Kaspersky Endpoint Security 12 for Windows

管理应用程序控制规则

2024年8月8日

ID 130535

Kaspersky Endpoint Security 根据规则按照用户控制应用程序的启动。应用程序控制规则指定触发条件以及规则被触发时“应用程序控制”组件执行的操作(用户允许或阻止应用程序启动)。

规则触发条件

规则触发条件具有以下关联:“条件类型 - 条件标准 - 条件值”。根据规则触发条件,Kaspersky Endpoint Security 将对应用程序应用(或不应用)规则。

以下条件类型被用于规则:

  • 包括条件。如果应用程序匹配至少一个包括条件,Kaspersky Endpoint Security 会将规则应用至该应用程序。
  • 排除条件。如果应用程序匹配至少一个排除条件并且不匹配任何包括条件,Kaspersky Endpoint Security 不会将规则应用至该应用程序。

规则触发条件使用标准进行创建。Kaspersky Endpoint Security 中使用以下标准创建规则:

  • 包含应用程序可执行文件的文件夹的路径或该应用程序的可执行文件的路径。
  • 元数据:应用程序可执行文件名称、应用程序可执行文件版本、应用程序名称、应用程序版本、应用程序提供商。
  • 应用程序可执行文件的哈希值。
  • 证书:发布者、主题、指纹。
  • 在 KL 类别中包括应用程序。
  • 可移动驱动器上应用程序可执行文件的位置。

必须为条件中使用的每个标准制定标准值。如果要启动的应用程序参数符合包括条件中指定的标准值,则触发规则。在这种情况下,“应用程序控制”将执行规则中指定的操作。如果应用程序参数匹配排除条件中指定的值,“应用程序控制”不会控制应用程序的启动。

如果您已选择证书作为规则触发条件,则需要确保将此证书添加到计算机上的受信任系统存储中,并检查应用程序中的受信任系统存储使用设置

触发规则后由“应用程序控制”组件做出决定。

触发规则后,“应用程序控制”将根据规则允许用户(或用户组)启动应用程序或阻止启动。您可以选择允许或不允许匹配规则的应用程序启动的用户或用户组。

如果一个规则未指定那些被允许启动匹配该规则的应用程序的用户,则该规则称为“阻止”规则。

如果一个规则未指定任何不允许启动匹配该规则的应用程序的用户,则该规则称为“允许”规则。

阻止规则的优先级高于允许规则的优先级。例如,如果已经为一个用户组指定了应用程序控制允许规则,但已经为该用户组中的一个用户指定了一个应用程序控制阻止规则,则该用户将被阻止启动应用程序。

规则的运行状态

应用程序控制规则可具有以下运行状态之一:

  • 已启用”。此状态表示在“应用程序控制”组件运行时使用该规则。
  • 已禁用”。此状态表示在“应用程序控制”组件运行时忽略该规则。
  • 测试模式”。此状态表示 Kaspersky Endpoint Security 允许启动应用了规则的应用程序,但会在报告中记录与启动此类应用程序有关的信息。

本部分内容

为应用程序控制规则添加触发条件

将“可执行文件”文件夹中的可执行文件添加到应用程序类别

将事件相关的可执行文件添加到应用程序类别

添加应用程序控制规则

通过 Kaspersky Security Center 更改应用程序控制规则的状态

导出和导入应用程序控制规则

查看“应用程序控制”组件的运行所产生的事件

查看有关阻止的应用程序的报告

您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。