阻止持续渗透的干将莫邪：卡巴斯基企业端点安全解决方案含EDR模组

megakotaro

以前写过McAfee Endpoint Security和Comodo在企业管理中的配置
也让各位一窥企业软件的面貌

[McAfee] 以McAfee端点防护论多层次防护的重要
[其它] COMODO ITSM - 抵御未知威胁的神兵利

由于公司领导的政策，导致很容易收到恶意软件邮件
邮件服务器内建卡巴斯基防毒，加上自己写的稽核规则
基本上可以阻止99%的可疑邮件

2022年开始，尝试将这些被阻挡的邮件附件下载后
使用McAfee端点防护进行扫描，发现防护能力逐渐下降
而Comodo导入两年后发现，即使将文件夹、进程加入白名单
在某些计算机和服务器上执行Windows Update无法安装成功
而要一次管理两种端点防护，却只有两名信息人员情况下，实在是没有这么大的心力与时间
刚好McAfee也即将到期，因此决定改成卡巴斯基端点防护

McAfee不给力



近期卡巴斯基出了云端版防毒，究竟该如何选择？
如果公司没有海外据点，例如只在台湾省、或是内地，可以选卡巴斯基端点安全云
如果有海外据点，例如在台北和上海都有办公室，为了避免网络问题，应选企业端点安全解决方案，在公司内部架本地服务器管理比较恰当

刚进公司时，包含我共四名信息人员，结果McAfee是坏的，完全无法作用
导致公司时常中勒索病毒
且对外开启远程桌面，即使安装防病毒软件也无法阻止黑客入侵
除了勒索病毒，2017也感染了美国国家安全局的DoublePulsar
看着后台管理接口显示McAfee只能侦测、无法移除，无法阻止恶意软件在内网散布，实在是无力到极点
奈何当时我只是个菜鸡，还没能左右信息软件的预算，只好拿着USB一台一台装上Kaspersky Virus Removal Tool
花了好几天才把恶意软件清理干净

最恐怖的是有一次因为其他人员对老板儿子开了外网远程联机，导致整个公司中Phobos
幸好有备份，重建也花了快一个月才好
那是我人生以来最黑暗的时刻
从此以后决定从防火墙、防毒、AD都要自己管理
老板经过此事愿意交手给我，才比较安心

直到前人离职，爬上了大位，又只再补一人后
要在只有两人的情况下，平时有足够的防护力，发生问题可以马上找到中毒机器予以隔离、处理
那就必须要有EDR纪录感染轨迹，而MDR价格又过高(简单讲MDR就是专业团队帮忙看EDR，而一年MDR可以买三年EDR)
也就不考虑MDR了

感谢各位听我讲公司管理的鬼故事
接下来来看看卡巴斯基端点防护的架构
卡巴斯基中控台分两个：卡巴斯基安全管理中心、与网页控制台
安全管理中心使用微软Management Console功能，管理端点规则，如防毒设置、防火墙规则、装置控制等
网页控制台可以看报告，做与安全管理中心相同之设定。如果有购买MDR产品，俄罗斯专家可为在云端环境中安装并维护

详情可参考：关于卡巴斯基安全管理中心











由于有添购EDRO模块，用户若「执行」可疑程序(右键扫描处理掉的话不会有事件卡片)，可以看到该程序执行路径
可以移除对象、或是隔离计算机(断网、只能从卡巴斯基控制台解除隔离)
EDR就是纪录感染轨迹，并做出回应

详情可参考：Named: Endpoint Threat Detection & Response







管理控制台中，关于规则设定，最顶端「受管理装置」是通用原则
下面设定不同群组，继承上层规则，再做修改



例如公司规定要封锁USB，就可以设定有封锁、不封锁两个群组
封锁的话会变成下图，如果设定插上随身碟自动扫描，即使封锁也会扫描



卡巴斯基防护防护如下图，原厂也建议随时开启KSN，可以对新的威胁快速响应
而根据AC-Comparative今年3月测试，断网会让侦测率下降20%
有关KSN架构可参考：KASPERSKY SECURITY NETWORK (KSN)
由于企业版KSN架构会收集非常多信息，可选择是否开启KSN。KSN用户协议我会回复贴子给各位参考








接下来是用户接口简介
基本上企业版防毒都差不多
在用户计算机装上套接字与防毒模块，可以和服务器实时同步防毒规则、回传报告



为何关闭卡巴斯基防火墙？
如果企业使用Windows Server做网域管理，一般不会使用防病毒软件内建的防火墙
用Windows内建的防火墙布署即可，不然还要另外设定规则



锁定接口，防止用户随意窜改设定



原厂介绍时也说，企业版方案可以选择KES+EDR+Sandbox方案，这样未知程序会先到沙盒运行
和Comodo功能类似，但最低购买量是250U，因此只选EDR



如果公司透过SMB分享档案，会启用「共享文件夹对外部加密的防护」
如果一台设有网络分享的主机中勒索病毒，靠着SMB扩散
卡巴斯基可以加以阻止
不过实际上，面对Phobos这种侵略性极强、又会反复确认档案是否有被加密的勒索病毒
放着中毒主机不管最后还是会扩散出去
因此一发现有被拦截后，还是要第一时间将中毒主机隔离断网
并尝试使用卡巴斯基回滚机制回复档案



回溯是从「内存」中尝试找出档案过去的记录将之复原
因此感染勒索病毒后必须断网，不要重开机
才有机会完整回溯
关机后就没有机会，这点原厂有特别提醒



应用程序类别会搜寻纳管装置所有安装的软件
可设定应用程序规则
例如要封锁通讯软件Line
最好的方法是将供货商名称当作判定基准
不然应用程序改个名称就可以绕过了
设定好后，再到应用程控将规则加入









应用程控共有两种模式，一种是允许清单，一种是拒绝清单
允许清单表指的是，只允许执行列表内的应用程序，其他都无法执行，适用在严格控管的企业上
但是计算机还是可以启动，执行属于操作系统一部份的第三方应用程序
这个清单叫「黄金映像」
拒绝清单指的是，只封锁列表内的应用程序，其他都可以执行，适用于一般环境



进阶版也可以看出用户安装的软件是否有漏洞
可以进行派送
以及远程联机管理，取代内建的远程桌面或VNC、Anydesk











从卡巴斯基端点防护得知
一个企业对信息安全的控管
并不是防病毒软件可以抓到病毒就好
必须搭配其他政策的防护
才能做到滴水不漏
知识和运用它的能力是每个人最好的防御武器

megakotaro

卡巴斯基安全网络 (KSN) 声明 – Kaspersky Endpoint Security 11 for Windows

卡巴斯基安全网络声明 (下称「KSN 声明」) 适用于 Kaspersky Endpoint Security 计算机程序 (下称「软件」)。
KSN 声明与软件最终用户产品授权协议 (特别是「数据处理相关条文」一段) 载明 KSN 声明所述与数据传输及处理相关的条件、责任和程序。在接受 KSN 声明前，请务必详阅声明内容，以及声明中参照的所有文件。

最终使用者启用 KSN 时，必须自行负责确认处理数据当事人的个人资料是否合法，特别是欧盟规范 2016/679 (通用数据保护规范，简称「GDPR」) 第 6 (1) (a) 至 (1) (f) 条款规定 (若资料当事人位于欧盟境内) 或机密信息、个人资料、数据防护或类似相关法规。

数据防护及处理
在 KSN 的使用过程中，权利持有人自最终用户取得的数据，将依照权利持有人的隐私政策 (公布于 https://www.kaspersky.com/Products-and-Services-Privacy-Policy) 处理。

数据处理的目的
为了提高软件对信息和网络安全威胁的反应速度。声明之目的透过以下方法达到：
- 判断扫描对象的信誉；
- 识别难以侦测的新资安威胁及其来源；
- 立即采取适当措施，以加强防护最终用户在计算机中储存与处理的数据；
- 降低误报可能性；
- 提升软件组件效能；
- 调查用户计算机被感染的案例；
- 增进权利持有人产品效能；
- 收取有关已知信誉对象数量的参考信息。

所处理的数据
在启用 KSN 后，权利持有人将自动收取与处理以下数据：

用户传输的数据取决于所安装的产品授权类型，以及指定的 KSN 使用设定。

若您使用 1 至 4 个节点的产品授权，则权利持有人在使用 KSN 期间将自动收取与处理以下数据：
- 有关 KSN 组态更新的信息：现用组态的标识符、接收组态的标识符、组态更新的错误代码；
- 预计扫描档案及 URL 地址的相关信息：已扫描档案的总和检查码 (MD5、SHA2-256、SHA1) 及档案型样 (MD5)、型样大小、侦测到威胁的类型及其在权利持有人分类下的名称、病毒数据库标识符、信誉信息请求所含 URL 地址、来源 URL 地址、联机的通讯协议标识符及所用端口号码；
- 侦测到威胁的扫描工作标识符；
- 使用的数字证书及验证真伪所需的相关信息：签署扫描对象所用凭证的总和检查码 (SHA2-256)，以及凭证的公钥；
- 执行扫描的软件组件标识符；
- 病毒数据库 ID 与病毒数据库纪录；
- 在计算机上启用软件的相关信息：从启动服务收到的票证签署标题 (地区启动中心的标识符、启动码的总和检查码、票证的总和检查码、票证建立日期、票证的唯一标识符、票证版本、产品授权状态、票证有效性的开始/结束日期及时间、产品授权的唯一标识符、产品授权版本)、用于签署票证标题的凭证标识符、密钥档案的总和检查码 (MD5)；
- 权利持有人软件的相关信息：完整版本、类型、用于联机至权利持有人服务的通讯协议版本；

若您使用 5 个以上节点的产品授权，则权利持有人在使用 KSN 期间将自动收取与处理以下数据：
- 有关 KSN 组态更新的信息：现用组态的标识符、接收组态的标识符、组态更新的错误代码；
- 预计扫描档案及 URL 地址的相关信息：已扫描档案的总和检查码 (MD5、SHA2-256、SHA1) 及档案型样 (MD5)、型样大小、侦测到威胁的类型及其在权利持有人分类下的名称、病毒数据库标识符、信誉信息请求所含 URL 地址、来源 URL 地址、联机的通讯协议标识符及所用端口号码；
- 所请求网络资源的分类结果相关信息，其中包含处理主机的 URL 及 IP 地址、执行分类的软件组件版本、分类方法及网络资源的定义类别集；
- 侦测到威胁的扫描工作标识符；
- 使用的数字证书及验证真伪所需的相关信息：签署扫描对象所用凭证的总和检查码 (SHA2-256)，以及凭证的公钥；
- 安装在计算机上的软件相关信息：软件应用程序名称及其供货商、登录机码及其值，所安装软件的组件档案相关信息 (总和检查码 (MD5、SHA2-256、SHA1)、文件名、档案在计算机上的路径，档案大小、档案版本和数字签名)；
- 计算机病毒防护状态相关信息：所用病毒数据库的版本及发布时间戳、工作标识符及执行扫描的软件组件标识符；
- 最终用户下载文件的相关信息：下载的 URL 及 IP 地址及在下载页面之前造访页面的 URL 地址、下载通讯协议标识符及联机的端口号码、URL 是否为恶意、文件属性、大小及总和检查码 (MD5、SHA2-256、SHA1)、档案下载程序相关信息 (总和检查码 (MD5、SHA2-256、SHA1)、建立/建置日期和时间、自动播放状态、属性、封装程序名称、签章相关信息、可执行文件案旗标、格式标识符及用于启动程序的帐户类型)、程序档案相关信息 (名称、路径及档案大小)、文件名及其在计算机上的路径、档案的数字签名及产生时间戳、侦测执行的 URL 地址、可疑或有害页面的脚本编号；
- 执行应用程序及其模块的相关信息：系统上所执行程序的相关数据 (程序 ID (PID)、程序名称、程序启动的帐户相关信息、启动程序的应用程序及命令、受信任程序或程序记号、程序档案的完整路径及其总和检查码 (MD5、SHA2-256、SHA1)、启动命令行、程序的完整性等级、程序所属产品说明 (产品名称及发行商相关信息)，使用的数字证书及验证真伪所需信息，或缺乏档案数字签名的相关信息)，加载程序的模块相关信息 (模块名称、大小、类型、建立日期、属性、总和检查码 (MD5、SHA2-256、SHA1)、模块在计算机上的路径)、PE 档案标头信息、封装程序名称 (如果档案已经封装)；
- 所有潜在恶意对象及活动的相关信息：侦测对象名称、对象在计算机上的完整路径、程序档案的总和检查码 (MD5、SHA2-256、SHA1)、侦测日期和时间、已处理档案的名称、大小及路径、路径模板代码、可执行的档案旗标、显示对象是否为容器的指针、封装程序名称 (如果档案已经封装)、文件类型代码、文件格式 ID、病毒数据库 ID 及用于决策的病毒数据库纪录、潜在恶意对象的指针、侦测到在权利持有人分类下的威胁名称、危险等级、侦测状态及方法、将档案纳入分析情境的理由及该情境中的档案序号、总和检查码 (MD5、SHA2-256、SHA1)、传输受感染讯息或链接的应用程序可执行文件案的名称和属性、封锁对象主机的 IP 地址 (IPv4 及 IPv6)、档案熵、档案自动执行指针、首次在系统内侦测到档案的时间、上次统计数据发送后的档案执行次数、编译程序类型、名称相关信息、用于收取恶意对象的邮件客户端的总和检查码 (MD5、SHA2-256、SHA1) 及大小、执行扫描的软件工作 ID、档案信誉或签章是否检查的指针、所包含对象的静态分析结果、对象型样、型样字节大小、所应用侦测技术的技术规格；
- 扫描对象相关信息：放置档案的指定受信任群组、档案归入该类别的理由、类别标识符、类别来源及类别数据库版本相关信息、档案的受信任凭证旗标、档案厂商名称、档案版本、涵盖档案的软件应用程序名称及版本；
- 侦测到弱点的相关信息：弱点数据库中的弱点 ID 和弱点危险等级；
- 可执行文件案的仿真相关信息：档案大小及总和检查码 (MD5、SHA2-256、SHA1)、仿真组件版本、仿真深度、仿真过程中取得之逻辑区块的特性及功能数组、可执行文件案的 PE 标头数据；
- 网络攻击相关信息：发动攻击计算机的 IP 地址 (IPv4 及 IPv6)、受网络攻击计算机的端口号码、含有攻击的 IP 封包通讯协议标识符，攻击目标 (组织名称、网站)、攻击反应旗标、攻击力道、信任等级；
- 受欺骗网络资源的攻击相关信息、造访网站的 DNS 及 IP 地址 (IPv4 及 IPv6)；
- 所请求网络资源的 DNS 及 IP 地址 (IPv4 或 IPv6)、存取网络资源的档案及网络客户相关信息、文件名、大小和总和检查码 (MD5、SHA2-256、SHA1)、档案完整路径及路径模板代码、数字签名验证结果及其在 KSN 下的状态；
- 回复恶意软件活动前状态的相关信息：活动回复档案的相关数据 (文件名、档案的完整路径、大小及总和检查码 (MD5、SHA2-256、SHA1))、删除、重新命名、复制档案及还原登录值 (登录机码名称及其值) 的成功及未成功动作相关数据、恶意软件所变更系统档案的相关信息 (含回复之前及之后)；
- 自适应异常控制组件排除设定的相关信息：触发规则的 ID 和状态、触发规则时软件执行的动作、程序或线程在执行可疑活动时的用户帐户类型及受到可疑活动影响的程序 (脚本 ID 或程序文件名、程序档案的完整路径、路径模板代码、程序档案的总和检查码 (MD5、SHA2-256、SHA1))；执行可疑活动及受到可疑活动影响的对象信息 (登录机码名称或文件名、档案的完整路径、路径模板代码、档案的总和检查码 (MD5、SHA2-256、SHA1))；
- 已加载软件模块之相关信息：模块文件名、大小与总和检查码 (MD5、SHA2-256、SHA1)、档案完整路径与路径模板代码、模块档案之数字签名设定、签章产生之日期与时间、签署模块档案之主体与组织的名称、模块加载的程序 ID，模块供货商的名称、加载队列模块的序号；
- 软件与 KSN 服务互动质量的相关信息：统计数据产生的开始和结束日期及期间、传至所使用之各 KSN 服务的请求和联机质量相关信息 (KSN 服务 ID、成功请求次数、快取回应的请求次数、失败请求次数 (网络问题、KSN 在软件设定遭停用、错误路由)、成功请求的时间范围、取消请求的时间范围、超出时限请求的时间范围、来自快取的 KSN 联机次数、与 KSN 联机成功的次数、与 KSN 联机失败的次数、成功交易的次数、失败交易的次数、与 KSN 联机成功的时间范围、与 KSN 联机失败的时间范围、成功交易的时间范围、失败交易的时间范围)；
- 若侦测到潜在恶意对象，将提供程序内存所含数据的相关信息：系统对象阶层 (ObjectManager) 元素、UEFI BIOS 内存所含数据、登录机码名称及其值；
- 系统记录中事件的相关信息：事件时间戳、找到事件的记录名称、事件类型和类别、事件来源名称和事件说明；
- 网络联机相关信息：启动程序而开启端口的档案版本及总和检查码 (MD5、SHA2-256、SHA1)、程序档案的路径及其数字签名、本机和远程 IP 地址、本端和远程端口号码、联机状态、端口开启的时间戳；
- 计算机上软件的安装及启用日期相关信息：售出产品授权之合作伙伴的标识符、产品授权序号、从启动服务收到的票证签署标题 (地区启动中心的标识符、启动码的总和检查码、票证的总和检查码、票证建立日期、票证的唯一标识符、票证版本、产品授权状态、票证有效性的开始/结束日期及时间、产品授权的唯一标识符、产品授权版本)、用于签署票证标题的凭证标识符、密钥档案的总和检查码 (MD5)、计算机软件安装的唯一标识符、更新应用程序的类型及标识符、更新工作的标识符；
- 所有已安装更新、上次安装/移除更新、导致发送更新信息的事件类型、上次更新安装后已经过的时间、最近安装病毒数据库的相关信息；
- 计算机上软件运作的相关信息：CPU 使用数据、内存使用数据 (私用字节、非分页缓冲池、页面缓冲池)、软件有效及等待线程数量、错误发生前的软件运作时间、显示软件是否以互动模式运作的旗标；
- 软件安装后及上次更新后的软件倾印及系统倾印 (BSOD) 次数、损坏软件模块的标识符及版本、软件程序的内存堆栈、损坏时的病毒数据库相关信息；
- 系统倾印 (BSOD) 数据：显示计算机发生 BSOD 的旗标、导致 BSOD 的驱动程序名称、驱动程序地址及其中的内存堆栈、显示 BSOD 发生前 OS 运行时间的旗标、损坏驱动程序的内存堆栈、储存内存转储的类型、显示超过 10 分钟之 BSOD 发生前 OS 运行时间的旗标、倾印唯一标识符、BSOD 时间戳；
- 软件组件运作期间所发生错误或效能问题的相关信息：软件状态 ID、错误类型、代码、原因及发生的时间、组件 ID、发生错误的产品模块及程序、错误发生期间的工作 ID 或更新类别、软件所用的驱动程序记录 (错误代码、模块名称、来源文件名及错误发生行)；
- 病毒数据库及软件组件更新相关信息：上次更新及本次更新时下载的索引文件名、日期和时间；
- 软件运作异常终止相关信息：倾印的建立时间戳及类型、导致软件运作异常终止的事件类型 (未预期断电、第三方应用程序损坏)、未预期断电日期和时间；
- 软件驱动程序与硬件间兼容性和软件相关信息：限制软件组件功能的 OS 属性相关信息 (安全开机、KPTI、WHQL 强制执行、BitLocker、大小写区分)、安装下载软件的类型 (UEFI、BIOS)、受信任平台模块 (TPM) 标识符、TPM 规格版本、安装于计算机的 CPU 相关信息、程序代码完整性和装置防护的操作模式和参数、驱动程序的操作模式与使用此模式的原因、软件驱动程序版本、计算机的软件和硬件虚拟化支持状态，驱动程序安装程序版本(KLDL)，使用驱动程序安装程序下载的驱动程序列表，负责下载汇入的驱动程序版本 (KLDLIMPC)；
- 导致错误的第三方应用程序相关信息：应用程序名称、版本及当地语系、应用程序系统记录内的错误代码及相关信息、第三方应用程序的错误及内存堆栈地址、显示软件组件发生错误的旗标、错误发生前的第三方应用程序运作时间、发生错误应用程序程序映像的总和检查码 (MD5、SHA2-256、SHA1)、应用程序程序映像路径及路径模板代码、系统记录信息 (包含应用程序相关错误说明)、发生错误的应用程序模块相关信息 (例外标识符、损坏内存地址 (以应用程序模块内的偏移表示)、模块名称及版本、权利持有人损坏插件及内存堆栈的应用程序损坏标识符、损坏前的应用程序运行时间)；
- 软件更新器组件版本、更新器组件在效期中执行更新工作的损坏次数、更新工作类型 ID、更新器组件完成更新工作前的尝试失败次数；
- 软件系统监控组件运作的相关信息：组件完整版本、组件启始的日期与时间、导致事件队列溢位的事件代码及次数、队列溢位事件总数、启动事件过程的档案相关信息 (文件名及其在计算机上的路径、档案路径模板代码、档案相关程序的总和检查码 (MD5、SHA2-256、SHA1)、档案版本)、发生截取事件的标识符、截取过滤器的完整版本、截取事件类型标识符、事件队列大小及队列中首次事件与目前事件间的事件数、队列中逾期事件的数量、启动目前事件过程的档案相关信息 (文件名及其在计算机上的路径、档案路径模板代码、档案相关程序的总和检查码 (MD5、SHA2-256、SHA1))、事件处理时间、最长事件处理时间、发送统计数据概率、超出处理时限的 OS 事件相关信息 (事件的日期和时间、病毒数据库的重复初始化次数、病毒数据库上次更新后重复初始化的日期和时间、各系统监视组件的事件处理延迟时间、队列事件的数量、已处理事件的数量、目前类型延迟事件的数量、目前类型延迟事件的总延迟时间、所有事件的总延迟时间)；
- 如出现软件效能问题，来自 Windows 事件追踪工具 (Event Tracing for Windows，ETW) 和 WMI (Windows Management Instrumentation) 所提供的 Microsoft SysConfig/SysConfigEx/WinSATAssessment/Microsoft-Windows-TCPIP 事件相关信息：计算机相关信息 (型号、制造商、机壳板型规格、版本)、Windows 效能度量相关信息 (WinSAT 评估、Windows 效能指针)、域名、实体和逻辑处理器相关信息 (实体和逻辑处理器的数量、制造商、型号、步进等级、核心数量、频率、CPUID、快取特性，逻辑处理器特性，支持模式和指令指针)、RAM 模块相关信息 (类型、板型规格、制造商、型号、容量、内存分配的数据粒度)、网络接口相关信息 (IP 和 MAC 地址、名称、描述、网络接口组态、按类型划分的网络封包数量和大小、网络交换速度、按类型划分的网络错误次数)、IDE 控制器的组态、DNS 服务器的 IP 地址、视频卡相关信息 (型号、叙述、制造商、兼容性、视频存储器容量、屏幕许可、每像素位数、BIOS 版本)、即插即用装置相关信息 (名称、描述、装置标识符 [PnP、ACPI])、磁盘及储存装置相关信息 (磁盘或快闪磁盘驱动器的数量、制造商、型号、磁盘容量、磁柱数量、每磁柱的磁道数量、每磁道的扇区数量、扇区容量、快取特性、序列数、磁盘分区数量、SCSI 控制器的组态)、逻辑磁盘相关信息 (序列数、磁盘分区容量、磁盘区容量、磁盘代号、磁盘分区类型、文件系统类型、丛集数目、丛集大小、每个丛集的扇区数量、空的丛集和已占用丛集的数量、可启动卷代号、相对于磁盘起点的磁盘分区偏移地址)、BIOS 主板相关信息 (制造商、发行日期、版本)、主板相关信息 (制造商、型号、类型)、物理内存相关信息 (共享及可用容量)、操作系统服务相关信息 (名称、描述、状态、卷标、程序信息 [名称和 PID])、计算机的能耗参数、中断控制器的组态、Windows 系统文件夹的路径 (Windows 和 System32)、OS 相关信息 (版本、组建、发行日期、名称、类型、安装日期)、页面文件案大小、监视器相关信息 (数量、制造商、屏幕许可、分辨率处理能力、类型)、视频卡驱动程序相关信息 (制造商、发行日期、版本)、电池容量；
- 来自 ETW 所提供的 Microsoft EventTrace / EventMetadata 事件相关信息：系统事件序列的相关信息 (类型、时间、日期、时区)、含有追踪结果的档案元数据 (名称、结构、追踪参数、按类型划分的追踪操作数量)、OS 相关信息 (名称、类型、版本、组建、发行日期、开始时间)；
- 来自 ETW 所提供的 Microsoft 程序 / Microsoft Windows 核心程序 / Microsoft 的 Microsoft Windows 核心处理器耗电量事件相关信息：已启动和已完成的程序相关信息 (名称、PID、启动参数、命令行、回传代码、电源管理参数、启动和完成时间、存取讯标类型、SID、SessionID、安装的描述元数量)、线程优先等级的变更相关信息 (TID、优先等级、时间)、程序的磁盘操作相关信息 (类型、时间、容量、数量)、可用内存程序的结构和容量变更纪录；
- 来自 ETW 所提供的 Microsoft StackWalk / Perfinfo 事件相关信息：性能计数器的相关信息 (个别代码区段的效能、函数调用序列、PID、TID、ISR 与 DPC 的地址和属性)；
- 来自 ETW 所提供的 Microsoft KernelTraceControl-ImageID 事件相关信息：可执行文件案和动态链接库相关信息 (名称、图像大小、完整路径)、PDB 档案相关信息 (名称、标识符)、可执行文件案的 VERSIONINFO 资源的数据 (名称、描述、建立者、地点；应用程序版本及标识符、档案版本及标识符)；
- 来自 ETW 所提供的 Microsoft FileIo / DiskIo / Image / Windows Kernel Disk 事件相关信息：档案和磁盘操作相关信息 (类型、容量、开始时间、完成时间、持续时间、完成状态、PID、TID、驱动程序函数调用地址、I/O 要求封包 (IRP)、Windows 档案对象属性)、档案和磁盘操作中涉及的档案相关信息 (名称、版本、档案大小、完整路径、属性、偏移、映像总和检查码、开启和存取选项)；
- 来自 ETW 所提供的 Microsoft PageFault 事件相关信息：内存页面存取错误的相关信息 (地址、时间、容量、PID、TID、Windows 档案对象属性、内存分配参数)；
- 来自 ETW 所提供的 Microsoft 线程事件相关信息：线程的建立/完成相关信息、线程启动的相关信息 (PID、TID、堆栈大小、CPU 资源的优先等级和分配、I/O 资源、线程之间的内存页面、堆栈地址，init 函数的地址、线程环境区块 (TEB) 的地址，Windows 服务卷标)；
- 来自 ETW 所提供的 Microsoft Windows 核心内存事件相关信息：内存管理操作相关信息 (完成状态、时间、数量、PID)、内存分配结构 (类型、容量、SessionID、PID)；
- 出现效能问题时的软件操作相关信息：软件安装标识符、效能下降的类型和数值、软件的事件序列相关信息 (时间、时区、类型、完成状态、软件组件标识符、软件操作情节标识符、TID、PID、函数调用地址)、待检查网络链接相关信息 (URL、链接方向、网络封装的大小)、PDB 档案相关信息 (名称、标识符、可执行文件案的映像大小)、待检查档案相关信息 (名称、完整路径、总和检查码)、软件效能监控参数；
- 上次未成功 OS 重新启动的相关信息：OS 安装后的未成功重新启动次数、系统倾印数据 (错误代码及参数、导致 OS 运作错误的模块名称、版本及总和检查码 (CRC32)、错误地址 (以模块内的偏移表示)、系统倾印的总和检查码 (MD5、SHA2-256、SHA1))；
- 签署档案所用数字证书的验证相关信息：凭证指纹、总和检查码算法、凭证的公钥及序号、凭证核发人名称、凭证验证结果及数据库标识符；
- 对软件自我防卫系统执行攻击的程序相关信息：程序文件名、大小及总和检查码 (MD5、SHA2-256、SHA1)、程序档案的完整路径及档案路径模板代码、建立时间戳、程序档案的类型代码、可执行文件案旗标、程序文件属性、签署程序档案所用凭证的相关信息、在流程或线程中用于执行可疑活动的账户类型、执行存取程序的作业 ID、执行作业的资源类型 (程序、档案、登录对象、FindWindow 搜寻功能)、执行作业的资源名称、显示作业成功的旗标、程序档案状态及其在 KSN 下的签章；
- 权利持有人软件的相关信息：完整版本、类型、当地语系及运作状态、已安装软件组件版本及其运作状态、已安装更新的相关信息、TARGET 过滤器值、用于联机至权利持有人服务的通讯协议版本；
- 计算机上已安装硬件的相关信息：内建及连接装置的类型、名称、机型名称、韧体版本、参数、安装软件计算机的唯一标识符；
- 操作系统版本及已安装更新的相关信息、OS 执行模式的文字大小、版本及参数、OS 内核档案的版本及总和检查码 (MD5、SHA2-256、SHA1)，以及 OS 启动日期与时间；
- 用户与应用程控互动的相关信息 (点击次数、触控事件)；
- 用于识别 HTTP 传输错误的信息：已安装软件的版本，http 请求方法，软件中用于进行身分验证的方法，用于实现网页服务处理程序的信息，错误代码，通讯协议 Id，请求处理总时长，通讯协议处理错误类型，被存取的网页服务的远程端口和 IP 地址，被处理的网址；
- 含有低级别软件组件的错误相关信息：完整的操作系统内核版本，操作系统子系统和负责组件效能的软件子系统的状态，在其中发现错误的产品组件的标识符和版本，错误类型的标识符，错误标识符，造成错误的组件的使用案例的标识符，定义错误发生时组件状态的设定，错误发生时操作系统或者软件功能的返回程序代码，如果和第三方软件交互期间发生错误的话所使用模块的内容（名称，大小，版本编号，总和检查码 SHA-256，复制的模块路径）；
- 有关用户操作提示窗口之信息（操作系统版本，操作系统内部版本号，操作系统更新编号，操作系统版次，操作系统版次的扩展信息，操作系统服务包版本，软件本地化，安装软件的日期和时间，使用的软件许可证类型，交互模式指示器，装置 ID，窗口标题，窗口类型，窗口严重性，用户在窗口中的选择，窗口中显示的数据，传送有关使用应用程序 GUI 之统计信息的时间)；

— 向用户显示的通知信息（操作系统版本，操作系统版本号，操作系统更新编号，操作系统版次，操作系统版次的扩展信息，操作系统服务包版本，软件本地化，安装软件的日期和时间，使用的软件许可证类型，交互模式指示器，装置 ID，通知类型 ID，窗口显示的数据，传送有关使用应用程序 GUI 之统计信息的时间)。

如果软件被用作 Kaspersky Sandbox 解决方案的一部分：

- Kaspersky Sandbox 对象处理中发生的错误的相关信息：被处理的对象的 MD5 总和检查码；处理错误代码和处理错误说明；Kaspersky Sandbox 丛集上的虚拟机的 ID；在 Kaspersky Sandbox 丛集内安装的病毒数据库版本；
在 Kaspersky Sandbox 丛集上安装的产品授权相关信息：用于启动 Kaspersky Sandbox 应用程序的启动方法相关数据（启动码或者产品授权密钥档案）；权利拥有者系统内的客户 ID；从启动票证衍生的 Kaspersky Sandbox 应用程序 ID；产品授权密钥序号；和从启动票证衍生的启动码 ID。

此外，为达成声明之目的，加强软件所提供的防护，权利持有人所收到的对象可能遭入侵者用于伤害计算机，并对信息安全造成威胁。此类对象包括：
- 可执行及不可执行文件案或其部分；
- 计算机的 RAM 部分；
- 涉及 OS 启动程序的区段；
- 网络流量数据封包；
- 含有可疑及恶意对象的网页及电子邮件；
- WMI 储存区的类别说明及类别实例；
- 应用程序活动报告。

应用程序活动报告含有以下档案及程序相关数据：
- 发送文件名、大小、版本、说明及总和检查码 (MD5、SHA2-256、SHA1)、文件格式标识符、档案厂商名称、档案所属产品名称、在计算机上的完整路径、档案路径模板代码、档案建立及修改时间戳；
- 凭证有效期间的开始及终止日期/时间 (若档案含有数字签名)、签章日期和时间、凭证核发人名称、凭证持有人相关信息、指纹、凭证的公钥及适当算法、凭证序号；
- 执行程序的帐户名称；
- 执行程序的计算机名称及总和检查码 (MD5、SHA2-256、SHA1)；
- 程序窗口标题；
- 病毒数据库标识符、侦测到威胁在权利持有人分类下的名称；
- 已安装产品授权的相关数据、标识符、类型及到期日；
- 提供信息时的计算机当地时间；
- 程序存取的文件名和路径；
- 程序存取的登录机码名称及其值；
- 程序存取的 URL 及 IP 地址；
- 下载所执行档案的 URL 及 IP 地址。

此外，为达成声明之目的，避免误报，权利持有人将收取受信任的可执行及不可执行文件案或其部分。

有关已传输数据的说明取决于指定的 KSN 使用设定，详情请参阅使用手册。

您有权决定是否参与
您完全有权决定是否根据本声明定期自动传送资料给权利持有人。您可以根据用户手册所述方式，在软件设定中随时撤回您的同意。

当最终使用者决定禁用 KSN 时，权利持有人将不会收到新数据。权利持有人仍可出于隐私政策 (https://www.kaspersky.com/Products-and-Services-Privacy-Policy) 中所述目的根据《欧盟通用数据保护条例》(GDPR) 第 6 条第 1 款 (f) 项下之合法利益处理已经收到的某些数据。如果最终用户想反对处理此类数据，则必须以隐私政策中指定之方式通知权利持有人。有关数据处理之法律依据以及最终使用者之权利和选择的更多信息，最终用户可以造访 https://www.kaspersky.com/Products-and-Services-Privacy-Policy，查阅隐私政策。

© 2022 AO Kaspersky Lab

lvseqiji

网络安全这个坑，很多人要吃过亏才会重视啊

dongwenqi

给力，卡巴斯基产品值得推荐

megakotaro

lvseqiji 发表于 2022-9-8 17:38
网络安全这个坑，很多人要吃过亏才会重视啊

是啊，而且一定要痛到領導才會重視

megakotaro

dongwenqi 发表于 2022-9-8 18:53
给力，卡巴斯基产品值得推荐

卡巴斯基是很好的產品，使用的資源也比McAfee好很多
所以不要再覺得卡巴斯基卡來卡去了

dongwenqi

megakotaro 发表于 2022-9-13 10:23
卡巴斯基是很好的產品，使用的資源也比McAfee好很多
所以不要再覺得卡巴斯基卡來卡去了

恩，卡巴斯基已经不再卡了，优化的很不错了

pal家族

难得通过自己的亲身经历 写出体验文章
比水测评强多了

megakotaro

pal家族 发表于 2022-9-13 17:24
难得通过自己的亲身经历 写出体验文章
比水测评强多了

感謝點讚畢竟是以實際情況撰寫的文章
除了偵測率外，更著重在如何用軟件管理
這兩週測試時也遇到一些小bug與經銷商、原廠討論解決
白金級經銷商的後勤實力挺好的
如果公司有需要更換成卡巴斯基的朋友，請從查找合作夥伴選Platinum Partner
會得到較好的服務

kaba2017

卡巴斯基公司安装体念论文点赞啊！