管理策略(防御规则)
在应用程序 Web 界面中工作时,具有高级安全官角色的用户可以管理选定主机上文件和进程的防御规则。例如,您可以阻止运行您认为在具有端点代理组件的选定主机上使用不安全的应用程序。该应用程序通过使用 MD5 和 SHA256 哈希算法基于文件哈希识别文件。您可以创建、启用、禁用、删除和修改防御规则。此外,您还可以单击防御规则表中带有哈希算法名称的链接来查找触发了防御规则的对象、事件或警报,例如查找事件、查找警报、在 Kaspersky TIP 上查找或者在 virustotal.com 上查找。
- 全球 — 在 PCN 上创建。这些防御规则适用于连接到此 PCN 服务器的主机以及连接到此 PCN 服务器的所有 SCN 服务器。防御规则属于用户在应用程序 Web 界面中管理的租户。
- 本地 — 在 SCN 服务器上创建。这些防御规则仅适用于连接到此 SCN 服务器的主机。防御规则属于用户在应用程序 Web 界面中管理的租户。
具有高级安全官角色的用户可以为他们有权访问其数据的租户创建、编辑、删除、启用、禁用和导入防御规则。
具有安全官角色的用户无权访问策略。
具有安全审计员角色的用户可以查看文件运行防御规则和进程运行防御规则表,以及所选防御规则的信息,但不能编辑规则。
在与选定主机建立授权连接之后,所有防御规则更改都会应用到主机上。如果与主机没有连接,则旧的防御规则将继续应用于主机。对防御规则的更改不会影响已在运行的进程。
防御规则可以根据默认添加的预设策略(以下也称为“预设”)自动创建。打开预设时,防御规则将根据沙箱组件的中度或高严重性警报创建。这样创建的防御规则会根据文件的 MD5 哈希值来阻止运行该文件。具有高级安全官角色的用户可以启用和禁用预设。
对于自动创建或导入的防御规则,可以应用与手动创建的规则相同的操作。
您只能为每个文件哈希创建一条防御规则。
系统中支持的最大防御规则数量为 50000 条。
仅当端点代理组件在主机上运行时才会强制执行防御规则。如果在启动组件之前或在主机上关闭组件之后尝试运行文件,则该文件不会被阻止运行。
仅当端点代理组件与中央节点服务器集成时,您才可以使用策略管理选定主机上的文件和进程运行阻止规则;为此,您必须使用 Kaspersky Anti Targeted Attack Platform 的 Web 界面。
如果您使用 Kaspersky Endpoint Security for Windows作为端点代理组件,则必须考虑到该应用程序支持阻止运行具有某些扩展名的 Office 格式文件和某些脚本解释器。