关于应用程序启动控制规则

2023年2月20日

ID 148394

另存为 PDF

应用程序启动控制规则的工作原理

应用程序启动控制规则的操作基于以下组件：

规则类型。
应用程序启动控制规则可以允许或拒绝应用程序启动。相应地，它们被称为允许或拒绝规则。要为“应用程序启动控制”创建允许规则列表，可以使用规则生成器生成允许规则或在“仅统计”模式下使用“应用程序启动控制”任务。您也可以手动添加允许规则。
用户和/或用户组。
应用程序启动控制规则可以按用户或用户组控制指定应用程序的启动。
规则使用范围。
应用程序启动控制规则可应用于可执行文件、脚本和 MSI 安装包。
规则触发条件。
应用程序启动控制规则会控制满足规则设置中指定的一个或多个标准的文件的启动：由指定数字证书签名、匹配指定 SHA256 哈希、位于指定路径和匹配指定命令行参数。您应该选择至少一个选项。否则不会添加应用程序启动控制规则。
如果将“数字证书”设置为规则触发条件，则创建的规则会控制操作系统中所有受信任应用程序的启动。您可通过选中以下复选框为此条件设置更加严格的条件：
- 使用主题
  该复选框可启用或禁用使用数字证书的主题作为规则触发条件。
  
  如果选中该复选框，则使用指定的数字证书主题作为规则触发条件。创建的规则将仅控制主题中指定的供应商的应用程序的启动。
  
  如果清除该复选框，应用程序将不会使用数字证书的主题作为规则触发条件。如果选择“数字证书”条件，创建的规则将控制使用包含任何主题的数字证书签名的应用程序的启动。
  
  只能使用位于“规则触发条件”部分上方的“从文件属性设置规则触发条件”按钮通过所选文件的属性指定用于对文件进行签名的数字证书的主题。
  
  默认取消选中该复选框。
- 使用指纹
  该复选框可启用/禁用使用数字证书的指纹作为规则触发条件。
  
  如果选中该复选框，则使用指定的数字证书指纹作为规则触发条件。创建的规则将控制使用带指定指纹的数字证书签名的应用程序的启动。
  
  如果清除该复选框，应用程序将不会使用数字证书的指纹作为规则触发条件。如果选择“数字证书”条件，应用程序将控制使用具有任何指纹的数字证书签名的应用程序的启动。
  
  只能使用位于“规则触发条件”部分上方的“从文件属性设置规则触发条件”按钮通过所选文件的属性指定用于对文件进行签名的数字证书的指纹。
  
  默认取消选中该复选框。
指纹最严格地限制了基于数字证书的应用程序启动规则的触发，因为指纹唯一标识了数字证书且无法伪造，这一点与数字证书的主题不同。

您可以指定应用程序启动控制规则的排除。应用程序启动控制规则的排除基于用于触发规则的相同条件：数字证书、SHA256 哈希和文件路径。对于某些允许规则时，可能需要指定应用程序启动控制规则的排除：例如，如果您希望允许用户从 C:\Windows 路径启动应用程序，同时阻止启动文件 Regedit.exe。

如果操作系统文件在“应用程序启动控制”任务的范围内，建议在创建应用程序启动控制规则时确保新创建的规则允许此类应用程序。否则，操作系统可能无法启动。

管理应用程序启动控制规则

您可以对应用程序启动控制规则执行以下操作：

手动添加规则。
自动生成和添加规则。
删除规则。
将规则导出到文件。
检查所选文件是否存在允许执行这些文件的规则。
根据指定的条件筛选列表中的规则。

Kaspersky Professional Services

Implementation services. Health check and security system configuration. Contact us if you need expert help.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

Did you find this article helpful?

What can we do better?

Thank you for your feedback! You're helping us improve.