关于应用程序启动控制规则生成
您可使用 Kaspersky Security Center 任务和策略同时为公司网络上的所有受保护设备和受保护设备组创建应用程序启动控制规则列表。如果公司网络没有参考计算机,并且您无法基于模板机上安装的应用程序创建允许规则列表,则建议使用下面列出的方案。
您可以通过应用程序控制台在本地运行“应用程序启动控制规则生成器”任务,以基于单台受保护设备上运行的应用程序创建规则列表。
“应用程序启动控制”组件安装后具有两条预设的允许规则:
- 针对操作系统信任的脚本和带证书的 Windows Installer 软件包的允许规则。
- 针对操作系统信任的带证书的可执行文件的允许规则。
您可以使用以下方式之一在 Kaspersky Security Center 一侧创建应用程序启动控制规则列表:
- 使用“应用程序启动控制规则生成器”组任务。
在此方案下,一个组任务会为网络上的每台受保护设备生成其自己的应用程序启动控制规则列表,并将这些列表保存到指定共享文件夹中的 XML 文件。“应用程序启动控制规则生成器”任务生成的 XML 文件包含任务启动前任务设置中指定的允许规则。不会为指定任务设置中不允许启动的应用程序创建任何规则。默认情况下将拒绝此类应用程序启动。然后,您可将创建的规则列表手动导入 Kaspersky Security Center 策略的“应用程序启动控制”任务。
您可将生成的规则配置为自动导入“应用程序启动控制”任务的规则列表中。
当您需要快速创建应用程序启动控制规则列表时,推荐使用此方案。建议仅当应用的允许规则包含您知道安全的文件夹和文件时,才配置“应用程序启动控制规则生成器”任务的计划启动。
在网络中使用“应用程序启动控制”任务之前,请确保所有受保护设备都能够访问共享文件夹。如果组织的策略未规定使用网络中的共享文件夹,建议在测试受保护设备组中的受保护设备或模板机上启动“应用程序启动控制规则生成器”任务。
- 基于在“仅统计”模式下运行的“应用程序启动控制”任务在 Kaspersky Security Center 中生成的任务事件报告。
在此方案下,Kaspersky Embedded Systems Security 不拒绝应用程序启动。相反,当“应用程序启动控制”在“仅统计”模式下运行时,它会在 Kaspersky Security Center 中的管理服务器节点的工作区的“事件”选项卡中报告所有网络受保护设备中所有已允许和已拒绝的应用程序启动。Kaspersky Security Center 使用报告来生成一个拒绝了应用程序启动的事件列表。
您需要配置任务执行期限,以便在指定时间期限内执行所有可能的涉及受保护设备和受保护设备组的方案以及至少一次受保护设备重新启动。任务执行期限结束后,您可从保存的 Kaspersky Security Center 事件报告(TXT 格式)导入应用程序启动数据,并基于该数据为此类应用程序生成应用程序启动控制允许规则。
如果公司网络包含大量不同类型的受保护设备(安装了不同的软件),则推荐使用此方案。
- 根据通过 Kaspersky Security Center 接收到的拒绝应用程序启动事件,无需创建和导入配置文件。
要使用此功能,必须在有效的 Kaspersky Security Center 策略下运行受保护设备上的应用程序启动控制任务。在本例中,受保护设备上的所有事件均被发送到管理服务器。
推荐当网络受保护设备上安装的应用程序集合更改时(例如,安装更新或重新安装操作系统时)更新规则列表。建议通过在测试管理组中的受保护设备上以“仅统计”模式运行“应用程序启动控制规则生成器”任务或“应用程序启动控制”任务来生成更新的规则列表。测试管理组包含在网络受保护设备上安装新的应用程序之前对这些应用程序的启动进行测试所需的受保护设备。
包含允许规则列表的 XML 文件基于在受保护设备上启动的任务分析创建。为了在生成规则列表时将网络上使用的所有应用程序考虑在内,建议在模板机上以“仅统计”模式启动“应用程序启动控制规则生成器”任务和“应用程序启动控制”任务。
在基于参考计算机上启动的应用程序生成允许规则之前,确保模板机是安全的,并且不包含任何恶意软件。
添加允许规则之前,请选择其中一个可用的规则应用模式。Kaspersky Security Center 策略规则列表将仅显示由策略指定的那些规则,与规则应用模式无关。本地规则列表包括所有已应用的规则 — 本地规则和通过策略添加的规则。