配置软件分发控制

要添加受信任分发包：

1. 打开“应用程序启动控制”窗口。
2. 在“软件分发控制”选项卡上，选中“自动允许通过所列应用程序和软件包分发软件”复选框。
   

   使用此复选框可启用和禁用自动创建使用列表中指定的分发包启动的所有文件的排除项。

   如果选中此复选框，应用程序会自动允许受信任分发包中的文件启动。可以编辑允许启动的应用程序和分发包列表。

   如果清除此复选框，应用程序不会应用列表中指定的排除项。

   默认取消选中该复选框。

   如果在“应用程序启动控制”任务设置中选中“常规”选项卡中的“将规则应用于可执行文件”复选框，则您可选中“自动允许通过所列应用程序和软件包分发软件”。

3. 根据需要清除“始终允许通过 Windows Installer 进行软件分发”复选框。
   

   此复选框用于启用和禁用自动创建添加到允许列表并且通过 Windows Installer 执行的所有文件的排除项。

   如果选中该复选框，通过 Windows Installer 安装的文件将始终被允许启动。

   如果清除该复选框，文件将不被允许无条件启动，即使通过 Windows Installer 启动它们。

   默认选中该复选框。

   如果未选中“自动允许通过所列应用程序和软件包分发软件”复选框，则此复选框不可编辑。

   仅当在绝对必要时才推荐清除“始终允许通过 Windows Installer 进行软件分发”复选框。关闭此功能可能导致更新操作系统文件出问题，还可能阻止从分发包中提取的文件启动。

4. 如果需要，请选中“始终允许使用后台智能传输服务通过 SCCM 进行软件分发”复选框。
   

   通过使用 System Center Configuration Manager，该复选框可以自动开启或关闭软件分发。

   如果选中此复选框，则 Kaspersky Embedded Systems Security 自动允许使用 System Center Configuration Manager 进行 Microsoft Windows 部署。应用程序仅允许通过后台智能传输服务进行软件分发。

   应用程序可控制具有以下扩展名的对象的启动：

   • .exe
   • .msi

   默认取消选中该复选框。

   应用程序控制受保护设备上从软件包传送到安装或更新的软件分发周期。如果在受保护设备上安装应用程序之前已执行分发的任何阶段，则应用程序不会控制过程。

5. 要创建允许列表或编辑受信任分发包的现有列表，请单击“更改分发包列表”，然后在出现的窗口中选择以下方法之一：
   • 添加一个分发包。
     1. 单击“浏览”按钮。
     2. 选择可执行文件或分发包。

        “信任条件”部分会使用有关选定文件的数据自动进行填充。

     3. 清除或选中“允许进一步分发通过此分发包创建的程序”复选框。
     4. 选择两个可用条件选项中的一个，用于决定文件或分发包是否受信任：
        • 使用数字证书
        • 使用 SHA256 哈希
   • 按哈希添加多个分发包。

     您可以选择无限数量的可执行文件和分发包，并同时将它们添加到列表。Kaspersky Embedded Systems Security 将检查哈希并允许操作系统启动指定的文件。

   • 更改选定的分发包。

     使用此选项可以选择不同的可执行文件或分发包，或更改信任条件。

   • 从文件导入分发包列表。
     

     可以从配置文件导入受信任分发包的列表。要使文件被 Kaspersky Embedded Systems Security 识别，文件必须满足以下参数：

     • 文件扩展名为 TXT。
     • 文件包含结构化成行列表的信息，其中每一行包含的数据用于一个受信任的文件。
     • 文件必须包含以下格式之一的列表：
       • <文件名>:<SHA256 哈希>。
       • <SHA256 哈希>*<文件名>。

     在“打开”窗口中，指定包含受信任分发包列表的配置文件。

6. 如果要删除受信任列表中以前添加的应用程序或分发包，请单击“删除分发包”按钮。将允许运行提取的文件。

   要阻止提取的文件启动，请在受保护设备上卸载应用程序，或在应用程序启动控制任务设置中创建拒绝规则。

7. 单击“确定”。

将保存新配置的设置。