Kaspersky Endpoint Security 12.1 for Linux

Kaspersky Endpoint Security 12.1 for Linux（“Kaspersky Endpoint Security”，“应用程序”）专门用于保护运行 Linux 操作系统的设备免受各种类型的威胁，包括网络和诈骗攻击。

该应用程序能够保护物理设备和虚拟机。可将 Kaspersky Endpoint Security 用作 Kaspersky Security for Virtualization Light Agent 的一部分，以保护运行 Linux 客户机操作系统的虚拟机。

该应用程序的以下功能组件和任务提供用于保护和控制设备的主要功能：

• 文件威胁防护可防止用户设备的文件系统受到感染。文件威胁防护组件在 Kaspersky Endpoint Security 启动时自动启动，并实时扫描所有打开、保存和启动的文件。

  您还可以使用以下扫描任务按需扫描受保护的设备：

  • 恶意软件扫描。应用程序扫描设备本地磁盘上的文件系统对象中以及通过 SMB 和 NFS 协议访问的已挂载和已共享的资源中是否存在恶意软件。您可以使用此任务对设备执行全盘扫描或自定义扫描。
  • 关键区域扫描。应用程序会扫描引导扇区、启动对象、进程内存和内核内存。
• 可移动驱动器扫描。可移动驱动器扫描组件允许您实时监控可移动驱动器与设备的连接，并扫描可移动驱动器及其引导扇区中是否存在恶意软件。Kaspersky Endpoint Security 会扫描以下可移动驱动器：CD、DVD、蓝光光盘、闪存驱动器（包括 USB 调制解调器）、外部硬盘驱动器和软盘。
• 容器扫描。容器扫描组件允许您实时扫描命名空间和正在运行的容器中是否存在恶意软件。支持与 Docker 容器管理系统、CRI-O 框架以及 Podman 和 runc 实用程序集成。您可以使用“容器扫描”任务按需扫描容器和镜像。
• Web 威胁防护。Web 威胁防护组件允许您扫描入站流量，防止从互联网下载恶意文件，还可以阻止网络钓鱼、广告软件和其他恶意网站。Kaspersky Endpoint Security 可以扫描加密连接。
• 网络威胁防护。使用网络威胁防护组件，您可以扫描入站网络流量，查找典型的网络攻击活动。
• 防火墙管理。防火墙管理组件允许您监控操作系统的防火墙设置，并根据您配置的网络数据包规则过滤所有网络活动。
• 反加密勒索。反加密勒索组件允许您扫描远程设备使用 SMB/NFS 协议通过网络访问对本地目录中文件的调用，防止文件受到远程恶意加密。
• 设备控制。设备控制组件允许您管理用户对已安装到或已连接到客户端设备的设备（例如，硬盘驱动器、摄像头或 Wi-Fi 模块）的访问。这样，您可以在连接外部设备时保护客户端设备免受感染，并防止数据丢失或泄漏。用户对设备的访问受您配置的访问制度和访问规则的约束。
• 应用程序控制。应用程序控制组件允许您管理用户设备上应用程序的启动。通过限制对应用程序的访问，能够降低设备感染的风险。应用程序启动受您配置的应用程序控制规则的约束。
• 清查。“清查”任务提供有关客户端设备上存储的所有应用程序可执行文件的信息。该信息可用于创建应用程序控制规则。
• Web 控制。Web 控制组件可控制用户对 Web 资源的访问。这样可以减少流量消耗和对工作时间的不当使用。如果用户尝试打开受 Web 控制限制访问的网站， Kaspersky Endpoint Security 会阻止访问或显示警告。
• 行为检测。行为检测组件允许您监控操作系统中应用程序的任何恶意活动。当检测到恶意活动时，Kaspersky Endpoint Security 可以终止执行恶意活动的应用程序进程。
• 系统完整性监控允许您跟踪操作系统的文件和目录更改。系统完整性监控组件实时监控组件设置中指定的监控范围内的对象所执行的操作。您可以使用“系统完整性检查”任务来按需检查系统的完整性。执行检查时，将监控范围内对象的当前状态与其初始状态进行比较，该初始状态先前已被确定为基线。

Kaspersky Endpoint Security 允许您检测感染对象并消除其中检测到的威胁。为此，该应用程序可以使用：

• 应用程序数据库来检测和清除受感染的文件。在扫描过程中，应用程序会分析每个文件是否存在威胁：它将文件代码与特定威胁的代码进行比较，并查找可能的匹配项。
• 卡巴斯基安全网络。使用卡巴斯基安全网络的数据可确保 Kaspersky Endpoint Security 能够更快地对各种威胁作出响应，提高一些保护组件的性能，并减少误报风险。

清除或删除文件之前，Kaspersky Endpoint Security 会在设备的备份中保存文件的备份副本。如果您在清除后部分或完全无法访问已清除文件中的重要信息，可以从备份副本恢复文件。

执行扫描任务时，Kaspersky Endpoint Security 可以清除并删除受修改保护的文件：具有不可变和仅追加属性的文件以及具有“不可变”和“仅追加”属性的目录中的文件。备份中会存储在清除或删除文件之前创建的文件副本。如有必要，您可以从备份副本恢复文件。当扫描任务完成后，已清除文件的“不可变”和“仅追加”属性将被重置。

Kaspersky Endpoint Security 可以在仅通知模式下运行。“仅通知”模式是应用程序的一种操作模式，如果检测到威胁，应用程序组件和任务不会尝试清除或删除恶意对象、拒绝访问或阻止应用程序的活动。应用程序仅会告知用户检测到威胁。

Kaspersky Endpoint Security 支持与其他卡巴斯基解决方案集成，以扩展应用程序的功能：

• 与 Kaspersky Managed Detection and Response 的集成可实现持续搜索、检测和消除针对您组织的威胁。
• 与 Kaspersky Anti Targeted Attack Platform 解决方案的组件 Kaspersky Endpoint Detection and Response (KATA) 进行集成可确保保护您组织的 IT 基础设施并及时检测威胁，包括零日攻击、针对性攻击和高级持续性威胁。
• 与 Kaspersky Endpoint Detection and Response Optimum 的集成可以保护组织的 IT 基础设施免受漏洞利用、勒索软件、无文件攻击以及攻击者使用合法系统工具损害设备或数据等威胁。

您可以将 Kaspersky Endpoint Security 用作容器应用程序（以下也称为“KESL 容器”），以嵌入到外部系统中来扫描存储库中的容器镜像。

如果在 Light Agent 模式下使用 Kaspersky Endpoint Security 来保护虚拟环境，则不支持 KESL 容器功能。

此外，还提供了其他应用程序功能来确保应用程序保持最新：

• 使用密钥文件或激活码来激活应用程序。

  如果在 Light Agent 模式下使用 Kaspersky Endpoint Security 来保护虚拟环境，将在 Protection Server（Kaspersky Hybrid Cloud Security for Virtualization Light Agent 的组件）上执行激活。

• 按计划并按需求通过管理服务器，从卡巴斯基更新服务器或者从用户指定的源更新数据库和应用程序模块。

  如果在 Light Agent 模式下使用 Kaspersky Endpoint Security 来保护虚拟环境，应用程序将从 Protection Server（Kaspersky Hybrid Cloud Security for Virtualization Light Agent 的组件）接收数据库和应用程序模块的更新。

• 根据用户角色控制用户对应用程序功能的访问。
• 将应用程序运行时发生的事件通知管理员。
• 使用完整性检查工具检查应用程序组件的完整性。

您可以使用以下方法来管理 Kaspersky Endpoint Security：

• 通过 Kaspersky Security Center Web Console、Kaspersky Security Center 云控制台或管理控制台使用 Kaspersky Security Center。
• 从命令行使用控制命令。
• 使用图形用户界面。

  如果在 Light Agent 模式下使用 Kaspersky Endpoint Security 来保护虚拟环境，则无法使用 Kaspersky Security Center 云控制台和图形用户界面来管理应用程序。

在美国境内，为遵守贸易限制，从 2024 年 9 月 10 日美国东部夏令时间 (EDT) 凌晨 12:00 开始，该应用程序将不再提供更新功能（包括反病毒签名更新和代码库更新）以及 KSN 功能。