文件威胁防护

卡巴斯基容器安全使用文件威胁防护组件来搜索和分析潜在的文件威胁，以保护容器化文件（包括压缩文件和电子邮件中的文件）免受恶意软件的攻击。如果检测到恶意软件，卡巴斯基容器安全可以阻止或删除受感染的对象，并终止使用该对象启动的恶意进程。恶意软件扫描的结果将与总体扫描结果一起显示。

您可以启用或禁用文件威胁防护并配置防护设置：

• 选择文件拦截器的操作模式（审计或者阻止对象）。
• 选择文件扫描模式（打开时、打开并修改时）。
• 启用或禁用对压缩包、邮件数据库、文本格式的电子邮件消息的扫描。
• 暂时将纯文本文件排除在重新扫描之外。
• 限制要扫描的对象的大小和扫描持续时间。
• 选择解决方案将对受感染对象执行的操作。
• 配置扫描范围。卡巴斯基容器安全将扫描文件系统指定区域中的对象。
• 配置扫描期间启发式分析器和 iChecker 技术的使用。
• 启用或禁用将有关扫描的未感染对象、扫描的压缩对象以及未处理的对象的信息记录到安全事件日志中。

可以在“策略 → 运行时策略 → 容器运行时配置文件”下激活文件威胁防护设置，在文件威胁防护设置窗口中进行配置，并应用于所有现有的运行时策略。

如果您不希望在启动某个安全环境策略时激活文件威胁防护，请使用“已禁用/已启用”切换按钮在策略设置中将其禁用。此外，请确保文件威胁防护在不同的适用运行时策略下未运行。

配置文件威胁防护设置

配置文件威胁防护需要 IS 管理员权限。

要配置文件威胁防护：

1. 在“策略 → 运行时策略 → 容器运行时配置文件”部分，单击“设置”按钮。

   将打开配置文件威胁防护设置的窗口。

2. 在文件拦截器模式下，选择以下对象扫描模式之一：
   • 在审计模式下，解决方案会扫描并跟踪对象的内容。
   • 在强制模式下，解决方案会阻止所有不满足配置的规则和标准的对象。
3. 在扫描模式下，选择文件威胁防护模式：
   • 智能模式（默认）：尝试打开文件时将对其进行扫描，如果文件已被修改，则尝试关闭文件时将再次扫描。如果进程在运行过程中多次访问某个对象并对其进行修改，则解决方案仅在该进程最后一次关闭对象时再次扫描该对象。
   • 打开和修改：尝试打开文件时将对其进行扫描，如果文件已被修改，则尝试关闭文件时将再次扫描。
   • 打开：尝试打开文件进行读取、执行或修改时，将扫描文件。
4. 在对检测到的对象所执行操作下，从下拉列表中选择以下内容：
   1. 检测到感染对象时，文件威胁防护组件将执行的第一个操作：
      • 根据在文件中检测到的风险严重性级别以及清除文件的可能性执行建议的操作（默认）。

        例如，木马会被立即删除，因为它们不会感染其他文件，而清除病毒在此处并不适用。

      • 对对象进行病毒清除。受感染对象的副本将被移至备份。
      • 阻止对该对象的访问。
      • 移除对象。受感染对象的副本将被移至备份。
   2. 当第一个操作失败时，文件威胁防护组件将对检测到的受感染对象执行第二个操作：
      • 根据在文件中检测到的风险严重性级别以及清除文件的可能性执行建议的操作（默认）。
      • 对对象进行病毒清除。受感染对象的副本将被移至备份。
      • 阻止对该对象的访问。
      • 移除对象。受感染对象的副本将被移至备份。

   我们建议为检测到的对象同时指定这两种操作。

   为检测到的对象选择所执行的操作时，请考虑以下事项：

   • 如果选择“阻止”或“删除”作为第一个操作，则第二个操作无需指定。
   • 如果未选择第二个操作，则默认操作为“阻止”。
   • 如果将适用的运行时策略模式设置为“审计”，则不会对检测到的对象采取任何操作。
5. 在扫描设置下，使用复选框定义包含要扫描的文件和目录的扫描对象。如果选中复选框，解决方案将扫描选定的对象。您可以从以下列表中选择一个或多个扫描设置：
   • 扫描压缩包：此复选框可启用或禁用压缩包扫描。默认情况下，该复选框处于清除状态，并且解决方案不会扫描压缩包。

     该解决方案可扫描 .ZIP、.7Z*、.7-Z、.RAR、.ISO、.CAB、.JAR、.BZ、.BZ2、.TBZ、.TBZ2、.GZ、.TGZ、.ARJ 等格式的压缩包以及 .SFX 格式的自解压压缩包。受支持的压缩包格式列表取决于所使用的数据库。

     如果启用了压缩包扫描并将“执行建议操作”设置为对检测到的对象的第一个操作，则解决方案将删除受感染的对象或包含威胁的整个压缩包，具体取决于压缩包类型。

     您可以通过指定自解压压缩包或所有压缩包来定义要扫描的压缩包范围。如果您将扫描范围选为自解压压缩包，该解决方案仅扫描包含可执行解压程序的压缩包。

     要开始扫描，解决方案首先要解压压缩包，这可能会减慢扫描速度。您可以启用和配置“如果扫描时间超过（秒）则跳过对象”和“跳过大于 (MB) 的对象”设置，以减少压缩包扫描的持续时间。

   • 扫描邮件数据库：此复选框可启用或禁用对 Microsoft Outlook、Outlook Express、The Bat! 和其他邮件应用程序数据库的扫描。默认情况下，该复选框处于清除状态，并且解决方案不会扫描邮件数据库文件。
   • 扫描纯文本邮件：此复选框可启用或禁用对纯文本电子邮件消息文件的扫描。默认情况下，该复选框处于清除状态，并且解决方案不会扫描纯文本邮件。
   • 跳过文本文件：如果在最后一次扫描后 10 分钟内同一进程重复使用纯文本文件，则可以通过该复选框启用或暂时禁用对纯文本文件的扫描。此设置允许您优化应用程序日志的扫描。默认情况下，该复选框处于清除状态，并且解决方案不会扫描纯文本文件。
   • 跳过大于 (MB) 的对象：此复选框可启用或禁用对指定最大大小（以兆字节为单位）的对象进行扫描。如果要扫描的对象的大小超出指定值，则解决方案将在扫描过程中跳过该对象。

     可用值：0–999999。如果该值设置为 0，则解决方案将扫描任意大小的文件。

     默认值：0。

   • 如果扫描时间超过（秒）则跳过对象：此复选框可启用或禁用对扫描对象的时间限制（以秒为单位）。达到指定时间限制后，解决方案将停止扫描文件。

     可用值：0–9999。如果该值设置为 0，则扫描时间不受限制。

     默认值：60。

6. 在“技术”部分，选中复选框来定义解决方案将用于扫描对象的技术。您可以选择以下选项之一：
   • 使用 iChecker：此复选框可启用或禁用仅扫描新文件和自上次扫描以来经修改的文件。iChecker 是一种扫描方法，它通过跳过一些自扫描以来未经修改的先前扫描文件来减少总体扫描时间。

     如果选中该复选框，解决方案将仅扫描新文件和自上次扫描以来经修改的文件。如果清除该复选框，解决方案将扫描所有文件，无论其创建或修改日期如何。

     默认情况下，该复选框处于选中状态。

   • 使用启发式分析：此复选框可启用或禁用扫描对象时使用启发式分析。启发式分析使得解决方案能识别恶意软件分析师从未发现的安全威胁。

     默认情况下，该复选框处于选中状态。

     如果选中“使用启发式分析”复选框，则可以选择启发式分析级别。通过指定启发式分析级别，可在安全威胁扫描的严谨性、操作系统的负载以及扫描持续时间之间实现平衡。级别越高，扫描需要的资源越多，并且花费的时间越长。您可以选择以下选项之一：

     • 推荐（默认）：卡巴斯基专家推荐的最佳级别。这在确保防护质量和对受保护服务器性能的影响之间达到了完美平衡。
     • 轻度：详细度最低的扫描，系统负载最小。
     • 中度：扫描详细度中等，实现系统负载平衡。
     • 深度：详细度最高的扫描，系统负载最大。
7. 在事件日志记录下，选中复选框以确定是否将事件记录在安全事件日志中。您可以选择一个或多个事件日志选项：
   • 记录未感染对象：此复选框可启用或禁用对已被解决方案识别为未感染扫描对象有关信息的日志记录。
   • 记录未处理对象：此复选框可启用或禁用对出于任何原因未经处理的扫描对象有关信息的日志记录。
   • 记录打包对象：此复选框可启用或禁用对作为复合对象构成部分（如压缩包）的扫描对象有关信息的日志记录。

   如果选中该复选框，解决方案将记录所有对象的事件。如果清除该复选框，则不会记录该事件。默认情况下，该复选框处于清除状态。

8. 单击“保存”。

文件拦截器操作

运行对象扫描作业时，文件威胁防护将使用文件操作拦截器。它将被设置为以下文件拦截模式之一 (InterceptorProtectionMode)：

• 强制（默认）：在使用文件拦截器的扫描作业持续期间阻止文件。扫描完成之前无法访问任何文件。当检测到受感染的对象时，解决方案将执行“对检测到的对象执行的操作”下设置中指定的操作。
• 审计：在使用文件拦截器的扫描作业期间不会阻止文件。允许访问任何文件；扫描是异步执行的。当检测到感染对象时，解决方案仅在事件日志中记录事件。而不会执行“对检测到的对象执行的操作”下的设置中指定的操作。

  如果选择了审计值，解决方案将启用文件威胁防护的通知模式。

当在运行时策略中激活文件威胁防护时，将应用配置的组件设置。这些设置对于所有创建的运行时策略相同。如果适用的运行时策略被设置为审计模式，并且文件威胁防护中的 InterceptorProtectionMode 被设置为强制，则解决方案将阻止这些文件。

数据库更新

文件威胁防护数据库保持最新，以确保最大程度地保护容器对象免受文件威胁。更新会按照计划或需求自动运行。

部署新代理时，解决方案会更新，然后应用更新的文件威胁防护数据库。

数据库将从卡巴斯基容器安全更新服务器进行更新。您可以使用卡巴斯基更新实用程序从企业局域网 (LAN) 上的共享目录设置数据库和组件更新。为此，企业 LAN 的设备必须从卡巴斯基更新服务器接收更新包，并使用该实用程序将更新包复制到共享目录。企业 LAN 上的其他设备将能够从共享目录中提取更新包。

在公共公司网络中部署解决方案时，直接从更新服务器执行更新。在专用公司网络中安装解决方案时，更新的文件威胁防护数据库将被添加到 kcs-updates 容器中，以便后续运行和更新。

将更新的数据库应用到正在运行的代理不会违反节点的主动运行时保护。数据库更新记录在事件日志中。

如果在更新数据库时出现错误，解决方案会取消文件威胁防护更新并继续使用以前安装的数据库。更新期间发生的错误会被记录到位于 node-agent Pod 中的 events.db 文件中。

如果为代理组启用了文件威胁防护，则 events.db 文件可用。

强制禁用文件威胁防护

在卡巴斯基容器安全 1.2 中，您可以完全禁用文件威胁防护组件。如果您遇到组件问题，这可能必不可少。

您可以通过两种方式强制禁用文件威胁防护组件：修改集群上部署代理的文件和修改正在运行的代理。

要使用代理部署文件强制禁用文件威胁防护：

1. 打开 .YAML 文件，其中包含您在部署代理时下载的在集群上部署代理的说明。
2. 在 node-agent 的DaemonSet部分中，将FILE_THREAT_PROTECTION_ENABLED环境变量设置为false。

   name: FILE_THREAT_PROTECTION_ENABLED

   value: false

3. 将更改保存到说明文件。
4. 在控制台中，通过运行kubectl apply -f agents.yaml应用说明文件

   编排器将重新部署 node-agent Pod，并禁用文件威胁防护。

要在代理运行时强制禁用文件威胁防护：

1. 在控制台中，使用kubectl edit命令打开正在运行的代理。
2. 在 node-agent 的DaemonSet部分中，将FILE_THREAT_PROTECTION_ENABLED环境变量设置为false。

   name: FILE_THREAT_PROTECTION_ENABLED

   value: false

3. 保存更改。

   编排器将应用已保存的更改并禁用文件威胁防护。