卡巴斯基安全网络 (KSN) 声明 – Kaspersky Endpoint Security 11 for Windows 卡巴斯基安全网络声明(以下简称“KSN 声明”)与计算机程序 Kaspersky Endpoint Security(以下简称“软件”)有关。 KSN 声明以及软件的最终用户授权许可协议,尤其是“与数据处理有关的条件”一节,规定了与在 KSN 声明中指出的数据传输和处理有关的条件、责任和程序。请在仔细阅读 KSN 声明的条款以及 KSN 声明引用的所有文件后予以接受。 在最终用户激活对 KSN 的使用时,如果数据主体位于欧盟内,最终用户应全权负责确保对数据主体的个人数据进行的处理符合法律要求,特别是要遵守欧盟第 2016/679 号条例 (Regulation (EU) 2016/679)(《一般数据保护条例》(GDPR))条款 6 (1) (a) 到 (1) (f) 或与机密信息、个人数据、数据保护或类似主题有关的适用法律。 数据保护和处理 权利持有人在使用 KSN 期间从最终用户处接收的数据根据权利持有人发布于 https://www.kaspersky.com/Products-and-Services-Privacy-Policy 的隐私策略处理。 数据处理的目的 旨在提高本软件对信息和网络安全威胁的应对速度。通过以下方式实现所宣称的目的: - 确定被扫描对象的信誉; - 识别新出现的、难以检测的信息安全威胁及其来源; - 立即采取措施提高对于最终用户使用计算机存储和处理的数据的保护力度; - 降低误报的可能性; - 提高软件组件的效率; - 预防信息安全事件和调查已经发生的事件; - 改进权利持有人的产品的性能; - 获取有关知名对象数量的参考信息。 处理的数据 在启用 KSN 的情况下,权利持有人将自动接收和处理以下数据: 用户传输的数据取决于安装的授权许可类型和指定的 KSN 使用设置。 如果您使用适用于 1-4 个节点的授权许可,则权利持有人将在使用 KSN 期间自动接收并处理以下数据: - 有关 KSN 配置更新的信息:主动配置的标识符、已接收配置的标识符、配置更新错误代码; - 有关要扫描的文件和 URL 地址的信息:被扫描文件的校验和(MD5、SHA2-256、SHA1)和文件模式 (MD5)、模式的大小、根据权利持有人分类确定的被检测威胁及其名称的类型、反病毒数据库的标识符、要检查其信誉的 URL 地址及引用 URL 地址、连接的协议标识符以及所用的端口号; - 执行威胁检测的扫描任务的标识符; - 有关数字证书真实性验证所需的信息:用于签署被扫描对象的证书的校验和 (SHA2-256) 及证书的公钥: - 执行扫描的软件组件的标识符; - 反病毒数据库的 ID 以及这些反病毒数据库中的记录的 ID; - 有关计算机上的软件激活的信息:来自激活服务的票证的已签名标头(区域激活中心的标识符、激活码的校验和、票证的校验和、票证创建日期、票证的唯一标识符、票证版本、授权许可状态、票证有效期的开始/结束日期和时间、授权许可的唯一标识符、授权许可版本)、用于签署票证标头的证书标识符、密钥文件的校验和 (MD5); - 有关权利持有人软件的信息:其完整版本、类型以及用于连接权利持有人之服务的协议的版本。 如果您使用适用于 5 个或更多节点的授权许可,则权利持有人将在使用 KSN 期间自动接收并处理以下数据: - 有关 KSN 配置更新的信息:主动配置的标识符、已接收配置的标识符、配置更新错误代码; - 有关要扫描的文件和 URL 地址的信息:被扫描文件的校验和(MD5、SHA2-256、SHA1)和文件模式 (MD5)、模式的大小、根据权利持有人分类确定的被检测威胁及其名称的类型、反病毒数据库的标识符、要检查其信誉的 URL 地址及引用 URL 地址、连接的协议标识符以及所用的端口号; - 有关所请求 Web 资源的分类结果的信息,包含主机的已处理 URL 和 IP 地址、执行分类的软件组件的版本、分类方法和为 Web 资源定义的类别集; - 执行威胁检测的扫描任务的标识符; - 有关数字证书真实性验证所需的信息:用于签署被扫描对象的证书的校验和 (SHA2-256) 及证书的公钥: - 有关计算机已安装软件的信息:软件应用程序和软件提供者的名称、注册表项及其值、有关已安装软件组件的文件信息(校验和(MD5、SHA2-256、SHA1)、名称、文件在计算机上的路径、大小、版本和数字签名); - 有关计算机上的反病毒保护状态的信息:要使用的反病毒数据库的版本和发布时间戳、任务标识符以及执行扫描的软件组件的标识符; - 有关最终用户下载文件的信息:下载的 URL 和 IP 地址、下载页面前访问的页面 URL 地址、下载协议标识符和连接端口号、URL 是否恶意的状态、文件的属性、大小和校验和(MD5、SHA2-256、SHA1)、有关文件下载进程的信息(校验和(MD5、SHA2-256、SHA1)、创建/构建日期和时间、自动播放状态、属性、打包程序名称、有关签名的信息、可执行文件标志、格式标识符以及用于启动进程的账户类型)、有关进程文件的信息(名称、文件路径及大小)、文件名及其在计算机上的路径、文件的数字签名及其生成的时间戳、发生检测的 URL 地址、可疑或有害页面上的脚本的数量; - 有关用户运行的应用程序及其模块的信息:系统上运行的进程的信息(进程 ID (PID)、进程名称、启动进程的账户的相关信息、启动进程的应用程序和命令、可信程序或进程的签署、进程文件的完整路径和校验和(MD5、SHA2-256、SHA1)、起始命令行、进程完整性的级别、进程所属产品的描述(产品的名称和发行商相关信息),以及使用的数字证书和验证其真实性所需的信息或有关文件缺少数字签名的信息和进程中加载的模块的相关信息(其名称、大小、类型、创建日期、属性、校验和(MD5、SHA2-256、SHA1)及其在计算机上的路径)、PE 文件头信息和打包程序名称(如果文件被打包); 有关所有潜在恶意对象和行为的信息:所检测对象的名称和该对象在计算机中的完整路径、所处理文件的校验和(MD5、SHA2-256、SHA1)、检测日期和时间、所处理文件的名称和大小以及路径、路径模板代码、可执行文件标记、表示对象是否为容器的指示符、打包程序名称(如果文件被打包)、文件类型代码、文件格式 ID、反病毒数据库的 ID 及用于做出决策的反病毒数据库中记录的标识符、潜在恶意对象的指示符、按照权利持有人的分类标准检测到的威胁名称、危险级别、检测状态和方法、在分析环境中加入文件的原因及环境中文件的序列号、传输被感染消息或链接的应用程序的可执行文件的校验和(MD5、SHA2-256、SHA1)、名称和属性、被拦截对象主机的 IP 地址(IPv4 和 IPv6)、文件熵、文件自动播放指示符、系统中首次检测到文件的时间、自上次发送统计数据后文件运行的次数、编译器类型、有关用于接收恶意对象的邮件客户端名称、校验和(MD5、SHA2-256、SHA1)及大小的信息、执行扫描的软件任务 ID、表明是否检查文件信誉或签名的指示符、所包含对象的静态分析结果、对象模板、模板大小(字节)、适用检测技术的技术规格; - 有关被扫描对象的信息:文件放置的目标和/或来源已分配信任组、文件置于该类别的原因、类别标识符、有关类别源和类别数据库版本的信息、文件的信任证书标志、文件供应商的名称、文件版本、包含文件的软件应用程序的名称和版本; - 有关所检测到漏洞的信息:漏洞数据库中的漏洞 ID、漏洞危险等级; - 有关可执行文件的仿真的信息:仿真组件的版本、文件大小及其校验和(MD5、SHA2-256、SHA1)、仿真深度、在仿真过程中获取的逻辑块内部的一系列逻辑块和函数的特性、来自可执行文件 PE 头的数据; - 有关网络攻击的信息:攻击方计算机的 IP 地址(IPv4 和 IPv6)、计算机上被作为网络攻击目标的端口的编号、包含攻击的 IP 数据包的协议标识符、攻击的目标(组织名称、网站)、应对攻击的标志、攻击的权重、信任级别; - 与被访问网站欺骗性网络资源、DNS 和 IP 地址(IPv4 和 IPv6)相关联的攻击有关的信息; - 被请求 Web 资源的 DNS 和 IP 地址(IPv4 或 IPv6)、有关文件和访问 Web 资源的 Web 客户端的信息、文件的名称、大小、校验和(MD5、SHA2-256、SHA1)、文件的完整路径和路径模板代码、数字签名检查的结果及其在 KSN 中的状态; - 有关恶意软件操作回滚的信息:活动被回滚的文件的相关数据(文件名、文件完整路径、大小及校验和(MD5、SHA2-256、SHA1))、有关删除、重命名和复制文件以及恢复注册表值(注册表项的名称与值)的成功和不成功操作的数据、被恶意软件修改的系统文件在回滚前后的相关信息; - 有关自适应异常控制组件的排除集的信息:已触发规则的 ID 和状态,触发规则后软件执行的操作,进程或线程执行可疑活动的用户账户的类型、以及受到可疑活动影响的进程(脚本 ID 或进程文件名称、进程文件的完整路径、路径模板代码、进程文件的校验(MD5、SHA2-256、SHA1));有关执行可疑操作的对象以及有关受到可疑操作影响的对象的信息(注册表项的名称和文件名、文件的完整路径、路径模板代码以及文件的校验和(MD5、SHA2-256、SHA1)); - 有关已加载软件模块的信息:模块文件的名称、大小及校验和(MD5、SHA2-256、SHA1)、文件的完整路径及路径的模板代码、模板文件的数字签名设置、签名生成的日期和时间、签署模块文件的主体和组织的名称、加载模块进程的 ID、模块供应商的名称、加载队列中模块的序列号; - 有关软件与 KSN 服务交互质量的信息:生成统计数据时间段的开始和结束日期和时间,有关请求质量和所使用的每项 KSN 服务的连接的信息(KSN 服务 ID、成功请求的数量、有缓存响应的请求的数量、不成功请求的数量(网络问题、软件设置中禁用了 KSN、路由错误)、成功请求的时间扩展、已取消请求的时间扩展、超出时间限制的请求的时间扩展、来自缓存的 KSN 连接数量、KSN 的成功连接数量、成功事务的数量、不成功事务的数量、KSN 的成功连接的时间扩展、KSN 的不成功连接的时间扩展、成功事务的时间扩展、不成功事务的时间扩展); - 如果检测到潜在的恶意对象,应提供有关进程内存中数据的相关信息,系统对象层次结构的元素(对象管理器),UEFI BIOS 内存中的数据,注册表要项的名称及其数值; - 有关系统日志中记录事件的信息:事件的时间戳、事件所在日志的名称、事件类型和类别、事件源的名称和事件的描述; - 有关网络连接的信息:来自使打开端口的进程启动的文件的版本及校验和(MD5、SHA2-256、SHA1)、进程文件的路径及其数字签名、本地和远程 IP 地址、本地和远程连接端口的数量、连接状态、端口开放的时间戳; - 有关在计算机上软件安装和激活日期的信息:购买授权许可的合作伙伴的标识符、授权许可的序列号、激活服务的票证的已签名标头(区域激活中心的标识符、激活码的校验和、票证的校验和、票证创建日期、票证的唯一标识符、票证版本、授权许可状态、票证有效期的开始/结束日期和时间、授权许可的唯一标识符、授权许可版本)、用于签署票证标头的证书标识符、密钥文件的校验和 (MD5)、在计算机上安装软件的唯一标识符、所更新应用程序的类型和标识符、更新作业的标识符; - 有关所有安装更新集和最近安装/删除更新集的信息、造成发送更新信息的事件的类型、自上次安装更新后的持续时间、有关任何当前安装反病毒数据库的信息; - 有关计算机软件操作的信息:CPU 使用数据、内存使用数据(专用字节、非分页池、分页池)、软件活动线程和处于等待状态的线程的数量、软件操作在发生错误前的持续时间、表明软件是否运行于交互模式的标志; - 自安装软件后和自上次更新后的软件转储和系统转储 (BSOD) 数量、崩溃软件模块的标识符和版本、软件进程中的内存堆栈和反病毒数据库崩溃时的信息; - 系统转储 (BSOD) 数据:表示在计算机上发生 BSOD 的标志、引发 BSOD 的驱动程序的名称、驱动程序中的地址和内存堆栈、表示操作系统会话在发生 BSOD 前的持续时间的标志、崩溃驱动程序的内存堆栈、存储内存转储的类型、操作系统会话在 BSOD 持续超过 10 分钟前的标志、转储的唯一标识符、BSOD 的时间戳; - 有关软件组件操作过程中发生的错误或性能问题的信息:软件的状态 ID、错误类型、代码和原因以及错误发生的时间、组件的 ID、发生错误的产品的模块和进程、发生错误期间的任务 ID 或更新类别、软件所用驱动程序的日志(错误代码、模块名称、源文件名称和错误发生所在行); - 有关反病毒数据库和软件组件更新的信息:在上次更新过程中下载以及在当前更新过程中即将下载的索引文件的名称、日期和时间; - 有关软件操作异常终止的信息:转储的创建时间戳、转储类型、造成软件操作异常终止的事件的类型(意外断电、第三方应用程序崩溃)、意外断电的日期和时间; - 有关软件驱动程序与硬件和软件的兼容性的信息:有关限制软件组件功能的 OS 属性的信息(安全启动、KPTI、WHQL Enforce、驱动器加密、区分大小写)、已安装的下载软件类型(UEFI、BIOS)、受信任平台模块 (TPM) 标识符、TPM 规范版本、有关计算机已安装 CPU 的信息、代码完整性和设备防护的操作模式和参数、驱动程序的操作模式和使用当前模式的原因、软件驱动程序的版本、计算机的软件和硬件虚拟化支持状态; - 有关造成错误的第三方应用程序的信息:其名称、版本及本地化、错误代码和应用程序系统日志有关错误的信息、第三方应用程序错误和内存堆栈的地址、表示发生软件组件错误的标志、第三方应用程序在发生错误前的工作时长、发生错误的应用程序进程映像的校验和(MD5、SHA2-256、SHA1)、应用程序进程映像的路径和路径的模板代码、系统日志描述应用程序相关错误的信息、发生错误的应用程序模块的信息(意外标识符、应用程序模块中作为偏移量的崩溃内存地址、模块的名称和版本、权利持有人插件中应用程序崩溃的标识符和崩溃的内存堆栈、应用程序会话在崩溃前的持续时间); - 软件更新程序组件的版本、更新程序组件在组件生命周期内运行更新任务的崩溃次数、更新任务类型的 ID、更新程序组件尝试完成更新任务的失败次数; - 有关软件系统监控组件的操作的信息:组件的完整版本、组件启动的日期和时间、造成事件队列溢流的事件代码和此类事件的数量、队列溢流事件总数、有关事件启动程序进程文件的信息(文件名及其在计算机上的路径、文件路径的模板代码、文件相关进程的校验和(MD5、SHA2-256、SHA1)、文件版本)、发生事件拦截的标识符、拦截过滤器的完整版本、已拦截事件类型的标识符、事件队列的大小以及队列中第一个事件与当前事件之间的事件数量、队列中过期事件的数量、有关当前事件启动程序进程文件的信息(文件名及其在计算机上的路径、文件路径的模板代码、文件相关进程的校验和(MD5、SHA2-256、SHA1))、事件处理持续时间、事件处理最大持续时间、发送统计数据的可能性、有关超出处理时间限制的操作系统事件的信息(事件的日期和时间、反病毒数据库的重新初始化次数、更新后反病毒数据库的上次重新初始化的日期和时间、每个系统监控组件的事件处理延迟时间、队列事件的数量、所处理事件的数量、当前类型的延迟事件的数量、当前类型的事件的总延迟时间、所有事件的总延迟时间); - 发生软件性能问题时 Windows 事件跟踪工具的信息(Windows 事件跟踪系统,ETW)、来自 Microsoft 的 SysConfig / SysConfigEx / WinSATAssessment 事件的提供者:有关计算机的信息(型号、制造商和外壳的外形规格、版本)、有关 Windows 性能度量的信息(WinSAT 评估、Windows 性能指标)、域名、有关物理和逻辑处理器的信息(物理和逻辑处理器的数量、制造商、型号、步进等级、内核数、时钟频率、CPUID、缓存特性、逻辑处理器特性、受支持模式和指令的指示符)、有关 RAM 模块的信息(类型、外形规格、制造商、型号、容量、内存分配粒度)、有关网络接口的信息(IP 和 MAC 地址、名称、描述、网络接口的配置、按照类型进行的网络包数量和大小细分、网络交换速度、按照类型进行的网络错误数量细分)、IDE 控制器的配置、DNS 服务器的 IP 地址、有关视频卡的信息(型号、描述、制造商、兼容性、视频内存容量、屏幕许可、每像素的位数、BIOS 版本)、有关即插即用设备的信息(名称、描述、设备标识符 [PnP、ACPI])、有关磁盘和存储设备的信息(磁盘或闪存盘的数量、制造商、型号、磁盘容量、柱面数量、每个柱面的磁道数量、每个磁道的扇区数量、扇区容量、缓存特性、序列号、分区数量、SCSI 控制器配置)、有关逻辑磁盘的信息(序列号、分区容量、卷容量、卷号、分区类型、文件系统类型、集群数量、集群大小、每个集群的扇区数量、空集群和被占用的集群、可启动卷号、与磁盘启动有关的分区的偏移地址)、有关 BIOS 主板的信息(制造商、发布日期、版本)、有关主板的信息(制造商、型号、类型)有关物理内存的信息(共享容量和剩余容量)、有关操作系统服务的信息(名称、描述、状态、标签、有关进程的信息[名称和 PID])、计算机的能量消耗参数、中断控制器的配置、Windows 系统文件夹的路径(Windows 和 System32)、有关操作系统的信息(版本、内部版本、发布日期、名称、类型、安装日期)、页面文件大小、有关监视器的信息(数量、制造商、屏幕许可、分辨率、类型)、有关视频卡驱动程序的信息(制造商、发布日期、版本); - 来自 ETW 的信息、来自 Microsoft 的 EventTrace / EventMetadata 事件的提供者:有关系统事件序列的信息(类型、时间、日期、时区)、有关文件的元数据和跟踪结果(名称、结构、跟踪参数、按照类型进行的跟踪操作的数量细分)、有关操作系统的信息(名称、类型、版本、内部版本、发布日期、开始时间); - 来自 ETW 的信息、来自 Microsoft 的 Process / Microsoft Windows Kernel / Microsoft Windows Kernel Processor Power 事件的提供者:有关已启动和已完成进程的信息(名称、PID、启动参数、命令行、返回代码、电源管理参数、启动和完成时间、访问令牌类型、SID、会话 ID、已安装描述符的数量)、有关线程优先级的变更信息(TID、优先级、时间)、有关进程磁盘操作的信息(类型、时间、容量、数量)、可用内存进程的结构和容量的变更历史; - 来自 ETW 的信息、来自 Microsoft 的 StackWalk / Perfinfo 事件的提供者:有关性能计数器的信息(单个代码段的性能、函数调用的序列、PID、TID、ISR 和 DPS 的地址和属性); - 来自 ETW 的信息、来自 Microsoft 的 KernelTraceControl-ImageID 事件的提供者:有关可执行文件和动态库的信息(名称、图像大小、完整路径)、有关 PDB 文件的信息(名称、标识符)、可执行文件的 VERSIONINFO 资源数据(名称、描述、创建者、位置、应用程序版本和标识符、文件版本和标识符); - 来自 ETW 的信息、来自 Microsoft 的 FileIo / DiskIo / Image / Windows Kernel Disk 事件的提供者:有关文件和磁盘操作的信息(类型、容量、开始时间、完成时间、持续时间、完成状态、PID、TID、驱动函数调用地址、I/O 请求包 (IRP)、Windows 文件对象属性)、有关涉及文化和磁盘操作的文件的信息(名称、版本、大小、完整路径、属性、偏移量、图像校验和、打开和访问选项); - 来自 ETW 的信息、来自 Microsoft 的 PageFault 事件的提供者:有关内存页面访问错误的信息(地址、事件、容量、PID、TID、Windows 文件对象的属性、内存分配参数); - 来自 ETW 的信息、来自 Microsoft 的线程事件的提供者:有关线程创建/完成的信息、有关已启动线程的信息(PID、TID、堆栈大小、CPU 资源的优先级和分配、I/O 资源、线程之间的内存页面、堆栈地址、初始化函数的地址、线程环境块 (TEB) 的地址、Windows 服务标签); - 来自 ETW 的信息、来自 Microsoft 的 Microsoft Windows Kernel Memory 事件的提供者:有关内存管理操作的信息(完成状态、事件、数量、PID)、内存分配结构(类型、容量、SessionID、PID); - 出现性能问题时有关软件操作的信息:软件安装标识符、性能下降的类型和值、有关软件内事件序列的信息(时间、时区、类型、完成状态、软件组件标识符、软件操作场景标识符、TID、PID、函数调用地址)、有关待检查网络连接的信息(URL、连接方向、网络包大小)、有关 PDB 文件的信息(名称、标识符、可执行文件的图像大小)、有关待检查文件的信息(名称、完整路径、校验和)、软件性能监测参数; - 有关上次不成功操作系统重启的信息:自操作系统安装后不成功重启的次数、系统转储的数据(错误的代码和参数、在操作系统操作中造成错误的模块的名称、版本及校验和 (CRC32)、作为模块偏移量的错误地址、系统转储的校验和(MD5、SHA2-256、SHA1); - 验证用于签署文件的数字证书真实性的信息:证书的指纹、校验和算法、证书的公钥和序列号、证书发行者的名称、证书验证结果和证书的数据库标识符; - 有关对软件的自我防御执行攻击的进程的信息:进程文件的名称和大小、进程文件的校验和(MD5、SHA2-256、SHA1)、进程文件的完整路径及文件路径的模板代码、创建/编译时间戳、进程文件类型代码、可执行文件标记、进程文件的属性、有关用于进程文件签名的证书的信息、用于执行进程或线程内可疑活动的账户类型、执行进程访问的操作 ID、执行操作的资源类型(进程、文件、注册表对象、FindWindow 搜索功能)、执行操作的资源名称、表示操作成功的标志、根据 KSN 判定的进程文件的状态及其签名; - 有关权利持有人软件的信息:其完整版本、类型、区域语言和操作状态、已安装软件组件的版本及其操作状态、有关已安装更新的信息、目标过滤器的值、用于连接权利持有人服务的协议的版本; - 有关计算机已安装硬件的信息:内置和已连接设备的类型、名称、型号名称、固件版本、参数、计算机已安装软件的唯一标识符; - 有关操作系统版本和已安装更新的信息:操作系统运行模式的文字大小、版本和参数,操作系统内核文件的版本和校验和(MD5、SHA2-256、SHA1)以及操作系统启动日期和时间; - 关于用户与应用程序的控制(点击、触控事件)进行互动的信息。 而且,为了实现提高软件所提供保护有效性而宣称的目的,权利持有人可接收入侵者为损害计算机和造成信息安全威胁而利用的对象。此类对象包括: - 可执行和不可执行文件或其部分; - 计算机 RAM 的部分; - 操作系统引导进程涉及的扇区; - 网络流量数据包; - 包含可疑和恶意对象的网页及电子邮件; - 类描述和 WMI 资源库类的实例; - 应用程序活动报告。 此类应用程序活动报告包含有关文件和进程的以下数据: - 所发送文件的名称、大小和版本、其描述及校验和(MD5、SHA2-256、SHA1)、文件格式标识符、文件供应商的名称、文件所属的产品名称、计算机完整路径、文件路径的模板代码、文件的创建和修改时间戳; - 证书有效期的开始和结束日期/时间(如果文件具有数字签名)、签名的日期和时间、证书发行者的名称,有关证书持有者的信息、指纹、证书的公匙和适当算法以及证书的序列号; - 进程运行帐户的名称; - 进程运行计算机名的校验和(MD5、SHA2-256、SHA1); - 进程窗口的标题; - 反病毒数据库的标识符、根据权利持有人分类判定的检测到的威胁的名称; - 有关已安装授权许可、其标识符、类型和到期日期的数据; - 提供信息时的计算机本地时间; - 进程所访问文件的名称和路径; - 进程所访问注册表项的名称和值; - 进程访问的 URL 和 IP 地址; - 下载运行文件的 URL 和 IP 地址。 而且,为了实现所宣称的有关防止误报的目的,权利持有人可接收值得信赖的可执行和不可执行文件或其部分。 在《用户手册》中可以找到根据指定 KSN 使用设置发送的数据的说明。 您的参与选择 是否根据本声明自动定期向权利持有人发送数据完全由您选择。您可以按照《用户手册》中的说明,在软件设置中随时撤销您的同意。 © 2020 AO Kaspersky Lab.