关于应用程序控制规则
Kaspersky Endpoint Security 根据规则按照用户控制应用程序的启动。应用程序控制规则指定触发条件以及规则被触发时“应用程序控制”组件执行的操作(用户允许或阻止应用程序启动)。
规则触发条件
触发规则的条件拥有以下对应:“条件类型 - 条件标准 - 条件值”(参见下图)。根据规则触发条件,Kaspersky Endpoint Security 将对应用程序应用(或不应用)规则。
应用程序控制规则。规则触发条件参数
规则使用包括和排除条件:
- 包括条件。如果应用程序匹配至少一个包括条件,Kaspersky Endpoint Security 会将规则应用至该应用程序。
- 排除条件。如果应用程序匹配至少一个排除条件并且不匹配任何包括条件,Kaspersky Endpoint Security 不会将规则应用至该应用程序。
规则触发条件使用标准进行创建。Kaspersky Endpoint Security 中使用以下标准创建规则:
- 包含应用程序可执行文件的文件夹的路径或该应用程序的可执行文件的路径。
- 元数据:应用程序可执行文件名称、应用程序可执行文件版本、应用程序名称、应用程序版本、应用程序提供商。
- 应用程序可执行文件的哈希值。
- 证书:发布者、主题、指纹。
- 在 KL 类别中包括应用程序。
- 可移动驱动器上应用程序可执行文件的位置。
必须为条件中使用的每个标准制定标准值。如果要启动的应用程序参数符合包括条件中指定的标准值,则触发规则。在这种情况下,“应用程序控制”将执行规则中指定的操作。如果应用程序参数匹配排除条件中指定的值,“应用程序控制”不会控制应用程序的启动。
触发规则后由“应用程序控制”组件做出决定。
触发规则后,“应用程序控制”将根据规则允许用户(或用户组)启动应用程序或阻止启动。您可以选择允许或不允许匹配规则的应用程序启动的用户或用户组。
如果一个规则未指定那些被允许启动匹配该规则的应用程序的用户,则该规则称为“阻止”规则。
如果一个规则未指定任何不允许启动匹配该规则的应用程序的用户,则该规则称为“允许”规则。
阻止规则的优先级高于允许规则的优先级。例如,如果已经为一个用户组指定了应用程序控制允许规则,但已经为该用户组中的一个用户指定了一个应用程序控制阻止规则,则该用户将被阻止启动应用程序。
规则的运行状态
应用程序控制规则可具有以下运行状态之一:
- 开。此状态表示运行“应用程序控制”时使用该规则。
- 关。此状态表示运行“应用程序控制”时忽略该规则。
- 测试。此状态表示 Kaspersky Endpoint Security 允许启动应用了规则的应用程序,但会在报告中记录与启动此类应用程序有关的信息。