虚拟机文件威胁防护

在本部分中，SVM 表示具有文件威胁防护组件的 SVM。

具有文件威胁防护组件的 SVM 可保护 VMware ESXi Hypervisor 上的虚拟机。Kaspersky Security 仅保护符合所有虚拟机保护条件的已开机虚拟机。

如果应用程序未激活或 SVM 上缺少应用程序数据库，Kaspersky Security 不保护虚拟机。

只有在您已通过使用策略启用保护时，Kaspersky Security 才能开始保护虚拟机。该策略定义了 SVM 在保护虚拟机免受文件威胁时应用的设置。

如果将保护配置文件分配给这些虚拟机，则会为虚拟机启用文件威胁防护。您可以分配在创建策略时自动生成的主保护配置文件，如果要对不同的虚拟基础架构对象使用不同的保护设置，则可以创建并分配额外的保护配置文件。

您可以将保护配置文件直接分配给虚拟机和其他虚拟基础架构对象。在为由单个 VMware vCenter Server 管理的虚拟基础架构定义保护设置的策略中，还可以通过将保护配置文件映射到 NSX 供应商模板或 NSX 配置文件配置来将保护配置文件分配给虚拟机（取决于您使用的 VMware NSX Manager 类型：VMware NSX-T Manager 或 VMware NSX-V Manager）。

当用户或应用程序尝试访问虚拟机文件时，Kaspersky Security 会扫描该文件。

• 如果在文件中未检测到病毒或其他恶意软件，Kaspersky Security 会授予对这些文件的访问权限。
• 如果在文件中检测到病毒或其他恶意软件，则 Kaspersky Security 会将“已感染”状态分配给该文件。如果扫描无法确定文件是否已感染（文件可能包含病毒或其他恶意软件的某个显示特征的代码序列，或者包含来自已知病毒的修改代码），Kaspersky Security 也会将“已感染”状态分配给该文件。

  Kaspersky Security 就会执行该虚拟机的保护配置文件内配置的操作，例如，清除或阻止文件。

如果虚拟机上安装了某应用程序收集信息并发送进行处理，Kaspersky Security 可能会把该应用程序分类为恶意软件。为避免这种情况，您可以把该应用程序排除在保护之外。排除列表在保护配置文件中进行配置。

特征码分析和机器学习扫描方法用于保护虚拟机。使用特征码分析和机器学习的保护提供了最低接受水平的安全级别。Kaspersky Security 使用包含有关已知威胁信息和有关使威胁无效的方法信息的应用程序数据库。根据卡巴斯基专家的建议，始终启用“特征码分析和机器学习”扫描方法。

此外，在虚拟机保护期间，将使用启发式分析。这是一个设计用于检测不能依靠卡巴斯基程序数据库检测的威胁的技术。启发式分析可以检测可能被尚未有数据库特征码的恶意软件，或者已知病毒的新变种感染的文件。在启发式分析过程中检测到威胁的文件被标记为已感染。

启发式分析级别取决于选定安全级别：

• 如果安全级别设置为低，则应用轻度启发式分析。扫描可执行文件查找恶意代码时，启发式分析器不会执行可执行文件中的所有指令。在该启发式分析级别，检测到威胁的可能性低于中度启发式分析级别的效果。扫描更快速并较少占用 SVM 的资源。
• 如果安全级别设置为推荐、高或自定义，则应用中度启发式分析级别。扫描文件以查找恶意代码时，启发式分析器将执行由卡巴斯基专家推荐的可执行文件中的一定数量的指令。

有关虚拟机保护期间发生的所有事件的信息记录在报告中。

建议您定期查看虚拟机保护期间阻止的文件的列表并进行管理。例如，您可以将文件副本保存在虚拟机用户无法访问或无法删除文件的位置。您可以在威胁报告中查看被阻止文件的详情，也可以根据已阻止文件事件过滤事件（请参见 Kaspersky Security Center 文档）。

若要访问由于虚拟机保护而阻止的文件，您必须从分配给虚拟机的保护配置文件设置中排除这些文件，或临时对这些虚拟机禁用保护。