技术支持

企业产品

Kaspersky Endpoint Security 12 for Windows

附录

附录 1.应用程序设置

应用程序控制

Kaspersky Endpoint Security 12 for Windows
在线帮助
常见问题解答 系统要求 下载 购买 续订 论坛 联系支持 恢复工具 产品视频
Нет результатов
Нет результатов

应用程序控制

2024年2月14日

ID 176742

另存为 PDF

“应用程序控制”管理用户计算机上的应用程序启动。这允许您在使用应用程序时实施公司安全策略。“应用程序控制”还通过限制对应用程序的访问来降低计算机感染的风险。

配置“应用程序控制”包括以下步骤:

  1. 创建应用程序类别

    管理员创建管理员想要管理的应用程序类别。应用程序类别适用于公司网络中的所有计算机,与管理组无关。要创建类别,可以使用以下条件:KL 类别(例如,浏览器)、文件哈希、应用程序供应商和其他条件。

  2. 创建应用程序控制规则。

    管理员在管理组的策略中创建应用程序控制规则。该规则包括应用程序类别和这些类别中的应用程序的启动状态:已阻止或已允许。

  3. 选择应用程序控制模式

    管理员选择对未包含在以下任何规则中的应用程序的处理模式(应用程序拒绝列表或允许列表)。

当用户尝试启动已禁止的应用程序时,Kaspersky Endpoint Security 将阻止该应用程序启动并显示通知(请参见下图)。

系统提供了一种测试模式来检查“应用程序控制”的配置。在此模式下,Kaspersky Endpoint Security 执行以下操作:

  • 允许启动应用程序,包括已禁止的应用程序。
  • 显示有关已禁止的应用程序启动的通知,并将信息添加到用户计算机上的报告中。
  • 将有关已禁止的应用程序启动的数据发送到 Kaspersky Security Center。

    关于应用程序启动受阻的通知。用户可以创建启动应用程序的请求。

    “应用程序控制”通知

“应用程序控制”运行模式

“应用程序控制”组件在两种模式下运行:

  • 拒绝列表”。在此模式下,“应用程序控制”允许用户启动除了应用程序控制规则中禁止的应用程序以外的所有应用程序。

    默认情况下启用“应用程序控制”的这一模式。

  • 允许列表”。在此模式下,“应用程序控制”阻止用户启动除了应用程序控制规则中允许和未禁止的应用程序以外的任何应用程序。

    如果完整配置了“应用程序控制”的允许规则,则该组件将阻止启动所有未经局域网管理员验证的新应用程序,同时允许运行用户在工作中依赖的操作系统和受信任应用程序。

    您可以阅读有关在允许列表模式下配置应用程序控制规则的建议

可以使用 Kaspersky Endpoint Security 本地界面和 Kaspersky Security Center 将“应用程序控制”配置为在这些模式下运行。

但是,Kaspersky Security Center 提供了在 Kaspersky Endpoint Security 本地界面中不可用的工具,例如以下任务所需的工具:

因此,建议使用 Kaspersky Security Center 配置“应用程序控制”组件的运行。

“应用程序控制”运行算法

Kaspersky Endpoint Security 使用算法来决定是否启动应用程序(请参见下图)。

“应用程序控制”运行算法

应用程序控制组件设置

参数

描述

启动被规则阻止的应用程序时的操作

应用规则”。Kaspersky Endpoint Security 根据所选模式管理应用程序的启动。

测试规则”。Kaspersky Endpoint Security 将允许启动在当前应用程序控制模式中阻止的应用程序,但是在报告中记录应用程序启动信息。

应用程序启动控制模式

您可以选择以下选项之一:

  • 拒绝列表”。如果选择该选项,应用程序控制将允许所有用户启动所有应用程序,符合应用程序控制阻止规则的应用程序除外。
  • 允许列表”。如果选择该选项,应用程序控制将阻止所有用户启动任何应用程序,符合应用程序控制允许规则的应用程序除外。

选择允许列表模式后,会自动创建两个应用程序控制规则:

  • 黄金镜像”。
  • 受信任更新程序”。

您不能编辑自动创建的规则的设置,也不能删除这些规则。您可以启用或禁用这些规则。

控制 DLL 模块加载

如果选定该复选框,Kaspersky Endpoint Security 将在用户启动应用程序时控制 DLL 模块的加载。有关 DLL 模块和加载该 DLL 模块的应用程序的信息将记录在该报告中。

当启用对加载 DLL 模块和驱动程序的控制时,请确保在“应用程序控制”设置中已启用以下规则之一:默认黄金镜像规则或其他包含受信任证书 KL 类别的规则,并确保在启动 Kaspersky Endpoint Security 之前加载受信任的 DLL 模块和驱动程序。如果在禁用“黄金镜像”规则时启用对加载 DLL 模块和驱动程序的控制,可能导致操作系统不稳定。

Kaspersky Endpoint Security 仅监控自选中该复选框后加载的 DLL 模块和驱动程序。选择复选框后,建议重启计算机以确保应用程序监控所有 DLL 模块和驱动程序,包括那些在 Kaspersky Endpoint Security 启动之前加载的。

关于应用程序阻止的消息模板

阻止消息”。当触发了某个阻止应用程序启动的应用程序控制规则时所显示的消息模板。

给管理员的消息”。当用户相信某个应用程序被错误地阻止时可以发送给公司局域网管理员的消息模板。在用户请求提供访问权限后,Kaspersky Endpoint Security 向 Kaspersky Security Center 发送一个事件: 发送给管理员的应用程序启动阻止消息。事件描述包含一条给管理员的消息,其中包含替换变量。您可以使用预定义事件分类用户请求在 Kaspersky Security Center 控制台中查看这些事件。如果您的组织没有部署 Kaspersky Security Center 或者没有连接到管理服务器,应用程序将向管理员发送一条消息到指定的电子邮件地址。

另请参阅:通过本地界面管理应用程序

应用程序控制功能限制

启用和禁用应用程序控制

管理应用程序控制规则

测试应用程序控制规则

选择应用程序控制模式

为文件或文件夹创建名称掩码的规则

编辑应用程序控制消息模板

Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.