Kaspersky Endpoint Security 12 for Windows

AMSI 保护

2024年2月14日

ID 176740

AMSI 保护组件旨在支持 Microsoft 的反恶意软件扫描接口。反恶意软件扫描接口 (AMSI) 允许具有 AMSI 支持的第三方应用程序将对象(例如,PowerShell 脚本)发送到 Kaspersky Endpoint Security 进行附加扫描,然后接收这些对象的扫描结果。例如,第三方应用程序可能包括 Microsoft Office 应用程序(请参见下图)。有关 AMSI 的详细信息,请参阅 Microsoft 文档

AMSI 保护组件只能检测威胁并将检测到的威胁通知给第三方应用程序。在收到威胁通知后,第三方应用程序不允许执行恶意操作(例如,终止)。

AMSI 操作示例

AMSI 保护组件可能会拒绝第三方应用程序的请求,例如,如果该应用程序超出了指定间隔内的最大请求数。Kaspersky Endpoint Security 将有关来自第三方应用程序的被拒绝请求的信息发送至管理服务器。AMSI 保护组件不会拒绝来自已启用与 AMSI 保护组件持续集成的第三方应用程序的请求。

AMSI 保护组件可用于以下适用于工作站和服务器的操作系统:

  • Windows 10 Home / Pro / Pro for Workstations / Education / Enterprise / Enterprise multi-session;
  • Windows 11 Home / Pro / Pro for Workstations / Education / Enterprise;
  • Windows Server 2016 Essentials / Standard / Datacenter (包括内核模式);
  • Windows Server 2019 Essentials / Standard / Datacenter (包括内核模式);
  • Windows Server 2022 Standard / Datacenter / Datacenter: Azure Edition。

    AMSI 保护设置

    参数

    描述

    扫描压缩包

    扫描 ZIP、GZIP、BZIP、RAR、TAR、ARJ、CAB、LHA、JAR、ICE 和其他压缩包。应用程序不仅按扩展名扫描压缩包,还按格式扫描压缩包。当检查存档时,应用程序执行递归解包。这允许检测多级存档(存档中的存档)中的威胁。

    扫描分发包

    该复选框用于启用/禁用对第三方分发包的扫描。

    扫描 Microsoft Office 格式文件

    扫描 Microsoft Office 文件(DOC、DOCX、XLS、PPT 和其他 Microsoft 扩展程序)。Office 格式文件也包括 OLE 对象。Kaspersky Endpoint Security 扫描小于 1 MB 的 office 格式文件,无论该复选框是否被选中。

    复合文件大于指定值时不解压

    如果选中该复选框,应用程序不会扫描其大小超过指定值的复合文件。

    如果清除该复选框,应用程序将扫描所有大小的复合文件。

    应用程序扫描从存档中提取的大文件,无论是否选择该复选框。

另请参阅:通过本地界面管理应用程序

启用和禁用 AMSI 保护

使用 AMSI 保护扫描复合文件

Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.