文件威胁防护任务设置
2022年1月20日
ID 161284
本节提供可以为文件威胁防护任务指定的设置的有关信息。
描述了每个设置的所有可用值和默认值。
ScanArchived
启用或禁用存档(包括 SFX 自解压存档)的扫描。Kaspersky Endpoint Security 在压缩文件中检测到威胁,但是不清除它们。支持以下存档类型:.zip、.7z *、.7-z、.rar、.iso、.cab、.jar、.bz、.bz2、.tbz、.tbz2、.gz、.tgz、.arj。
可用值:
Yes
—扫描存档。如果指定 FirstAction=Recommended
,则应用程序将删除包含威胁的存档。
No
—不扫描存档
默认值:No
ScanSfxArchived
启用或禁用仅扫描自解压缩存档文件(包含可执行文件提取模块的存档文件)。
可用值:
Yes
—扫描自解压存档
No
—不扫描自解压存档
默认值:No
ScanMailBases
启用或禁用扫描 Microsoft Outlook®、Outlook Express、The Bat! 和其它邮件客户端的电子邮件数据库。
可用值:
Yes
—扫描电子邮件数据库
No
—不扫描电子邮件数据库
默认值:No
ScanPlainMail
启用或禁用扫描纯文本电子邮件正文。
可用值:
Yes
—扫描纯文本电子邮件正文
No
—不扫描纯文本电子邮件正文
默认值:No
SizeLimit
指定要扫描的对象的最大大小(以兆为单位)。如果要扫描的对象大于指定的值,则 Kaspersky Endpoint Security 将跳过该对象。
可用值:
0 – 999,999
0
—Kaspersky Endpoint Security 扫描任何大小的对象
默认值:0
TimeLimit
指定对象扫描的最大持续时间(以秒为单位)。如果花费的时间超过此参数指定的秒数,则 Kaspersky Endpoint Security 将停止扫描对象。
可用值:
0 – 9999
0
—对象扫描持续时间不受限制
默认值:60
FirstAction
选择 Kaspersky Endpoint Security 将对受感染对象执行的第一项操作。
在文件威胁防护任务中,在对对象执行您指定的操作之前,Kaspersky Endpoint Security 会阻止尝试访问该对象的应用程序访问该对象。
可用值:
消除
—Kaspersky Endpoint Security 尝试通过将对象的副本保存在存储中来对对象进行清除。如果清除失败(例如,如果无法清除对象类型或对象中的威胁类型),则 Kaspersky Endpoint Security 会保持对象不变。如果第一项操作设置为Cure
,则推荐使用 SecondAction
设置来指定第二项操作。
Remove
—Kaspersky Endpoint Security 在创建受感染对象的备份副本后将其删除
Recommended
(执行推荐的操作)—Kaspersky Endpoint Security 根据对象中检测到的威胁的有关信息自动选择该对象并对其执行操作。例如,Kaspersky Endpoint Security 会立即删除木马,因为它们不会将自身整合到其他文件中,因此不需要进行清除。
Block
—Kaspersky Endpoint Security 阻止对受感染对象的访问。已记录受感染对象信息
默认值:Recommended
SecondAction
选择 Kaspersky Endpoint Security 将对受感染对象执行的第二项操作。如果第一项操作失败,则 Kaspersky Endpoint Security 将执行第二项操作。
SecondAction
设置的值与 FirstAction
设置的值相同。
如果选择了Block
或Remove
作为第一项操作,则无需指定第二项操作。其他情况下推荐指定两项操作。如果您没有指定第二项操作,则 Kaspersky Endpoint Security 将应用Block
作为第二项操作。
默认值:Block
UseExcludeMasks
启用或禁用使用 ExcludeMasks
设置指定的对象的扫描排除项。
可用值:
Yes
—排除使用 ExcludeMasks
设置指定的对象
No
—不排除使用 ExcludeMasks
设置指定的对象
默认值:No
ExcludeMasks
按名称或掩码从扫描中排除对象。您可以使用此设置来按名称从指定的扫描范围中排除单个文件,或者使用命令 Shell 格式的掩码一次性排除多个文件。
默认值为未定义。
例如:
|
UseExcludeThreats
启用或禁用带有使用 ExcludeThreats
设置指定威胁的对象的扫描排除项。
可用值:
Yes
—从扫描中排除包含使用 ExcludeThreats
设置指定的威胁的对象
No
—不从扫描中排除包含使用 ExcludeThreats
设置指定的威胁的对象
默认值:No
ExcludeThreats
按对象中检测到的威胁的名称从扫描中排除对象。在为此设置指定值之前,请确保已启用 UseExcludeThreats
设置。
为了从扫描中排除单个对象,请指定在该对象中检测到的威胁的全名 – Kaspersky Endpoint Security 确定该对象已被感染的字符串。
例如,您可能正在使用实用程序来收集有关您的网络的信息。要保持 Kaspersky Endpoint Security 对其进行阻止,请将其中包含的威胁的全名添加到扫描所排除的威胁列表中。
您可以在 Kaspersky Endpoint Security 日志中找到该对象中检测到的威胁的全名。您也可以在病毒百科全书的网站上找到威胁的全名。要查找威胁的名称,请在“搜索”字段中输入应用程序名称。
该设置值区分大小写。
默认值为未定义。
例如:
|
ReportCleanObjects
启用或禁用记录 Kaspersky Endpoint Security 认为未感染的已扫描对象的有关信息。
例如,您可以启用此设置,以确保 Kaspersky Endpoint Security 已扫描了特定对象。
可用值:
Yes
—记录有关未感染的对象的信息
No
—不记录有关未感染的对象的信息
默认值:No
ReportPackedObjects
启用或禁用记录作为复合对象一部分的已扫描对象的有关信息。
例如,您可以启用此设置,以确保 Kaspersky Endpoint Security 已扫描存档中的对象。
可用值:
Yes
—记录有关扫描存档中对象的信息
No
—不记录有关扫描存档中对象的信息
默认值:No
ReportUnprocessedObjects
启用或禁用记录有关未扫描对象的信息。
可用值:
Yes
—记录有关未扫描对象的信息
No
—不记录有关未扫描对象的信息
默认值:No
UseAnalyzer
启用或禁用启发式分析器。
启发式分析可帮助应用程序检测威胁,甚至在病毒分析人员尚未意识到威胁之前。
可用值:
Yes
—启用启发式分析器
No
—禁用启发式分析器
默认值:Yes
HeuristicLevel
启发式分析级别。
您可以指定启发式分析级别。启发式分析级别在威胁搜索的全面性、操作系统资源的负载以及扫描持续时间之间建立平衡。启发式分析级别越高,扫描所需的资源和时间就越多。
可用值:
Light
—扫描最不全面,系统负载最小
Medium
—中度启发式分析级别,操作系统负载平衡
Deep
—最全面的扫描,操作系统负载最大
Recommended
—推荐值
默认值:Recommended
UseIChecker
启用或禁用 iChecker 技术。
可用值:
Yes
—启用 iChecker 技术的使用
No
—禁用 iChecker 技术的使用
默认值:Yes
ScanByAccessType
您可以使用此设置来指定文件威胁防护模式。ScanByAccessType
设置仅在文件威胁防护任务中应用。
可用值:
SmartCheck
—当有人尝试打开文件时对其进行扫描,如果文件已被修改,则当有人尝试关闭它时再次进行扫描。如果某个进程在其操作过程中多次访问该对象并对其进行修改,则仅当该进程最后一次关闭该对象时,应用程序才会再次扫描该对象。
OpenAndModify
—当有人尝试打开文件时对其进行扫描,如果文件已被修改,则当有人尝试关闭它时再次进行扫描
打开
—当有人尝试打开文件以进行读取或执行或修改时对其进行扫描
默认值:SmartCheck
[ScanScope.item_#]
部分包含以下设置:
AreaDesc
扫描范围的说明,其中包含有关扫描范围的其他信息。使用此设置指定的字符串的最大长度为 4096 个字符。
默认值:所有对象
例如:
|
UseScanArea
此设置启用或禁用指定范围的扫描。要运行该任务,您必须至少包括一个要扫描的区域。
可用值:
Yes
—扫描指定的范围
No
—不扫描指定的范围
默认值:Yes
AreaMask
您可以使用此设置来限制扫描范围。
在扫描范围内,Kaspersky Endpoint Security 仅扫描使用命令 Shell 掩码指示的文件。
如果未指定此设置,则 Kaspersky Endpoint Security 会扫描扫描范围内的所有对象。您可以为此设置指定多个值。
默认值:*
(扫描所有对象)
例如:
|
Path
您可以使用此设置指定要扫描的对象的路径。
路径
设置的值包含两个元素:<文件系统类型>:<访问协议>
。它还可能包含本地文件系统中目录的路径。
可用值:
<path to local directory>
—扫描指定目录中的对象
Shared:NFS
—扫描可通过 NFS 协议访问的计算机文件系统资源
Shared:SMB
—扫描可通过 SMB 协议访问的计算机文件系统资源
AllRemoteMounted
—扫描使用 SMB 和 NFS 协议挂载到计算机上的所有远程目录
AllShared
—扫描通过 SMB 和 NFS 协议共享的所有计算机文件系统资源
[ExcludedFromScanScope.item_#]
部分包含以下设置:
AreaDesc
扫描排除项范围的说明。包含有关排除范围的其他信息。
默认值为未定义。
例如:
|
UseScanArea
启用或禁用对指定范围的扫描。
可用值:
Yes
—排除指定的范围
No
—不排除指定的范围
默认值:Yes
Path
您可以使用此设置来指定从扫描中排除的对象的路径。
路径
设置的值包含两个元素:<文件系统类型>:<访问协议>
。它还可能包含本地文件系统中目录的路径。
可用值:
<本地目录的路径>
—从扫描中排除指定目录中的对象。您可以使用掩码指定路径。
Shared:NFS
—排除可通过 NFS 协议访问的计算机文件系统资源
Shared:SMB
—排除可通过 Samba 协议访问的计算机文件系统资源
AllRemoteMounted
—排除使用 SMB 和 NFS 协议挂载在计算机上的所有远程目录
AllShared
—排除通过 SMB 和 NFS 协议共享的所有计算机文件系统资源