配置预定义规则

• “系统中存在可能的暴力攻击模式”。
• “在网络登录会话期间检测到非典型活动”。
• “可能存在滥用 Windows 事件日志的模式”。
• “检测到代表安装了新服务的非典型操作”。
• “检测到使用显式凭证的非典型登录”。
• “系统中存在可能的 Kerberos 伪造的 PAC (MS14-068) 攻击模式”。
• “在特权内置管理员组中检测到可疑更改”。

1. 单击规则下的“设置”按钮。
2. 在打开的窗口中，指定要触发规则必须尝试输入密码的次数和时间段。
3. 单击“确定”。

1. 单击规则下的“设置”按钮。
2. 在“网络登录检测”块中，指定时间间隔的开始和结束。

   Kaspersky Endpoint Security 将在所定义期间执行的登录尝试视为异常活动。

   默认情况下，不设置间隔，并且应用程序不监控登录尝试。要让应用程序连续监控登录尝试，请将间隔设置为 12:00 AM - 11:59 PM。间隔的开始和结束不能重合。如果它们相同，则应用程序不会监控登录尝试。

3. 创建受信任用户和受信任 IP 地址（IPv4 和 IPv6）列表。

   您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户，当无法使用域用户账户时。Kaspersky Endpoint Security 不监控这些用户和计算机的登录尝试。

4. 单击“确定”。

策略属性窗口将打开。

• “系统中存在可能的暴力攻击模式”。
• “在网络登录会话期间检测到非典型活动”。
• “可能存在滥用 Windows 事件日志的模式”。
• “检测到代表安装了新服务的非典型操作”。
• “检测到使用显式凭证的非典型登录”。
• “系统中存在可能的 Kerberos 伪造的 PAC (MS14-068) 攻击模式”。

1. “在特权内置管理员组中检测到可疑更改”。

1. 单击规则下方的“设置”。
2. 在打开的窗口中，指定要触发规则必须尝试输入密码的次数和时间段。
3. 单击“确定”。

1. 单击规则下方的“设置”。
2. 在“网络登录检测”块中，指定时间间隔的开始和结束。

   Kaspersky Endpoint Security 将在所定义期间执行的登录尝试视为异常活动。

   默认情况下，不设置间隔，并且应用程序不监控登录尝试。要让应用程序连续监控登录尝试，请将间隔设置为 12:00 AM - 11:59 PM。间隔的开始和结束不能重合。如果它们相同，则应用程序不会监控登录尝试。

3. 在“排除项”块，添加受信任用户和受信任 IP 地址（IPv4 和 IPv6）。

   您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户，当无法使用域用户账户时。Kaspersky Endpoint Security 不监控这些用户和计算机的登录尝试。

4. 单击“确定”。

• “系统中存在可能的暴力攻击模式”。
• “在网络登录会话期间检测到非典型活动”。
• “可能存在滥用 Windows 事件日志的模式”。
• “检测到代表安装了新服务的非典型操作”。
• “检测到使用显式凭证的非典型登录”。
• “系统中存在可能的 Kerberos 伪造的 PAC (MS14-068) 攻击模式”。

1. “在特权内置管理员组中检测到可疑更改”。

1. 单击规则下方的“设置”。
2. 在打开的窗口中，指定要触发规则必须尝试输入密码的次数和时间段。

1. 单击规则下方的“设置”。
2. 在“网络登录检测”块中，指定时间间隔的开始和结束。

   Kaspersky Endpoint Security 将在所定义期间执行的登录尝试视为异常活动。

   默认情况下，不设置间隔，并且应用程序不监控登录尝试。要让应用程序连续监控登录尝试，请将间隔设置为 12:00 AM - 11:59 PM。间隔的开始和结束不能重合。如果它们相同，则应用程序不会监控登录尝试。

3. 在“排除项”块，添加受信任用户和受信任 IP 地址（IPv4 和 IPv6）。

   您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户，当无法使用域用户账户时。Kaspersky Endpoint Security 不监控这些用户和计算机的登录尝试。