使用卡巴斯基安全网络时的数据提供

Kaspersky Endpoint Security 发送到 Kaspersky 的数据集取决于授权许可类型和卡巴斯基安全网络使用设置。

在不多于 4 台计算机的授权许可下使用 KSN

同意卡巴斯基安全网络声明，表示您同意自动发送以下信息：

• 有关 KSN 配置更新的信息：活动配置的标识符、收到的配置的标识符、配置更新的错误代码；
• 有关要扫描的文件和 URL 地址的信息：所扫描文件的校验和（MD5、SHA2-256、SHA1）和文件模式 (MD5)，模式大小，检测到的威胁的类型及其在权利持有人分类中的名称，反病毒数据库的标识符，其信誉被请求的 URL 地址，以及引用页 URL 地址，连接协议的标识符和使用的端口号；
• 检测到威胁的扫描任务 ID；
• 有关需要用来验证真实性的数字证书的信息：用于对扫描的对象进行签名的证书的校验和 (SHA256) 以及证书的公钥；
• 执行扫描的软件组件的标识符；
• 反病毒数据库的 ID 以及这些反病毒数据库中的记录的 ID；
• 有关计算机上的软件激活的信息：来自激活服务的已签名票证头（区域激活中心的标识符、激活码的校验和、票证的校验和、票证创建日期、票证的唯一标识符、票证版本、授权许可状态、票证有效期的开始/结束日期和时间、授权许可的唯一标识符、授权许可版本），用于对票证头签名的证书的标识符，密钥文件的校验和 (MD5)；
• 有关权利持有人的软件的信息：完整版本、类型、用于连接到 Kaspersky 服务的协议的版本。

在大于等于 5 台计算机的授权许可下使用 KSN

同意卡巴斯基安全网络声明，表示您同意自动发送以下信息：

如果选中“卡巴斯基安全网络”复选框并且清除“启用扩展 KSN 模式”复选框，则应用程序发送以下信息：

• 有关 KSN 配置更新的信息：活动配置的标识符、收到的配置的标识符、配置更新的错误代码；
• 有关要扫描的文件和 URL 地址的信息：所扫描文件的校验和（MD5、SHA2-256、SHA1）和文件模式 (MD5)，模式大小，检测到的威胁的类型及其在权利持有人分类中的名称，反病毒数据库的标识符，其信誉被请求的 URL 地址，以及引用页 URL 地址，连接协议的标识符和使用的端口号；
• 检测到威胁的扫描任务 ID；
• 有关需要用来验证真实性的数字证书的信息：用于对扫描的对象进行签名的证书的校验和 (SHA256) 以及证书的公钥；
• 执行扫描的软件组件的标识符；
• 反病毒数据库的 ID 以及这些反病毒数据库中的记录的 ID；
• 有关计算机上的软件激活的信息：来自激活服务的已签名票证头（区域激活中心的标识符、激活码的校验和、票证的校验和、票证创建日期、票证的唯一标识符、票证版本、授权许可状态、票证有效期的开始/结束日期和时间、授权许可的唯一标识符、授权许可版本），用于对票证头签名的证书的标识符，密钥文件的校验和 (MD5)；
• 有关权利持有人的软件的信息：完整版本、类型、用于连接到 Kaspersky 服务的协议的版本。

如果除“卡巴斯基安全网络 ”复选框外还选中了“启用扩展 KSN 模式”复选框，则除上面列出的信息外，应用程序还会发送以下信息：

• 有关对请求的包含主机的被处理 URL 和 IP 地址的 Web 资源进行分类的结果的信息，执行分类的软件组件的版本，分类方法，以及针对 Web 资源定义的类别集；
• 有关计算机上安装的软件的信息：软件应用程序和软件供应商的名称，注册表项及其值，已安装的软件组件的文件信息（校验和（MD5、SHA2-256、SHA1）、名称、文件在计算机上的路径、大小、版本和数字签名）；
• 计算机反病毒保护状态的信息：正在使用的反病毒数据库的版本和发布时间戳、任务的 ID 和执行扫描的软件的 ID；
• 有关最终用户正在下载的文件的信息：下载的文件和下载页的 URL 和 IP 地址，下载协议标识符和连接端口号，表示 URL 是否为恶意的状态，文件的属性、大小和校验和（MD5、SHA2-256、SHA1），下载文件的进程的相关信息（校验和（MD5、SHA2-256、SHA1）、创建/构建日期和时间、自动运行状态、属性、打包程序的名称、签名信息、可执行文件标志、格式标识符和熵），文件名及其在计算机上的路径，文件的数字签名及其生成时的时间戳，发生检测的 URL 地址，页面上看上去可疑或有害的脚本的编号，有关生成的 HTTP 请求以及对它们的响应的信息；
• 有关正在运行的应用程序及其模块的信息：系统中正在运行的进程的数据（进程 ID (PID)，进程名称，有关启动进程的账户的信息，启动进程的应用程序和命令，受信任程序或进程的标志，进程文件的完整路径及其校验和（MD5、SHA2-256、SHA1），启动命令行，进程完整性级别，进程所属产品的描述（产品名称和发布者详细信息），以及所使用的数字证书和验证它们的真实性所需的信息或者关于是否缺少文件数字签名的信息），以及有关加载到进程中的模块的信息（模块的名称、大小、类型、创建日期、属性、校验和（MD5、SHA2-256、SHA1）以及在计算机上的路径），PE 文件头信息，打包程序的名称（如果文件已打包）；
• 有关所有潜在恶意对象和活动的信息：检测到的对象的名称，计算机上对象的完整路径，所处理文件的校验和（MD5、SHA2-256、SHA1），检测日期和时间，感染文件的名称、大小和路径，路径模板代码，可执行文件标志，表示对象是否为容器的指示器，打包程序名称（如果文件已打包），文件类型代码，文件格式 ID，恶意软件执行的操作列表以及软件和用户针对其做出的响应决策，反病毒数据库的 ID 和这些反病毒数据库中用于制定决策的记录的 ID，潜在恶意对象的指示器，检测到的威胁在权利持有人分类中的名称，危险等级，检测状态和检测方法，包含在已分析上下文中的原因及上下文中文件的序列号，校验和（MD5、SHA2-256、SHA1），用于发送感染消息或链接的应用程序的可执行文件的名称和属性，被阻止对象的主机的去个性化 IP 地址（IPv4 和 IPv6），文件熵，文件自动运行指示器，在系统中首次检测到文件的时间，上次发送统计信息后文件被执行的次数，通过其收到恶意对象的邮件客户端的名称、校验和（MD5, SHA2-256, SHA1）和大小，执行扫描的软件任务的 ID，表示文件信誉或签名是否经过检查的指示器，文件处理结果，为对象收集的模式的校验和 (MD5)，模式大小（以字节为单位），以及使用的检测技术的技术规格；
• 有关扫描的对象的信息：文件移入或移出的指定信任组，将文件移入该类别的理由，类别标识符，有关类别源的信息和类别数据库版本，文件的受信任证书标志，文件的供应商名称，文件版本，包含该文件的软件应用程序的名称和版本；
• 有关检测到的漏洞的信息：漏洞数据库中的漏洞 ID，漏洞危险等级；
• 有关可执行文件模拟的信息：文件大小及其校验和（MD5、SHA2-256、SHA1），模拟组件的版本，模拟深度，模拟过程中获得的逻辑块内的一系列属性和函数，可执行文件的 PE 头中的数据；
• 发起攻击的计算机的 IP 地址（IPv4 和 IPv6），被当作网络攻击目标的计算机端口号，包含攻击的 IP 数据包的协议的标识符，攻击目标（组织名称、网站），攻击响应标记，攻击的权重，信任等级；
• 有关与欺诈网络资源相关的攻击的信息，所访问网站的 DNS 和 IP 地址（IPv4 和 IPv6）；
• 请求的 Web 资源的 DNS 和 IP 地址（IPv4 或 IPv6），有关访问该 Web 资源的文件和 Web 客户端的信息，文件的名称、大小和校验和（MD5、SHA2-256、SHA1），文件的完整路径和路径模板代码，检查其数字签名的结果，及其在 KSN 中的状态；
• 有关恶意软件操作回滚的信息：有关其活动被回滚的文件的数据（文件名、文件的完整路径、文件的大小和校验和（MD5、SHA2-256、SHA1）），有关删除、重命名和复制文件以及还原注册表中的值（注册表项的命令和值）的成功和失败操作的数据，有关恶意软件修改的系统文件的信息（回滚前后）；
• 有关为自适应异常控制组件设置的排除项的信息：触发的规则的 ID 和状态，触发规则时软件执行的操作，进程或线程执行可疑活动时所用的用户账户的类型，以及有关受可疑活动支配的进程的信息（脚本 ID 或进程文件名，进程文件的完整路径，路径模板代码，进程文件的校验和（MD5、SHA2-256、SHA1））；有关执行了可疑操作的对象的信息以及受可疑活动支配的对象的信息（注册表项名称或文件名，文件的完整路径，路径模板代码和文件的校验和（MD5、SHA2-256、SHA1））。
• 有关加载的软件模块的信息：模块文件的名称、大小和校验和（MD5、SHA2-256、SHA1），模块文件的完整路径和路径模板代码，模块文件的数字签名设置，签名创建数据和时间，为模块文件签名的主体和组织的名称，加载模块的进程的 ID，模块供应商的名称，以及加载队列中模块的序列号；
• 有关软件与 KSN 服务的交互质量的信息：生成统计信息的时间段的开始和结束日期及时间，有关对所用的每个 KSN 服务的请求和连接的质量的信息（KSN 服务 ID，成功请求数量，含有来自缓存的响应的请求数量，不成功请求数量（网络问题、软件设置中禁用 KSN、路由不正确），成功请求的时间分布，取消的请求的时间分布，超出时间限制的请求的时间分布，与取自缓存的 KSN 的连接数，与 KSN 的成功连接数，与 KSN 的不成功连接数，成功事务数，不成功事务数，与 KSN 的成功连接的时间分布，与 KSN 的不成功连接的时间分布，成功事务的时间分布，不成功事务的时间分布）；
• 如果检测到潜在恶意对象，将提供进程的内存中的数据的相关信息：系统对象层次结构 (ObjectManager) 的元素、UEFI BIOS 内存中的数据、注册表项的名称及其值；
• 有关系统日志中的事件的信息：事件的时间戳，在其中发现事件的日志的名称，事件的类型和类别，事件来源的名称和事件的描述；
• 有关网络连接的信息：启动了开启端口的进程的文件的版本和校验和（MD5、SHA2-256、SHA1），进程文件的路径和数字签名，本地和远程 IP 地址，本地和远程连接端口号，连接状态，端口开启时间戳；
• 有关计算机上软件安装和激活日期的信息：销售授权许可的合作伙伴的 ID、授权许可的序列号、来自激活服务的票证的签名页眉（区域激活中心的 ID、激活代码的校验和、票证的校验和、票证的创建日期、票证的唯一 ID、票证版本、授权许可状态、票证开始/结束日期和时间、授权许可的唯一 ID、授权许可版本）、用于签署票证头的证书 ID、密钥文件的校验和（MD5）、计算机上软件安装的唯一 ID、更新的应用程序的类型和 ID、更新任务的 ID；
• 有关所有已安装的更新集的信息以及最近安装/删除的更新集的信息，导致发送更新信息的事件的类型，上次安装更新后经过的时间，有关任何当前已安装的反病毒数据库的信息；
• 有关计算机上的软件运行的信息：CPU 使用率数据，内存使用率数据（专用字节，未分页缓冲池，分页缓冲池），软件进程中的活动线程数和挂起线程数，以及错误发生前的软件运行时间；
• 自软件安装以来和上次更新以来软件转储和系统转储 (BSOD) 的次数，崩溃的软件模块的标识符和版本，软件进程中的内存堆栈，以及崩溃时的反病毒数据库的相关信息；
• 有关系统转储 (BSOD) 的数据：指示计算机上发生 BSOD 的标志，导致 BSOD 的驱动程序的名称，驱动程序中的地址和内存堆栈，指示发生 BSOD 之前操作系统会话持续时间的标志，崩溃的驱动程序的内存堆栈、存储的内存转储的类型，指示 BSOD 之前操作系统会话持续 10 分钟以上的标志、转储的唯一标识符，BSOD 的时间戳；
• 有关软件组件运行期间出现的错误或性能问题的信息：软件的状态 ID，错误类型，代码和原因以及发生错误的时间，组件的 ID，出现错误的产品的组件、模块和进程的 ID，出现错误的任务或更新类别的 ID，软件使用的驱动程序的日志（错误代码、模块名称、源文件的名称和出现错误的行）；
• 有关反病毒数据库和软件组件更新的信息：在上次更新过程中下载以及当前更新过程中正在下载的索引文件的名称、日期和时间；
• 有关软件操作异常终止的信息：转储的创建时间戳、类型，导致软件操作异常终止的事件的类型（意外断电、第三方应用程序崩溃），意外断电的日期和时间；
• 有关软件驱动程序与硬件和软件的兼容性的信息：有关限制软件组件功能的操作系统属性的信息（安全启动、KPTI、WHQL 强制、BitLocker、区分大小写），安装的下载软件的类型（UEFI、BIOS），受信任平台模块 (TPM) 标识符，TPM 规范版本，有关计算机上安装的 CPU 的信息，代码完整性和 Device Guard 的运行模式和参数，驱动程序的运行模式和使用当前模式的原因，软件驱动程序的版本，计算机的软件和硬件虚拟化支持状态；
• 有关导致出错的第三方应用程序的信息：应用程序名称、版本和本地化，系统应用程序日志中关于该错误的错误代码和信息，发生错误的地址和第三方应用程序的内存堆栈，指示软件组件中出现错误的标志，出错之前第三方应用程序的运行时长，出错的应用程序进程映像的校验和（MD5、SHA2-256、SHA1），应用程序进程映像的路径和路径模板代码，系统日志中与该应用程序相关的错误说明信息，发生错误的应用程序模块的相关信息（异常标识符，应用程序模块中偏移量形式的崩溃内存地址，模块的名称和版本，权利持有人插件中的应用程序崩溃标识符以及崩溃的内存堆栈，崩溃之前应用程序会话的持续时间）；
• 软件更新程序组件的版本，在组件的生命周期内运行更新任务时更新程序组件崩溃的次数，更新任务类型的 ID，更新程序组件完成更新任务的失败尝试次数；
• 有关软件系统监控组件运行的信息：组件的完整版本，启动组件时的日期和时间，溢出事件队列的事件的代码及此类事件的数量，队列溢出事件的总数，有关事件的发起程序的进程的文件的信息（文件名及其在计算机上的路径、文件路径的模板代码、与文件关联的进程的校验和（MD5、SHA2-256、SHA1）、文件版本），发生的事件拦截的标识符，拦截筛选器的完整版本，拦截的事件的类型的标识符，事件队列的大小和队列中第一个事件与当前事件之间的事件数量，队列中过期事件的数量，有关当前事件的发起程序进程的文件的信息（文件名及其在计算机上的路径，文件路径的模板代码，与文件关联的进程的校验和（MD5、SHA2-256、SHA1）），事件处理持续时间，事件处理最大持续时间，发送统计信息的概率，有关超过处理时间限制的操作系统事件的信息（事件的日期和时间，反病毒数据库的重复初始化次数，反病毒数据库更新后最近一次重复初始化的日期和时间，每个系统监控组件的事件处理延迟时间，排队的事件数量，已处理的事件数量，当前类型的延迟事件数量，当前类型的事件的总延迟时间，所有事件的总延迟时间）；
• 发生软件问题时来自 Windows 事件跟踪工具（Windows 事件跟踪，ETW）的信息，Microsoft 的 SysConfig/SysConfigEx/WinSATAssessment 事件的提供方：有关计算机的信息（型号、制造商、外壳外形规格、版本），有关 Windows 性能度量标准的信息（WinSAT 评估、Windows 性能指标），域名，有关物理和逻辑处理器的信息（物理和逻辑处理器数量、制造商、型号、步进等级、核心数、时钟频率、CPUID、缓存特征、逻辑处理器特征、指示的模式和指令的指示器），有关 RAM 模块的信息（类型、外形规格、制造商、型号、容量、内存分配粒度），有关网络接口的信息（IP 和 MAC 地址、名称、描述、网络接口配置、网络数据包按类型细分的数量和大小、网络交换速度、网络错误按类型细分的数量），IDE 控制器的配置，DNS 服务器的 IP 地址，有关视频卡的信息（型号、描述、制造商、兼容性、显存容量、屏幕权限、每像素位数，BIOS 版本），有关即插即用设备的信息（名称、描述、设备标识符 [PnP, ACPI]），有关磁盘和存储设备的信息（磁盘或闪存驱动器数量、制造商、型号、磁盘容量、柱面数、每柱面磁道数、每磁道扇区数、扇区容量、缓存特征、序号、分区数、SCSI 控制器配置），有关逻辑磁盘的信息（序号、分区容量、卷容量、卷号、分区类型、文件系统类型、簇数、簇大小、每簇扇区数、空簇和已占用簇的数量、可启动卷号、相对于磁盘起始处的偏移分区地址）。有关 BIOS 主板的信息（制造商、发布日期、版本），有关主板的信息（制造商、型号、类型），有关物理内存的信息（共享和可用容量），有关操作系统服务的信息（名称、描述、状态、标签、有关进程的信息 [名称和 PID]），计算机的能耗参数，中断控制器的配置，Windows 系统文件夹（Windows 和 System32）的路径，有关操作系统的信息（版本、内部版本号、发布日期、名称、类型、安装日期），页面文件大小，有关监视器的信息（编号、制造商、屏幕权限、分辨率能力、类型），有关视频卡驱动程序的信息（制造商、发布日期、版本）；
• 来自 ETW 的信息，Microsoft 的 EventTrace/EventMetadata 事件的提供方：有关系统事件序列的信息（类型、时间、日期、时区），带跟踪结果的文件元数据（名称、结构、跟踪参数、按类型细分的跟踪操作数），有关操作系统的信息（名称、类型、版本、内部版本号、发布日期、启动时间）；
• 来自 ETW 的信息，Microsoft 的进程/Microsoft Windows 内核进程/Microsoft Windows 内核处理器电源事件的提供方：有关已启动和已完成进程的信息（名称、PID、启动参数、命令行、返回代码、电源管理参数、启动和完成时间、访问令牌类型、SID、SessionID、已安装的描述符数），有关线程优先级变化的信息（TID、优先级、时间），有关进程的磁盘操作的信息（类型、时间、容量、编号），可用内存进程的结构和容量的更改历史记录；
• 来自 ETW 的信息，Microsoft 的 StackWalk/Perfinfo 事件的提供方：有关性能计数器的信息（单个代码段的性能、函数调用的序列、PID、TID 以及 ISR 和 DPC 的地址和属性）；
• 来自 ETW 的信息，Microsoft 的 KernelTraceControl-ImageID 事件的提供方：有关可执行文件和动态库的信息（名称、映像大小、完整路径），有关 PDB 文件的信息（名称、标识符），可执行文件的 VERSIONINFO 资源数据（名称、描述、创建者、本地化、应用程序版本和标识符、文件版本和标识符）；
• 来自 ETW 的信息，Microsoft 的 FileIo/DiskIo/映像/Windows 内核磁盘事件的提供方：有关文件和磁盘操作的信息（类型、容量、开始时间、完成时间、持续时间、完成状态、PID、TID、驱动程序函数调用地址、I/O 请求数据包 (IRP)、Windows 文件对象属性），有关文件和磁盘操作所涉及的文件的信息（名称、版本、大小、完整路径、属性、偏移、映像校验和、打开和访问选项）；
• 来自 ETW 的信息，Microsoft 的 PageFault 事件的提供方：有关内存页面访问错误的信息（地址、时间、容量、PID、TID、Windows 文件对象属性、内存分配参数）；
• 来自 ETW 的信息，Microsoft 的线程事件的提供方：有关线程创建/完成的信息，有关已启动的线程的信息（PID、TID、堆栈大小、CPU 资源的优先级和分配、 I/O 资源、线程间的内存页面、堆栈地址、初始函数地址、线程环境块 (TEB) 的地址、Windows 服务标签）；
• 来自 ETW 的信息，Microsoft 的 Windows 内核内存事件的提供方：有关内存管理操作的信息（完成状态、时间、数量、PID），内存分配结构（类型、容量、SessionID、PID）；
• 有关发生性能问题时软件操作的信息：软件安装标识符，性能下降的类型和值，有关软件内的事件序列的信息（时间、时区、类型、完成状态、软件组件标识符、软件运行场景标识符、TID、PID、函数调用地址），有关要检查的网络连接的信息（URL、连接方向、网络数据包大小），有关 PDB 文件的信息（名称、标识符、可执行文件的映像大小），有关要检查的文件的信息（名称、完整路径、校验和），软件性能监控参数；
• 有关操作系统上次重启失败的信息：操作系统安装以来重启失败的次数，系统转储数据（错误的代码和参数，导致操作系统运行出错的模块的名称、版本和校验和 (CRC32)，模块内偏移量形式的错误地址，系统转储的校验和（MD5、SHA2-256、SHA1））；
• 验证用于对文件进行签名的数字证书的真实性所需的信息：证书的指纹，校验和算法，证书的公钥和序列号，证书颁发者的名称，证书验证的结果和证书的数据库标识符；
• 有关对软件的自我防护执行攻击的进程的信息：进程文件的名称和大小，其校验和（MD5、SHA2-256、SHA1），进程文件的完整路径和文件路径的模板代码，创建/构建时间戳，可执行文件标志，进程文件的属性，用于对进程文件签名的证书的相关信息，用于启动进程的账户的代码，为访问进程所执行的操作的 ID，用于执行操作的资源的类型（进程，文件，注册表对象，FindWindow 搜索函数），用于执行操作的资源的名称，表示操作成功的标志，进程文件的状态及其在 KSN 中的签名；
• 有关权利人软件的信息：所用软件的完整版本、类型、本地化和运行状态、安装的软件组件的版本及其运行状态、安装的软件更新的信息、目标过滤器的值、用于连接到权利人服务的协议的版本；
• 有关计算机上安装的硬件的信息：类型、名称、型号名称、固件版本、内置和所连接设备的参数、带有已安装软件的计算机的唯一标识符；
• 有关操作系统和已安装更新的版本的信息，操作系统运行模式的字大小、版本和参数，操作系统内核文件的版本和检验和（MD5、SHA2-256、SHA1），以及操作系统启动日期和时间；
• 可执行和非可执行文件（完整或部分）；
• 计算机 RAM 的一部分；
• 操作系统引导过程中涉及的扇区；
• 网络流量数据包；
• 包含可疑对象和恶意对象的网页和电子邮件；
• WMI 存储库的类和类实例的描述；
• 应用程序分析报告：
  • 所发送文件的名称、大小和版本、其说明和校验和（MD5、SHA2-256、SHA1）、文件格式标识符、文件供应商名称、文件所属产品名称、计算机上文件的完整路径、路径的模板代码、文件的创建和修改时间戳；
  • 证书有效期的开始和结束日期/时间（如果文件有数字签名）、签名的日期和时间、证书颁发者的名称、证书持有人的信息、指纹、证书的公钥和适当的算法以及证书的序列号；
  • 运行进程的帐户的名称；
  • 运行进程的计算机名称的校验和（MD5、SHA2-256、SHA1）；
  • 进程窗口标题；
  • 反病毒数据库的标识符，根据权利人的分类检测到的威胁的名称；
  • 已安装软件授权许可的数据、ID、类型和到期日期；
  • 提供信息的计算机的本地时间；
  • 进程访问的文件的名称和路径；
  • 进程访问的注册表项名称及其值；
  • 进程访问的 URL 和 IP 地址；
  • 下载正在运行文件的 URL和 IP 地址。