关于应用程序启动控制规则

Kaspersky Endpoint Security 根据规则按照用户控制应用程序的启动。应用程序启动控制规则将指定触发条件以及条件被触发时应用程序启动控制指定的操作（按用户允许或阻止应用程序启用）。

规则触发条件

触发规则的条件拥有以下对应：“条件类型 - 条件标准 - 条件值”（参见下图）。根据规则触发条件，Kaspersky Endpoint Security 将对应用程序应用（或不应用）规则。

应用程序启动控制规则。规则触发条件参数

规则使用包括和排除条件：

• 包括条件。如果应用程序匹配至少一个包括条件，Kaspersky Endpoint Security 会将规则应用至该应用程序。
• 排除条件。如果应用程序匹配至少一个排除条件并且不匹配任何包括条件，Kaspersky Endpoint Security 不会将规则应用至该应用程序。

规则触发条件使用标准进行创建。Kaspersky Endpoint Security 中使用以下标准创建规则：

• 包含应用程序可执行文件的文件夹的路径或该应用程序的可执行文件的路径。
• 元数据：应用程序可执行文件名称、应用程序可执行文件版本、应用程序名称、应用程序版本、应用程序提供商。
• 应用程序可执行文件的哈希值。
• 证书：发布者、主体、指纹。
• 在 KL 类别中包括应用程序。
• 可移动磁盘驱动器上应用程序可执行文件的位置。

必须为条件中使用的每个标准制定标准值。如果要启动的应用程序参数符合包括条件中指定的标准值，则触发规则。在这种情况下，应用程序启动控制将执行规则中指定的操作。如果应用程序参数匹配排除条件中指定的值，应用程序启动控制不会控制应用程序的启动。

触发规则后由应用程序启动控制组件作出决定。

触发操作后，应用程序启动控制将允许用户（或用户组）启动应用程序或根据规则阻止启动。您可以选择允许或不允许匹配规则的应用程序启动的用户或用户组。

如果一个规则未指定那些被允许启动匹配该规则的应用程序的用户，则该规则称为“阻止”规则。

如果一个规则未指定任何不允许启动匹配该规则的应用程序的用户，则该规则称为“允许”规则。

阻止规则的优先级高于允许规则的优先级。例如，如果已经为一个用户组指定了应用程序启动控制允许规则，但已经为该用户组中的一个用户指定了一个应用程序启动控制阻止规则，则该用户将被阻止启动应用程序。

规则运行状态

应用程序启动控制规则可为以下两个状态值之一：

• 开。

  该规则运行状态意味着规则被启用。

• 关。

  该规则状态意味着规则被禁用。

默认应用程序启动控制规则

默认情况下，应用程序启动控制以黑名单模式运行。该组件允许所有用户启动所有应用程序。当用户尝试启动由应用程序启动控制规则阻止的应用程序时，Kaspersky Endpoint Security 将阻止该应用程序启动（如果选择了“阻止”操作）或者在报告中保存该应用程序启动的信息（如果选择了“通知”操作）。