卡巴斯基终端安全软件说明书

Kaspersky Endpoint Security for Windows 11.3.0
© 2022 AO Kaspersky Lab
目录
常见问题回答
新闻
Kaspersky Endpoint Security for Windows 分发包
硬件和软件要求
取决于操作系统类型的可用应用程序功能比较根据管理工具比较应用程序功能
与其他 Kaspersky 应用程序的兼容性
安装和删除程序
通过 Kaspersky Security Center 部署
应用程序的标准安装
创建安装包
更新安装包中的数据库
创建远程安装任务
使用向导安装应用程序
通过命令行安装程序
使用系统中心配置管理器远程安装应用程序setup.ini 文件安装设置说明
更改应用程序组件
从以前版本的应用程序升级
删除程序
通过 Kaspersky Security Center 卸载
使用向导卸载应用程序
通过命令行删除程序
应用程序授权许可
关于最终用户授权许可协议
关于授权许可
关于授权许可证书
关于订阅
关于授权许可密钥
关于激活码
关于密钥文件
关于数据提供
激活应用程序
通过 Kaspersky Security Center 激活应用程序使用激活向导激活程序
通过命令行激活程序
查看授权许可信息
购买授权许可
续费订阅
通过本地界面管理应用程序
程序界面
任务栏通知区域中的程序图标
简化的应用程序界面
配置应用程序界面的显示
启动和停止应用程序
应用程序的自动启动
暂停和恢复计算机保护和控制
扫描计算机
开始或停止扫描任务
更改安全级别
更改对受感染文件执行的操作
生成要扫描的对象列表
选择要扫描的文件类型
优化文件扫描
扫描复合文件
使用扫描方法
使用扫描技术
选择扫描任务运行模式
使用不同用户帐户启动扫描任务
扫描连接到计算机的可移动驱动器
后台扫描
更新数据库和程序软件模块
添加更新源
选择更新数据库区域
配置从共享文件夹更新
选择更新任务运行模式
在不同用户帐户权限下开始更新任务
配置应用程序模块更新
开始和停止更新任务
最近更新回滚
配置代理服务器使用
处理活动威胁
处理活动威胁列表
对活动威胁列表中的文件启动自定义扫描任务
删除活动威胁列表中的记录
卡巴斯基安全网络
关于使用卡巴斯基安全网络时的数据提供
启用和禁用卡巴斯基安全网络
为保护组件启用和禁用云模式
检查与卡巴斯基安全网络的连接
在卡巴斯基安全网络中检查文件信誉
行为检测
启用和禁用行为检测
选择在检测到恶意软件活动时要执行的操作
防止共享文件夹被外部加密
启用和禁用共享文件夹对外部加密的防护
选择在检测到共享文件夹外部加密时采取的操作配置共享文件夹对外部加密的防护的排除项地址漏洞利用防御
启用和禁用漏洞利用防御
选择在检测到漏洞时执行的操作
启用和禁用系统进程内存保护
主机入侵防御
音频和视频设备控制限制
启用和禁用主机入侵防御
管理应用程序信任组
配置将应用程序分配到受信任组的设置
修改信任组
选择在 Kaspersky Endpoint Security 启动之前启动的应用程序受信任组管理应用程序权限
更改信任组和应用程序组的应用程序权限
修改应用程序权限
禁用从卡巴斯基安全网络数据库下载和更新应用程序权限
禁用继承父进程限制
从应用程序权限中排除特定应用程序操作
删除有关未使用的应用程序的信息
保护操作系统资源和身份数据
添加受保护资源的类别
添加受保护资源
禁用资源保护
修复引擎
文件恢复限制
启用和禁用修复引擎
文件威胁防护
启用和禁用文件威胁防护
自动暂停文件威胁防护
更改安全级别
更改“文件威胁防护”组件对受感染文件执行的操作
构成“文件威胁防护”组件的保护范围
在“文件威胁防护”组件的运行中使用启发式分析
在“文件威胁防护”组件的运行中使用扫描技术
优化文件扫描
扫描复合文件
更改扫描模式
Web 威胁防护
启用和禁用 Web 威胁防护
更改 Web 流量安全等级
更改要对恶意 Web 流量对象采取的操作
使用“Web 威胁防护”来根据钓鱼和恶意网址数据库检查链接
在“Web 威胁防护”组件的运行中使用启发式分析
创建受信任网址列表
邮件威胁防护
启用和禁用邮件威胁防护
更改邮件安全级别
更改对受感染电子邮件采取的操作
构成“邮件威胁防护”组件的保护范围
扫描附加于电子邮件中的复合文件
筛选电子邮件附件
扫描 Microsoft O ice Outlook 中的电子邮件
配置在 Outlook 中的邮件扫描
使用 Kaspersky Security Center 配置邮件扫描
网络威胁防护
启用和禁用网络威胁防护
编辑用于阻止进攻计算机的设置
配置排除在阻止外的地址
MAC 欺骗防护
Firewall
启用或禁用防火墙
更改网络连接状态
管理网络数据包规则
创建和编辑网络数据包规则
启用或禁用网络数据包规则
更改网络数据包规则的防火墙操作
更改网络数据包规则的优先级
管理应用程序网络规则
创建和编辑应用程序网络规则
启用和禁用应用程序网络规则
更改应用程序网络规则的防火墙操作
更改应用程序网络规则的优先级
网络监控器
BadUSB 攻击防护
启用和禁用 BadUSB 攻击防护。

允许和禁止使用屏幕键盘进行授权
键盘授权
AMSI 保护提供程序
启用和禁用 AMSI 保护提供程序
使用 AMSI 保护提供程序扫描复合文件
应用程序控制
应用程序控制功能限制
启用和禁用应用程序控制
选择应用程序控制模式
应用程序控制规则的操作
添加和编辑应用程序控制规则
为应用程序控制规则添加触发条件
更改应用程序控制规则的状态
测试应用程序控制规则
为文件或文件夹创建名称掩码的规则
编辑应用程序控制消息模板
设备控制
启用和禁用设备控制
关于访问规则
编辑设备访问规则
在事件日志中添加或排除记录
将 Wi-Fi 网络添加至受信任列表
编辑连接总线访问规则
对受信任设备的操作
在应用程序界面中向受信任列表添加设备
在 Kaspersky Security Center 中向受信任列表添加设备导出和导入受信任设备的列表
获取访问被阻止设备的权限
授予访问权限的在线模式
授予访问权限的离线模式
编辑设备控制消息模板
反桥接
启用和禁用反桥接
更改连接规则的状态
更改连接规则的优先级
Web 控制
启用和禁用 Web 控制
网页资源访问规则操作
添加和编辑网页资源访问规则
为网页资源访问规则分配优先级
测试网页资源访问规则
启用和禁用网页资源访问规则
从旧版本应用程序迁移网页资源访问规则
导出和导入网页资源地址列表
监控用户 Internet 活动
编辑网页资源地址的掩码
编辑 Web 控制消息模板
自适应异常控制
启用和禁用自适应异常控制
启用和禁用自适应异常控制规则
在自适应异常控制规则触发时更改执行的操作
创建和编辑自适应异常控制规则的排除项
删除自适应异常控制规则排除项
导入自适应异常控制规则排除项
导出自适应异常控制规则排除项
更新自适应异常控制规则
编辑自适应异常控制消息模板
查看自适应异常控制报告
网络保护
网络端口监控
启用对所有网络端口的监控
从由 Kaspersky 专家生成的列表中启用对应用程序的端口监控创建受监控网络端口的列表
创建所有网络端口受监控的应用程序的列表
加密连接扫描
启用和禁用加密连接扫描
配置加密连接扫描设置
创建加密连接扫描排除项
查看加密流量扫描的全局排除项
检查应用程序模块的完整性
启动或停止完整性检查任务
选择完整性检查任务的运行模式
密码保护
启用密码保护
为单个用户或组授予权限
使用临时密码授予权限
密码保护权限的特殊方面
通知服务
配置事件日志设置
配置通知的显示和传送
配置应用程序状态警告在通知区域的显示
管理报告
查看报告
查看报告中的事件信息
配置最大报告存储时间
配置报告文件的最大大小
将报告保存到文件
清理报告
管理备份
配置备份区中的文件的最长存储期
配置备份区的最大大小
恢复和删除备份区中的文件
从备份区中还原文件
从备份区中删除文件备份副本。

信任区域
创建扫描排除项
修改扫描排除项
删除扫描排除项
启用和禁用扫描排除项
编辑受信任应用程序列表
为受信任应用程序列表中的应用程序启用或禁用受信任区域规则使用受信任的系统证书存储
Kaspersky Endpoint Security 自我保护
启用和禁用自我防御
启用和禁用 AM-PPL 支持
启用和禁用外部管理防御
支持远程管理应用程序
Kaspersky Endpoint Security 的性能以及与其他应用程序的兼容性选择可检测对象的类型
启用或禁用高级清除技术
启用或禁用节能模式
启用或禁用允许其他应用程序使用资源
创建和使用配置文件
通过 Kaspersky Security Center 管理控制台管理应用程序使用不同版本的管理插件时的特别考虑
启动和停止客户端计算机上的应用程序
配置 Kaspersky Endpoint Security 设置
管理任务
配置任务管理模式
创建本地任务
创建组任务
为设备集合创建任务
启动、停止、暂停和恢复任务
编辑任务设置
清查任务设置
管理策略
创建策略
编辑策略设置
策略属性窗口中的安全级别指示器
数据加密
加密功能限制
更改加密密钥的长度 (AES56 / AES256)
完整磁盘加密
使用卡巴斯基磁盘加密技术执行完整磁盘加密
使用 BitLocker 驱动器加密技术执行完整磁盘加密
创建硬盘驱动器加密排除列表
硬盘驱动器解密
还原对受卡巴斯基磁盘加密技术保护的驱动器的访问权限
恢复对使用 BitLocker 加密的驱动器的访问权限
更新操作系统
消除加密功能更新的错误
本地计算机驱动器上的文件级加密
加密本地计算机磁盘驱动器上的文件
为应用程序创建加密文件访问规则
加密特定应用程序创建或修改的文件
生成解密规则
在本地计算机磁盘驱动器上解密文件
创建加密数据包
还原对加密文件的访问权限
操作系统故障后恢复对加密数据的访问
编辑加密文件访问消息模板
可移动驱动器加密
启动可移动驱动器加密
为可移动驱动器添加加密规则
为可移动驱动器编辑加密规则
用于访问可移动驱动器上的加密文件的便携模式
可移动驱动器解密
使用身份验证代理
启用单点登录 (SSO) 技术
管理身份验证代理帐户
配合身份验证代理使用令牌和智能卡
选择身份验证代理跟踪级别
编辑身份验证代理帮助文本
测试身份验证代理的操作后，删除剩余的对象和数据查看数据加密详细信息
查看加密状态
在 Kaspersky Security Center 信息显示板上查看加密统计信息查看本地计算机驱动器上文件加密错误
查看数据加密报告
无法访问加密设备时的设备使用
使用 FDERT 恢复实用程序恢复数据
创建操作系统紧急修复磁盘
应用程序控制
管理应用程序控制规则
接收有关安装在用户计算机上的应用程序的信息
创建应用程序类别
将“可执行文件”文件夹中的可执行文件添加到应用程序类别
将事件相关的可执行文件添加到应用程序类别
使用 Kaspersky Security Center 添加和修改应用程序控制规则
通过 Kaspersky Security Center 更改应用程序控制规则的状态
使用 Kaspersky Security Center 测试应用程序控制规则
查看“应用程序控制”组件的测试运行所产生的事件
查看有关测试模式下阻止的应用程序的报告
查看“应用程序控制”组件的运行所产生的事件
查看有关阻止的应用程序的报告
实施白名单模式的最佳实践
配置白名单模式
测试白名单模式
支持白名单模式
将用户消息发送至 Kaspersky Security Center 服务器
在 Kaspersky Security Center 事件存储中查看用户消息
通过 Kaspersky Security Center Web Console 和云控制台远程管理应用程序关于 Kaspersky Endpoint Security 管理 Web 插件
入门
启动和停止 Kaspersky Endpoint Security
更新数据库和程序软件模块
从服务器存储库更新
从共享文件夹更新
使用 Kaspersky 更新实用程序更新
在移动模式下更新
使用代理服务器进行更新
管理任务
检查应用程序的完整性
擦除数据
管理策略
配置本地应用程序设置
策略设置
卡巴斯基安全网络
行为检测
漏洞利用防御
主机入侵防御
修复引擎
文件威胁防护
Web 威胁防护
邮件威胁防护
网络威胁防护
Firewall
BadUSB 攻击防护
AMSI 保护提供程序
应用程序控制
设备控制
Web 控制
自适应异常控制
完整磁盘加密
文件级加密
可移动驱动器加密
模板（数据加密）
端点传感器
管理任务
从上下文菜单扫描
可移动驱动器扫描
后台扫描
应用程序设置
网络选项
排除项
报告和存储
界面
从命令行管理应用程序
命令
SCAN。

病毒扫描
UPDATE。

更新数据库和程序软件模块
ROLLBACK。

最近更新回滚
TRACES。

跟踪
START。

启动配置文件
STOP。

停止配置文件
STATUS。

配置文件状态
STATISTICS。

配置文件操作统计
RESTORE。

还原文件
EXPORT。

导出应用程序设置
IMPORT。

导入应用程序设置
ADDKEY。

应用密钥文件。

LICENSE。

授权许可
RENEW。

购买授权许可
PBATESTRESET。

在加密磁盘之前重置磁盘检查结果EXIT。

退出应用程序
EXITPOLICY。

禁用策略
STARTPOLICY。

启用策略
DISABLE。

禁用保护
SPYWARE。

间谍软件检测
KESCLI 命令
SCAN。

病毒扫描
GetScanState。

扫描完成状态
GetLastScanTime。

决定扫描完成时间
GetThreats。

获取检测到的威胁的数据
UpdateDe nitions。

更新数据库和程序软件模块
GetDe nitionState。

决定更新完成时间
EnableRTP。

启用保护
GetRealTimeProtectionState。

“文件威胁防护”状态Version。

识别应用程序版本
错误代码
附录。

应用程序配置文件
通过 REST API 管理应用程序
使用 REST API 安装应用程序
使用 API
与其他 Kaspersky 解决方案集成
Kaspersky Anti Targeted Attack Platform (KATA) Kaspersky Sandbox
关于应用程序的信息源
联系技术支持
如何获取技术支持
通过 Kaspersky CompanyAccount 获取技术支持
为技术支持部门获取信息
跟踪文件的内容和存储
应用程序跟踪
应用程序性能跟踪
转储写入
保护转储文件和跟踪文件
术语表
OLE 对象
任务
便携式文件管理器
保护范围
反病毒数据库
受信任平台模块
受感染的文件
可疑网址的数据库
备用密钥
存档
扫描范围
授权许可证书
掩码
活动密钥
清除
管理组
网络代理
网页资源地址的规范化格式
证书发布者
误报
身份验证代理
钓鱼网页地址数据库
附录 1.应用程序信任组
附录 2.网页资源内容类别
有关第三方代码的信息
商标通知
常规
Kaspersky Endpoint Security 可以在哪些计算机上运
行？
自上个版本以来有哪些更改？
Kaspersky Endpoint Security 可以与其他哪些卡巴斯基
应用程序一起运行？
如何在 Kaspersky Endpoint Security 运行期间节省计算
机资源？
部署
如何将 Kaspersky Endpoint Security 安装到组织的所有
计算机上？
哪些安装设置可以在命令行中配置？
如何远程卸载 Kaspersky Endpoint Security？
更新
有哪些方法可以更新数据库？
如果更新后出现问题应该怎么办？
如何更新公司网络外部的数据库？
是否能使用代理服务器进行更新？
安全
Kaspersky Endpoint Security 如何扫描电子邮件？
如何从扫描中排除受信任的文件？
如何保护计算机免受闪存驱动器中的病毒的侵害？
如何运行对用户隐藏的病毒扫描？
如何临时暂停 Kaspersky Endpoint Security 的保护？
如何还原 Kaspersky Endpoint Security 错误删除的文
件？
如何保护 Kaspersky Endpoint Security 不被用户卸载？
互联网
Kaspersky Endpoint Security 是否扫描加密连接
(HTTPS)？
如何允许用户只连接到受信任的 Wi-Fi 网络？
如何阻止社交网络？
应用程序
如何找出用户计算机上安装了哪些应用程序（资
产）？
如何防止运行计算机游戏？
如何验证“应用程序控制”是否已正确配置？
如何将应用程序添加到受信任列表？
设备
如何阻止使用闪存驱动器？
如何将设备添加到受信任列表？
是否能获取对阻止的设备的访问权限？
加密
在哪些条件下无法进行加密？
如何使用密码限制对压缩文件的访问？
是否能使用加密的智能卡和令牌？
如果未与 Kaspersky Security Center 连接，是否
能访问加密数据？
如果计算机操作系统出现故障但数据仍然加密，
应该怎么办？
支持
报告文件存储在何处？
如何创建跟踪文件？
如何启用转储写入？
常见问题回答
1. 数据加密：
2. 验证反病毒数据库和应用程序模块数字签名的新算法遵从 GOST 34.10-2012/34.11-2012 标准。

运行“更新”和“完整性检查”任务时，应用程序将检查数字签名。

需要使用 GOST 34.10-2012/34.11-2012 数字签名验证算法来对应用程序进行认证。

3. 现在，活动策略的名称和 Kaspersky Security Center 管理组的名称将显示在 Kaspersky Endpoint Security 的本地界面中。

通过单击 Kaspersky Endpoint Security 主窗口中的“”按钮，可以查看活动策略的名称和管理组的名称。

4. 增加了合并不同级别的策略中的项目的可能性：受信任设备（设备控制）、受信任程序（信任区域）、扫描排除项（信任区域）。

您可以在子策略级别将项目添加到父策略。

例如，这样您就可以创建整个组织的受信任应用程序的合并列表。

5. 更改了默认防火墙设置。

默认情况下，Kaspersky Endpoint Security 现在允许使用远程桌面协议 (RDP)。

也就是说，默认情况下禁用网络数据包规则“远程桌面网络活动”。

在创建新策略或安装新版本的 Kaspersky Endpoint Security 时，将禁用对 RDP 流量的阻止。

6. 为 Kaspersky Endpoint Security 组件增加了“授权许可不支持”状态。

您可以在 Kaspersky Security Center 的计算机属性中查看组件的状态。

7. 增加了从加密连接扫描中排除 IP 地址的可能性（受信任地址）。

现在，您不仅可以向受信任地址列表添加域名，还可以添加 IP 地址。

例如，可以将受信任 IP 地址用于公司门户。

8. 增加了针对密码保护的密码复杂性检查。

检查密码后，如果密码太简单，Kaspersky Endpoint Security 将提示用户按照密码强度要求更改密码。

9. 支持使用 Kaspersky Security Center 云控制台管理应用程序。

Kaspersky Security Center 云控制台是
Kaspersky Security Center 的云版本。

这意味着 Kaspersky Security Center 的管理服务器和其他组件安装在卡巴斯基云基础架构中。

使用 Kaspersky Security Center 云控制台，您可以远程安装 Kaspersky Endpoint
Security 并配置应用程序设置。

并非所有 Kaspersky Endpoint Security 组件在 Kaspersky Security Center 云控制台中都可用。

例如，“数据加密”不可用。

新闻
Kaspersky Endpoint Security 11.3.0 for Windows 提供了以下功能和改进：增加了以“来宾”用户身份访问可移动驱动器上的加密文件的便携模式。

这意味着，将可移动驱动器上的加密文件连接到受 Kaspersky Endpoint Security 保护并启用了文件级加密的第三方计算机时，您可以获取这些文件的透明访问权限。

为此，用户需要输入用户设置的用于加密文件的密码。

如果用户忘记了密码，现在也可以使用恢复过程。

在 Windows 恢复环境 (WinRE) 中自动添加卡巴斯基磁盘加密 (FDE) 技术的驱动程序。

在受到卡巴斯基磁盘加密技术保护的计算机上恢复操作系统时，向 WinRE 添加驱动程序可以提高应用程序的稳定性。

驱动程序将在安装过程中添加到 WinRE 中。

数据加密组件已添加到 Kaspersky Endpoint Security Web 插件中：卡巴斯基磁盘加密 (FDE)、BitLocker 驱动器加密 (FDE)、文件级加密 (FLE)、可移动驱动器加密。

因此，您不仅可以在管理控制台 (MMC) 中配置加密策略，还可以在 Web Console 中配置。

支持
Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security for Windows （以下简称 Kaspersky Endpoint Security ）为计算机提供全面保护，阻止各种类型的威胁、网络攻击和钓鱼攻击。

每种类型的威胁均由专门的组件应对。

各个组件均可独立启用或禁用，并可以配置其设置。

下列程序组件是控制组件：。

该组件可记录用户启动应用程序和管理应用程序启动的操作。

该组件可让您为数据存储设备（例如硬盘驱动器、可移动驱动器和 CD/DVD ）、数据传输设备（例如调制解调器）、将信息转为硬拷贝的设备（例如打印机）或者用于将设备连接计算机的接口（例如USB 、蓝牙）配置灵活的访问限制。

该组件让您对不同的用户组访问网页资源设置灵活限制。

该组件会监视并控制不是受保护计算机典型操作的潜在有害操作。

应用程序控制设备控制Web 控制自适应异常控制下列应用程序组件是保护组件：。

该组件获取您计算机上的应用程序操作的信息，并将此信息提供给其他组件以实现更有效的保护。

该组件跟踪由易于感染的应用程序运行的可执行文件。

当存在从易于感染的应用程序运行可执行文件的尝试，并且该尝试并非由用户发起时，Kaspersky Endpoint Security 将阻止该文件运行。

该组件可记录应用程序在操作系统中的行为并根据受信任的应用程序组管理应用程序活动。

每组应用程序均有一套指定的规则。

这些规则将管理应用程序访问用户个人数据和操作系统资源。

此类数据包括“我的文档”文件夹中的用户文件、cookie 、用户活动日志文件以及包含最常用应用程序的设置和重要信息的文件、文件夹和注册表项。

该组件允许 Kaspersky Endpoint Security 回滚恶意软件在操作系统中执行的操作。

该组件负责保护计算机的文件系统免受感染。

该组件在 Kaspersky Endpoint Security 启动后立即启动；它持续驻留在计算机 RAM 中，并扫描在计算机及所有已连接的存储设备上打开、保存或启动的所有文件。

该组件会拦截所有访问文件的企图，并扫描该文件是否包含病毒和其他威胁。

该组件会扫描通过 HTTP 和 FTP 协议到达用户计算机的流量，并检查网址是否为恶意网址或钓鱼网站。

该组件扫描传入和传出电子邮件消息是否有病毒和其他恶意软件。

该组件将扫描接收的网络流量以查找常见的网络攻击活动。

检测到针对您计算机网络的攻击企图时，Kaspersky Endpoint Security 将阻止来自攻击计算机的网络活动。

当计算机连接到互联网或本地网络时，该组件可保护存储于计算机上的个人数据，并阻止大多数针对操作系统的威胁。

该组件可以防止受感染的模拟键盘的 USB 设备连接至计算机。

该组件根据来自第三方应用程序的请求扫描对象，并通知请求应用程序有关扫描结果的信息。

行为检测漏洞利用防御主机入侵防御修复引擎文件威胁防护Web 威胁防护邮件威胁防护网络威胁防护防火墙BadUSB 攻击防护AMSI 保护提供程序除了程序组件提供的实时保护外，我们还建议您定期扫描计算机病毒和其他威胁。

这有助于排除传播未被保护组件检测到（例如，由于安全级别低）的恶意软件的可能性。