技术支持

企业产品

Kaspersky Endpoint Security 12 for Windows

计算机控制

应用程序控制

管理应用程序控制规则

为应用程序控制规则添加触发条件

Kaspersky Endpoint Security 12 for Windows
在线帮助
常见问题解答 系统要求 下载 购买 续订 论坛 联系支持 恢复工具 产品视频
Нет результатов
Нет результатов

为应用程序控制规则添加触发条件

2024年2月14日

ID 130537

另存为 PDF

您可以创建应用程序类别,以便于创建应用程序控制规则。

建议您创建涵盖公司内所使用的标准应用程序集的“工作应用程序”类别。如果工作中不同的用户组使用不同的应用程序集,则可以为每个用户组创建单独的应用程序类别。

要在管理控制台创建应用程序类别:

  1. 打开 Kaspersky Security Center Administration Console。
  2. 在树状管理控制台中,选择“附加” → “应用程序管理” → “应用程序类别”文件夹。
  3. 在工作区中单击“新类别”按钮。

    用户类别创建向导将启动。

  4. 按照用户类别创建向导的说明进行操作。

步骤 1. 选择类别类型

在此步骤中,选择以下应用程序类别之一:

  • 包含手动添加内容的类别。如果选择此类型的类别,您可以在“配置将应用程序包括在类别中的条件”步骤和“配置将应用程序从类别中排除的条件”步骤中定义将可执行文件包括到类别中所依据的标准。
  • 包含所选设备上可执行文件的类别。如果选择此类型的类别,您可以在“设置”步骤中指定将自动包括在该类别中的可执行文件所属的计算机。
  • 包含指定文件夹内可执行文件的类别。如果选择此类型的类别,您可以在“存储库文件夹”步骤中指定将自动包括在类别中的可执行文件所来自的文件夹。

创建包含自动添加内容的类别时,Kaspersky Security Center 对以下格式的文件执行清查:EXE, COM, DLL, SYS, BAT, PS1, CMD, JS, VBS, REG, MSI, MSC, CPL, HTML, HTM, DRV, OCX 和 SCR。

步骤 2. 输入用户类别名称

在此步骤中,为应用程序类别指定一个名称。

步骤 3. 配置将应用程序包括在类别中的条件

如果您选择“包含手动添加内容的类别”类别类型,此步骤可用。

在此步骤中,在“添加”下拉列表中选择用于将应用程序包括到类别中的条件:

  • 从可执行文件列表。将客户端设备上的可执行文件列表中的应用程序添加到自定义类别。
  • 从文件属性。指定可执行文件的详细数据,作为将应用程序添加到自定义类别的条件。
  • 文件夹中文件的元数据。选择客户端设备上包含可执行文件的文件夹。Kaspersky Security Center 会将这些可执行文件的元数据作为将应用程序添加到自定义类别的条件。
  • 文件夹中文件的校验和。选择客户端设备上包含可执行文件的文件夹。Kaspersky Security Center 会将这些可执行文件的哈希值作为将应用程序添加到自定义类别的条件。
  • 文件夹中文件的证书。选择客户端设备上包含带证书签名的可执行文件的文件夹。Kaspersky Security Center 会将这些可执行文件的证书作为将应用程序添加到自定义类别的条件。

    不建议使用其属性中未指定证书指纹参数的条件。

  • MSI 安装文件元数据。选择 MSI 包。Kaspersky Security Center 会将 MSI 包内封装的可执行文件的元数据作为将应用程序添加到自定义类别的条件。
  • 应用程序 MSI 安装程序中文件的校验和。选择 MSI 包。Kaspersky Security Center 会将该 MSI 包内封装的可执行文件的哈希值作为将应用程序添加到自定义类别的条件。
  • 从 KL 类别。指定 KL 类别作为将应用程序添加到自定义类别的条件。KL 类别是具有相同主题属性的应用程序列表。该列表由 Kaspersky 专家维护。例如,“Office 应用程序”KL 类别就包含了 Microsoft Office 套装的所有应用程序、Adobe Acrobat 和其他应用程序。

    您可以选择所有 KL 类别来生成受信任应用程序的扩展列表。

  • 指定应用程序路径。选择客户端设备上的文件夹。Kaspersky Security Center 会将该文件夹下的可执行文件添加到自定义类别。
  • 从存储库选择证书。选择用来对可执行文件签名的证书作为将应用程序添加到自定义类别的条件。

    不建议使用其属性中未指定证书指纹参数的条件。

  • 驱动器类型。指定存储设备类型(所有硬盘驱动器和可移动驱动器,或者仅限可移动驱动器)作为将应用程序添加到自定义类别的条件。

步骤 4. 配置将应用程序从类别中排除的条件

如果您选择“包含手动添加内容的类别”类别类型,此步骤可用。

在此步骤指定的应用程序将从类别中排除,即使在“配置将应用程序包括在类别中的条件”步骤指定了这些应用程序。

在此步骤中,在“添加”下拉列表中选择用于将应用程序从类别中排除的条件:

  • 从可执行文件列表。将客户端设备上的可执行文件列表中的应用程序添加到自定义类别。
  • 从文件属性。指定可执行文件的详细数据,作为将应用程序添加到自定义类别的条件。
  • 文件夹中文件的元数据。选择客户端设备上包含可执行文件的文件夹。Kaspersky Security Center 会将这些可执行文件的元数据作为将应用程序添加到自定义类别的条件。
  • 文件夹中文件的校验和。选择客户端设备上包含可执行文件的文件夹。Kaspersky Security Center 会将这些可执行文件的哈希值作为将应用程序添加到自定义类别的条件。
  • 文件夹中文件的证书。选择客户端设备上包含带证书签名的可执行文件的文件夹。Kaspersky Security Center 会将这些可执行文件的证书作为将应用程序添加到自定义类别的条件。
  • MSI 安装文件元数据。选择 MSI 包。Kaspersky Security Center 会将 MSI 包内封装的可执行文件的元数据作为将应用程序添加到自定义类别的条件。
  • 应用程序 MSI 安装程序中文件的校验和。选择 MSI 包。Kaspersky Security Center 会将该 MSI 包内封装的可执行文件的哈希值作为将应用程序添加到自定义类别的条件。
  • 从 KL 类别。指定 KL 类别作为将应用程序添加到自定义类别的条件。KL 类别是具有相同主题属性的应用程序列表。该列表由 Kaspersky 专家维护。例如,“Office 应用程序”KL 类别就包含了 Microsoft Office 套装的所有应用程序、Adobe Acrobat 和其他应用程序。

    您可以选择所有 KL 类别来生成受信任应用程序的扩展列表。

  • 指定应用程序路径。选择客户端设备上的文件夹。Kaspersky Security Center 会将该文件夹下的可执行文件添加到自定义类别。
  • 从存储库选择证书。选择用来对可执行文件签名的证书作为将应用程序添加到自定义类别的条件。
  • 驱动器类型。指定存储设备类型(所有硬盘驱动器和可移动驱动器,或者仅限可移动驱动器)作为将应用程序添加到自定义类别的条件。

步骤 5. 设置

如果您选择“包含所选设备上可执行文件的类别”类别类型,此步骤可用。

在此步骤中,单击“添加”按钮并指定 Kaspersky Security Center 将其可执行文件添加到应用程序类别的计算机。“可执行文件”文件夹中指定计算机的所有可执行文件都将由 Kaspersky Security Center 添加到该应用程序类别。

在此步骤还可以配置以下设置:

  • 哈希函数计算的算法。要选择算法,您必须选中以下至少一个复选框:
    • 为该类别中的文件计算 SHA-256(在 Kaspersky Endpoint Security 10 Service Pack 2 for Windows 或更新版本中支持)”。
    • 为该类别中的文件计算 MD5(在 Kaspersky Endpoint Security 10 Service Pack 2 for Windows 更早版本中支持)”。
  • 与管理服务器存储库同步数据”复选框。如果您希望 Kaspersky Security Center 定期清除应用程序类别并将“可执行文件”文件夹中指定计算机的所有可执行文件添加到该类别,请选择该复选框。

    如果清除“与管理服务器存储库同步数据”复选框,Kaspersky Security Center 在应用程序类别创建后不会对其进行任何修改。

  • 扫描周期(小时)”字段。在这一字段中,您可以指定 Kaspersky Security Center 定期清除应用程序类别并将“可执行文件”文件夹中指定计算机的所有可执行文件添加到该类别的时间间隔(小时)。

    如果选择“与管理服务器存储库同步数据”复选框,此字段可用。

步骤 6. 存储库文件夹

如果您选择“包含指定文件夹内可执行文件的类别”类别类型,此步骤可用。

在此步骤中,指定 Kaspersky Security Center 将在其中搜索可执行文件的文件夹,以便自动将应用程序添加到该应用程序类别。

在此步骤还可以配置以下设置:

  • 包含动态链接库 (DLL) 到该类别”复选框。如果您希望将动态链接库(DLL 文件)包含在应用程序类别中,请选中此复选框。

    在应用程序类别中包含 DLL 文件可能降低 Kaspersky Security Center的性能。

  • 包含脚本数据到该类别”复选框。如果您希望将脚本包含在应用程序类别中,请选中此复选框。

    在应用程序类别中包含脚本可能降低 Kaspersky Security Center 的性能。

  • 哈希函数计算的算法。要选择算法,您必须选中以下至少一个复选框:
    • 为该类别中的文件计算 SHA-256(在 Kaspersky Endpoint Security 10 Service Pack 2 for Windows 或更新版本中支持)”。
    • 为该类别中的文件计算 MD5(在 Kaspersky Endpoint Security 10 Service Pack 2 for Windows 更早版本中支持)”。
  • 强制扫描文件夹以查找更改”复选框。如果您希望 Kaspersky Security Center 在用于自动添加到应用程序类别的文件夹中定期搜索可执行文件,请选择该复选框。

    如果清除“强制扫描文件夹以查找更改”复选框,Kaspersky Security Center 仅在用于自动添加到应用程序类别的文件夹有变更、该文件夹内添加或删除了文件时才在该文件夹中搜索可执行文件。

  • 扫描周期(小时)”字段。在此字段中,您可以指定 Kaspersky Security Center 在用于自动添加到应用程序类别的文件夹中搜索可执行文件的时间间隔(以小时为单位)。

    如果选择了“强制扫描文件夹以查找更改”复选框,该字段可用。

步骤 7. 创建自定义类别

退出向导。

要在应用程序界面中为应用程序控制规则添加触发条件:

  1. 打开主应用程序窗口并单击 齿轮形式的应用程序设置图标。 按钮。
  2. 在应用程序设置窗口中,选择“安全控制” → “应用程序控制”。
  3. 单击“已阻止的应用程序”或“允许的应用程序”按钮。

    这将打开应用程序控制规则列表。

  4. 选择要为其配置触发条件的规则。

    “应用程序控制规则”属性将开启。

  5. 选择“条件: N”选项卡或“排除项: N”选项卡并单击“添加”按钮。
  6. 为应用程序控制规则选择触发条件。
    • 来自已启动应用程序属性的条件”。在运行中的应用程序列表中,您可以选择要应用应用程序控制规则的应用程序。Kaspersky Endpoint Security 也列出先前运行在计算机上的应用程序。您需要选择用于创建一个或多个规则触发条件的标准:文件哈希证书KL 类别元数据文件或文件夹路径
    • 条件"KL 类别"KL 类别是具有相同主题属性的应用程序列表。该列表由 Kaspersky 专家维护。例如,“Office 应用程序”KL 类别就包含了 Microsoft Office 套装的所有应用程序、Adobe® Acrobat® 和其他应用程序。
    • 自定义条件”。您可以选择应用程序文件并选择以下规则触发条件之一:文件哈希证书元数据文件或文件夹路径
    • 按文件驱动器归类的条件(可移动驱动器)”。应用程序控制规则仅应用到在可移动驱动器上运行的文件。
    • 来自指定文件夹中文件属性的条件”。应用程序控制规则仅应用到指定文件夹中的文件。您也可以从子文件夹包含或排除文件。您需要选择用于创建一个或多个规则触发条件的标准:文件哈希证书KL 类别元数据文件或文件夹路径
  7. 保存更改。

当添加条件时,请考虑应用程序控制的以下特殊情况:

  • Kaspersky Endpoint Security 不支持拥有哈希代码的 MD5 文件并且不会基于 MD5 哈希控制应用程序的启动。规则触发条件使用了 SHA256 哈希代码。
  • 不建议仅将发布者主题标准设定为规则触发条件。使用这些标准不可靠。
  • 如果您在“文件或文件夹路径”字段中使用符号链接,建议您解析符号链接以正确操作应用程序控制规则。要执行此操作,请单击“解析符号链接”按钮。

Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.