关于“应用程序启动控制”任务
在运行“应用程序启动控制”任务时,Kaspersky Embedded Systems Security 会监控用户启动应用程序的尝试,并允许或拒绝这些应用程序启动。“应用程序启动控制”任务依赖于“默认拒绝”原则,这意味着任务设置中不允许的任何应用程序都会被自动阻止。
您可以使用以下方法之一允许应用程序启动:
- 设置受信任的应用程序的允许规则。
- 启动时在 KSN 中检查受信任应用程序的声誉。
该任务为拒绝应用程序启动赋予最高优先级。例如,如果某个应用程序被阻止规则之一阻止启动,该应用程序将被拒绝启动,不管 KSN 的受信任结论如何。而且,如果应用程序不受 KSN 服务信任,但包括在允许规则范围中,此应用程序会被拒绝启动。
所有启动应用程序的尝试将记录在任务日志中。
“应用程序启动控制”任务可以运行在以下两种模式之一:
- 活动。Kaspersky Embedded Systems Security 使用一组规则来控制处于应用程序启动控制规则范围内的应用程序的启动。应用程序启动控制规则的范围在该任务的设置中指定。如果应用程序处于应用程序启动控制规则范围内,并且任务设置不满足任何指定规则,此应用程序会被拒绝启动。
不在“应用程序启动控制”任务设置中指定的任何规则范围内的应用程序会被拒绝启动,不管“应用程序启动控制”任务设置如何。
如果未创建任何规则或为一台受保护设备创建了超过 65,535 条规则,则“应用程序启动控制”任务无法在活动模式下启动。
- 仅统计。Kaspersky Embedded Systems Security 不使用应用程序启动控制规则来允许或拒绝应用程序启动。相反,它只记录有关应用程序启动、正在运行的应用程序所满足的规则以及如果任务在“活动”模式下运行已执行的操作的信息。所有应用程序均允许启动。默认设置此模式。
您可以使用此模式基于任务日志中记录的信息创建应用程序启动控制规则。
您可根据以下方案之一配置“应用程序启动控制”任务:
如果操作系统文件在“应用程序启动控制”任务的范围内,建议在创建应用程序启动控制规则时确保新创建的规则允许此类应用程序。否则,操作系统可能无法启动。
Kaspersky Embedded Systems Security 还会拦截在 Linux 的 Windows 子系统下启动的进程(从 UNIX shell 或命令行解释器运行的脚本除外)。对于此类进程,“应用程序启动控制”任务将应用当前配置定义的操作。“应用程序启动控制规则生成器”任务会检测应用程序启动,并为在 Linux 的 Windows 子系统下运行的应用程序生成相应规则。