容器掃描
一個 容器 是一個隔離環境,應用程式可以在其中執行而無需直接與作業系統交互。使用容器涉及以下風險:
- 駭客可能能夠利用容器化弱點來損害容器內的應用程式。
- 駭客可能會利用容器環境的不安全配置來獲得對電腦上資料未經授權的存取或損害系統的完整性。
- 對容器的成功攻擊可以讓駭客獲得對電腦上資料的存取權限。
- 駭客可能會利用網路弱點來攔截網路流量。
Kaspersky Endpoint Security 不僅掃描磁碟上的檔案,還掃描容器內的檔案。也就是說,Kaspersky Endpoint Security 是用於偵測容器內惡意活動的外部工具。這可以維持容器的效能並防止與容器內的其他應用程式發生衝突。不支援在容器內安裝 Kaspersky Endpoint Security。
除了提供容器安全性之外,Kaspersky Endpoint Security 還允許使用應用程式控制管理容器內的應用程式。為容器配置應用程式控制的方式與為電腦上安裝的應用程式配置的方式相同。系統完整性監控 也支援容器。
容器要求
- 容器必須是 Docker 容器。其他容器化工具不受支援。
- 容器必須在處理程序隔離模式下執行。Hyper-V 隔離模式不受支援。
- 容器必須放置在 Windows Server 2016、2019 或 2022 伺服器上(Docker Host)。
- 容器必須包含 Windows 映像 (Docker Image)。不支援 Windows 10 和 11。不支援 Linux 映像。
偵測到威脅後的動作
如果在容器內偵測到威脅,應用程式將套用 為檔案威脅防護元件所選擇的操作。容器掃描具有其他設定(請參閱下方的說明)。如果偵測到威脅,應用程式會封鎖惡意活動並執行選定的操作(例如,嘗試解毒物件)。如果偵測到的物件無法被解毒,Kaspersky Endpoint Security 可以停止容器。預設情況下,容器停止功能處於停用狀態。
如何在管理主控台 (MMC) 中設定容器掃描
- 開啟卡巴斯基安全管理中心管理主控台。
- 在主控台樹狀目錄中,選擇“政策”。
- 選擇必要的政策並點擊以開啟政策內容。
- 在政策視窗中,選擇“關鍵威脅防護 → 檔案威脅防護”。
- 點擊“設定”。
- 在開啟的視窗中選擇“附加”標籤。
- 在“掃描在 Windows 容器中排除的檔案操作“塊中,配置容器掃描設定:
- 如果清除失敗則停止容器應用程式對於偵測到的物件可能沒有足夠的讀寫權限。在這種情況下,不可能對檢測到的物件進行解毒或刪除。如果選取此核取方塊,應用程式將封鎖偵測到的物件並停止容器。如果清除此核取方塊,應用程式將僅封鎖偵測到的物件。
- 不掃描在 Windows 容器中排除的檔案操作如果選取此核取方塊,則應用程式僅在容器啟動時掃描容器。如果清除該核取方塊,應用程式將即時連續掃描容器。
- 儲存變更。
如何在網頁主控台和雲端主控台中配置容器掃描
- 在網頁主控台的主視窗中,選擇資產(裝置) → 政策和設定檔。
- 點擊 Kaspersky Endpoint Security 政策的名稱。
政策內容視窗將開啟。
- 選擇“應用程式設定”標籤。
- 轉到”關鍵威脅防護”→”檔案威脅防護”。
- 在“掃描在 Windows 容器中排除的檔案操作“塊中,配置容器掃描設定:
- 如果清除失敗則停止容器應用程式對於偵測到的物件可能沒有足夠的讀寫權限。在這種情況下,不可能對檢測到的物件進行解毒或刪除。如果選取此核取方塊,應用程式將封鎖偵測到的物件並停止容器。如果清除此核取方塊,應用程式將僅封鎖偵測到的物件。
- 不掃描在 Windows 容器中排除的檔案操作如果選取此核取方塊,則應用程式僅在容器啟動時掃描容器。如果清除該核取方塊,應用程式將即時連續掃描容器。
- 儲存變更。
如何在應用程式介面中配置容器掃描
- 在“應用程式主視窗”中,點擊
按鈕。 - 在應用程式設定視窗中,選取”關鍵威脅防護“→“檔案威脅防護”。
- 在“掃描在 Windows 容器中排除的檔案操作“塊中,配置容器掃描設定:
- 如果清除失敗則停止容器應用程式對於偵測到的物件可能沒有足夠的讀寫權限。在這種情況下,不可能對檢測到的物件進行解毒或刪除。如果選取此核取方塊,應用程式將封鎖偵測到的物件並停止容器。如果清除此核取方塊,應用程式將僅封鎖偵測到的物件。
- 不掃描在 Windows 容器中排除的檔案操作如果選取此核取方塊,則應用程式僅在容器啟動時掃描容器。如果清除該核取方塊,應用程式將即時連續掃描容器。
- 儲存變更。