omvat bijvoorbeeld alle paden naar bestanden met de TXT-extensie die zich in mappen bevinden genest in de Folder, uitgezonderd de Folder zelf. Het masker moet ten minste één genest niveau bevatten. Het masker C:\**\*.txt is geen geldig masker.
Het teken ? (vraagteken), dat een enkel willekeurig teken voorstelt, behalve de tekens \ en / (scheidingstekens van de namen van bestanden en mappen in paden naar bestanden en mappen). Het masker C:\Folder\???.txt omvat bijvoorbeeld paden naar alle bestanden die zich in de map met de naam Folder bevinden, die een TXT-extensie hebben en die een naam met drie tekens hebben.

Actie bij detectie van een dreiging

Melden. Als deze optie is geselecteerd, voegt Kaspersky Endpoint Security bij het detecteren van een poging om bestanden in gedeelde mappen te wijzigen, informatie over deze poging toe aan de lijst met actieve bedreigingen, voegt een item toe aan lokale programma-interface rapporten en stuurt informatie over de gedetecteerde kwaadaardige activiteit naar Kaspersky Security Center.
Verbinding blokkeren voor (min) N min. Als Kaspersky Endpoint Security een poging tot wijziging van bestanden in gedeelde mappen detecteert wanneer deze optie is geselecteerd, blokkeert het toegang tot bestandswijziging voor de sessie die de kwaadaardige activiteit heeft gestart en maakt back-ups van de gewijzigde bestanden.

Als het onderdeel Remediation Engine is ingeschakeld en de optie Verbinding blokkeren voor (min) N min is geselecteerd, worden gewijzigde bestanden teruggezet vanuit back-ups.

Beschermd bereik

Het beschermd bereik is een lijst met paden naar gedeelde mappen waarin Kaspersky Endpoint Security de bestandsactiviteit controleert. Kaspersky Endpoint Security ondersteunt omgevingsvariabelen en de * en ?-tekens bij het invoeren van een masker. Standaard identificeert het programma automatisch gedeelde mappen en controleert de bestandsactiviteit in alle mappen.

Naar boven