应用程序权限控制

仅当 Kaspersky Security 安装在采用 Windows 桌面操作系统的虚拟机上时，本部分中介绍的 Kaspersky Security 功能才可用。

应用程序权限控制可避免应用程序执行可能给操作系统带来危险的操作，并确保控制对操作系统资源以及您隐私数据的访问。

该组件使用“应用程序控制规则”来控制受保护虚拟机上应用程序的活动，包括对受保护资源（如文件和文件夹、注册表键）的访问。应用程序控制规则是应用于操作系统中各种应用程序操作以及对受保护虚拟机资源的访问权限的一组限制。

应用程序的网络活动由防火墙组件进行监控。

应用程序可能由用户启动，也可能由另一个运行中的应用程序启动。当应用程序由另一个应用程序启动时，系统将创建一个启动序列，其中包含父进程和子进程。

当应用程序尝试获取对受保护资源的访问权限时，应用程序权限控制将分析此应用程序的所有父进程，以确定它们是否有权访问受保护的资源。然后遵循最小优先级规则：比较应用程序与父进程的访问权限时，拥有最小优先级的访问权限应用于此应用程序的活动。

访问权限的优先级如下：

1. 允许。此访问权限拥有最高优先级。
2. 阻止。此访问权限拥有最低优先级。

此机制能够防止不受信任的应有程序或权限受限的应用程序使用受信任的应用程序来执行需要一定权限的操作。

如果应用程序的活动由于没有授予父进程的权限而受到阻止，您可以在本地界面中编辑这些权限或禁用继承父进程限制。

当应用程序在受保护虚拟机上首次启动时，应用程序权限控制组件会扫描该应用程序并将其置于一个信任组中。信任组定义在控制应用程序活动时 Kaspersky Security 应用程序所应用的应用程序控制规则。

如果要更高效地运行应用程序权限控制，建议您启用在 Kaspersky Security 运行期间使用卡巴斯基安全网络设置。通过卡巴斯基安全网络获得的数据使您可以将应用程序更加准确地分类在组中，并应用最佳应用程序控制规则。

当该应用程序下一次启动时，应用程序权限控制会验证该应用程序的完整性。如果应用程序未更改，则该组件会对其应用当前应用程序控制规则。如果应用程序已经过修改，则应用程序权限控制会对其进行重新扫描，就像它首次启动时一样。

本节介绍如何使用管理控制台和 Light Agent for Windows 本地界面配置“应用程序权限控制”设置。您还可以在创建或修改 Light Agent for Windows 策略设置时使用 Web 控制台配置“应用程序权限控制”设置（“应用程序设置”→“端点控制”→“应用程序权限控制”）。不支持使用 Web 控制台配置应用程序控制规则。