配置文件威胁防护设置

配置文件威胁防护需要 IS 管理员权限。

要配置文件威胁防护:

  1. 在“策略运行时策略容器运行时配置文件”部分,单击“设置”按钮。

    将打开配置文件威胁防护设置的窗口。

  2. 文件拦截器模式下,选择以下对象扫描模式之一:
    • 审计模式下,解决方案会扫描并跟踪对象的内容。
    • 强制模式下,解决方案会阻止所有不满足配置的规则和标准的对象。
  3. 扫描模式下,选择文件威胁防护模式:
    • 智能模式(默认):尝试打开文件时将对其进行扫描,如果文件已被修改,则尝试关闭文件时将再次扫描。如果进程在运行过程中多次访问某个对象并对其进行修改,则解决方案仅在该进程最后一次关闭对象时再次扫描该对象。
    • 打开和修改:尝试打开文件时将对其进行扫描,如果文件已被修改,则尝试关闭文件时将再次扫描。
    • 打开:尝试打开文件进行读取、执行或修改时,将扫描文件。
  4. 对检测到的对象所执行操作下,从下拉列表中选择以下内容:
    1. 检测到感染对象时,文件威胁防护组件将执行的第一个操作
      • 根据在文件中检测到的风险严重性级别以及清除文件的可能性执行建议的操作(默认)。

        例如,木马会被立即删除,因为它们不会感染其他文件,而清除病毒在此处并不适用。

      • 对对象进行病毒清除。受感染对象的副本将被移至备份。
      • 阻止对该对象的访问。
      • 移除对象。受感染对象的副本将被移至备份。
    2. 当第一个操作失败时,文件威胁防护组件将对检测到的受感染对象执行第二个操作
      • 根据在文件中检测到的风险严重性级别以及清除文件的可能性执行建议的操作(默认)。
      • 对对象进行病毒清除。受感染对象的副本将被移至备份。
      • 阻止对该对象的访问。
      • 移除对象。受感染对象的副本将被移至备份。

    我们建议为检测到的对象同时指定这两种操作。

    为检测到的对象选择所执行的操作时,请考虑以下事项:

    • 如果选择“阻止”或“删除”作为第一个操作,则第二个操作无需指定。
    • 如果未选择第二个操作,则默认操作为“阻止”。
    • 如果将适用的运行时策略模式设置为“审计”,则不会对检测到的对象采取任何操作。
  5. 扫描设置下,使用复选框定义包含要扫描的文件和目录的扫描对象。如果选中复选框,解决方案将扫描选定的对象。您可以从以下列表中选择一个或多个扫描设置:
    • 扫描压缩包:此复选框可启用或禁用压缩包扫描。默认情况下,该复选框处于清除状态,并且解决方案不会扫描压缩包。

      该解决方案可扫描 .ZIP、.7Z*、.7-Z、.RAR、.ISO、.CAB、.JAR、.BZ、.BZ2、.TBZ、.TBZ2、.GZ、.TGZ、.ARJ 等格式的压缩包以及 .SFX 格式的自解压压缩包。受支持的压缩包格式列表取决于所使用的数据库。

      如果启用了压缩包扫描并将“执行建议操作”设置为对检测到的对象的第一个操作,则解决方案将删除受感染的对象或包含威胁的整个压缩包,具体取决于压缩包类型。

      您可以通过指定自解压压缩包所有压缩包来定义要扫描的压缩包范围。如果您将扫描范围选为自解压压缩包,该解决方案仅扫描包含可执行解压程序的压缩包。

      要开始扫描,解决方案首先要解压压缩包,这可能会减慢扫描速度。您可以启用和配置“如果扫描时间超过(秒)则跳过对象”和“跳过大于 (MB) 的对象”设置,以减少压缩包扫描的持续时间。

    • 扫描邮件数据库:此复选框可启用或禁用对 Microsoft Outlook、Outlook Express、The Bat! 和其他邮件应用程序数据库的扫描。默认情况下,该复选框处于清除状态,并且解决方案不会扫描邮件数据库文件。
    • 扫描纯文本邮件:此复选框可启用或禁用对纯文本电子邮件消息文件的扫描。默认情况下,该复选框处于清除状态,并且解决方案不会扫描纯文本邮件。
    • 跳过文本文件:如果在最后一次扫描后 10 分钟内同一进程重复使用纯文本文件,则可以通过该复选框启用或暂时禁用对纯文本文件的扫描。此设置允许您优化应用程序日志的扫描。默认情况下,该复选框处于清除状态,并且解决方案不会扫描纯文本文件。
    • 跳过大于 (MB) 的对象:此复选框可启用或禁用对指定最大大小(以兆字节为单位)的对象进行扫描。如果要扫描的对象的大小超出指定值,则解决方案将在扫描过程中跳过该对象。

      可用值:0–999999。如果该值设置为 0,则解决方案将扫描任意大小的文件。

      默认值:0。

    • 如果扫描时间超过(秒)则跳过对象:此复选框可启用或禁用对扫描对象的时间限制(以秒为单位)。达到指定时间限制后,解决方案将停止扫描文件。

      可用值:0–9999。如果该值设置为 0,则扫描时间不受限制。

      默认值:60。

  6. 在“技术”部分,选中复选框来定义解决方案将用于扫描对象的技术。您可以选择以下选项之一:
    • 使用 iChecker:此复选框可启用或禁用仅扫描新文件和自上次扫描以来经修改的文件。iChecker 是一种扫描方法,它通过跳过一些自扫描以来未经修改的先前扫描文件来减少总体扫描时间。

      如果选中该复选框,解决方案将仅扫描新文件和自上次扫描以来经修改的文件。如果清除该复选框,解决方案将扫描所有文件,无论其创建或修改日期如何。

      默认情况下,该复选框处于选中状态。

    • 使用启发式分析:此复选框可启用或禁用扫描对象时使用启发式分析。启发式分析使得解决方案能识别恶意软件分析师从未发现的安全威胁。

      默认情况下,该复选框处于选中状态。

      如果选中“使用启发式分析”复选框,则可以选择启发式分析级别。通过指定启发式分析级别,可在安全威胁扫描的严谨性、操作系统的负载以及扫描持续时间之间实现平衡。级别越高,扫描需要的资源越多,并且花费的时间越长。您可以选择以下选项之一:

      • 推荐(默认):卡巴斯基专家推荐的最佳级别。这在确保防护质量和对受保护服务器性能的影响之间达到了完美平衡。
      • 轻度:详细度最低的扫描,系统负载最小。
      • 中度:扫描详细度中等,实现系统负载平衡。
      • 深度:详细度最高的扫描,系统负载最大。
  7. 事件日志记录下,选中复选框以确定是否将事件记录在安全事件日志中。您可以选择一个或多个事件日志选项:
    • 记录未感染对象:此复选框可启用或禁用对已被解决方案识别为未感染扫描对象有关信息的日志记录。
    • 记录未处理对象:此复选框可启用或禁用对出于任何原因未经处理的扫描对象有关信息的日志记录。
    • 记录打包对象:此复选框可启用或禁用对作为复合对象构成部分(如压缩包)的扫描对象有关信息的日志记录。

    如果选中该复选框,解决方案将记录所有对象的事件。如果清除该复选框,则不会记录该事件。默认情况下,该复选框处于清除状态。

  8. 单击“保存”。
页首