管理文件威胁防护

Kaspersky Security 用于虚拟机保护的设置是使用策略定义的。

Kaspersky Security 仅保护已分配保护配置文件的开机虚拟机。

当用户或应用程序尝试访问虚拟机文件时，Kaspersky Security 会扫描该文件。

• 如果在文件中未检测到病毒或其他恶意软件，Kaspersky Security 会授予对这些文件的访问权限。
• 如果在文件中检测到病毒或其他恶意软件，则 Kaspersky Security 会将“已感染”状态分配给该文件。如果扫描无法确定文件是否已感染（文件可能包含病毒或其他恶意软件的某个显示特征的代码序列，或者包含来自已知病毒的修改代码），Kaspersky Security 也会将“已感染”状态分配给该文件。

  Kaspersky Security 就会执行该虚拟机的保护配置文件内配置的操作，例如，清除或阻止文件。

如果虚拟机上安装了某应用程序收集信息并发送进行处理，Kaspersky Security 可能会把该应用程序分类为恶意软件。为避免这种情况，您可以把该应用程序排除在保护之外。排除列表在保护配置文件中进行配置。

特征码分析和机器学习扫描方法用于保护虚拟机。使用特征码分析和机器学习的保护提供了最低接受水平的安全级别。Kaspersky Security 使用包含有关已知威胁信息和有关使威胁无效的方法信息的应用程序数据库。根据卡巴斯基专家的建议，始终启用“特征码分析和机器学习”扫描方法。

此外，在虚拟机保护期间，将使用启发式分析。这是一个设计用于检测不能依靠卡巴斯基程序数据库检测的威胁的技术。启发式分析可以检测可能被尚未有数据库特征码的恶意软件，或者已知病毒的新变种感染的文件。在启发式分析过程中检测到威胁的文件被标记为已感染。

启发式分析级别取决于选定安全级别：

• 如果安全级别设置为低，则应用轻度启发式分析。扫描可执行文件查找恶意代码时，启发式分析器不会执行可执行文件中的所有指令。在该启发式分析级别，检测到威胁的可能性低于中度启发式分析级别的效果。扫描更快速并较少占用 SVM 的资源。
• 如果安全级别设置为推荐、高或自定义，则应用中度启发式分析级别。扫描文件以查找恶意代码时，启发式分析器将执行由卡巴斯基专家推荐的可执行文件中的一定数量的指令。

有关在虚拟机保护期间发生的所有事件的信息将发送到 Kaspersky Security Center 管理服务器。

建议您定期查看虚拟机保护期间阻止的文件的列表并进行管理。例如，您可以将文件副本保存在虚拟机用户无法访问或无法删除文件的位置。您可以通过按已阻止文件事件过滤事件来查看被阻止文件的详情（有关事件的更多详细信息，请参见 Kaspersky Security Center 文档）。

若要访问由于虚拟机保护而阻止的文件，您必须从分配给虚拟机的保护配置文件设置中排除这些文件，或临时对这些虚拟机禁用保护。