应用程序启动控制

本部分中描述的 Kaspersky Security 功能在运行 Windows 桌面操作系统的虚拟机上可用。如果应用程序安装在运行 Windows 服务器操作系统的虚拟机上，该功能仅在您根据企业授权许可使用应用程序时才可用。

应用程序启动控制监控用户在虚拟机上启动应用程序的尝试，并通过应用程序启动控制规则管理应用程序的启动。

应用程序启动控制可以用两种模式运行：

• 应用程序拒绝列表。在此模式下，应用程序启动控制允许用户启动所有应用程序，除非应用程序启动控制规则另有指定。
• 应用程序允许列表。在此模式下，应用程序启动控制阻止用户启动任何应用程序，除非应用程序启动控制规则另有指定。当完全配置了应用程序启动控制规则时，应用程序启动控制会阻止所有尚未经过 LAN 管理员验证的新应用程序启动，但允许操作系统和用户工作所依赖的受信任的应用程序运行。

  默认启用该应用程序启动控制模式。

对于每一种应用程序启动控制模式，您可以创建单独的规则并选择当有人尝试启动规则不允许的应用程序时应用程序控制必须采取的操作：通知应用程序启动或阻止应用程序启动。

如果虚拟机用户认为误阻止了某个应用程序的启动，用户可以通过单击阻止通知文本中的链接向企业 LAN 管理员发送反馈。阻止某个应用程序启动时显示的消息，以及就误阻止的应用程序向管理员发送的反馈有专门的模板。您可以修改消息模板。

所有启动受保护的虚拟机上应用程序启动控制规则不允许的应用程序的尝试将记录在报告中。

默认情况下禁用应用程序启动控制组件，您可以在必要时启用应用程序启动控制。

如果您使用了 Kaspersky Security 来保护基于 Citrix Virtual Apps and Desktops（Citrix XenApp 和 XenDesktop）的虚拟基础架构，并打算使用 Citrix App Layer 来存储用户数据，应用程序启动控制组件可能会阻止 Citrix Virtual Apps and Desktops 与 Citrix App Layer 进行交互。如果要在“应用程序允许列表”模式下使用应用程序启动控制组件，需要为 LayerInfo.exe 文件创建一个允许规则。要创建此规则，需要创建一个可手动更新的应用程序类别，并将 c:\program files\unidesk\layering services\LayerInfo.exe 路径添加到该类别中，然后根据此类别创建一个允许规则。

应用程序启动控制在 Kaspersky Security Center 中配置。您可以执行以下操作以在 Kaspersky Security Center 中配置应用程序启动控制：

• 获取关于企业 LAN 受保护虚拟机上安装的应用程序的信息。
• 创建和编辑应用程序启动控制规则。
• 更改“应用程序启动控制”规则的状态。
• 删除应用程序启动控制规则。
• 配置可执行模块和驱动程序启动控制。
• 编辑应用程序启动控制消息模板。

本节介绍如何使用管理控制台和 Light Agent for Windows 本地界面配置“应用程序启动控制”设置。您还可以在创建或修改 Light Agent for Windows 策略设置时使用 Web 控制台配置“应用程序启动控制”设置（“应用程序设置”→“端点控制”→“应用程序启动控制”）。