创建防御规则

为系统文件创建防护规则时，阻止文件运行的主机可能无法正常工作。Kaspersky Anti Targeted Attack Platform 不检查为哪种类型的文件创建防护规则。

要创建防御规则：

1. 在应用程序 Web 界面窗口中选择防止部分。

   这将打开防御规则表

2. 单击添加。
3. 选择创建规则。

   这将打开防御规则创建窗口。

4. 配置以下设置：
   1. 状态是防御规则的状态：
      • 如果要启用防御规则，请将切换开关设置为开启。
      • 如果要禁用防御规则，请将切换开关设置为关闭。
   2. MD5/SHA256 — 要阻止启动的文件或数据流的 MD5 或 SHA256 哈希。

      NTFS 文件系统的数据流（备用数据流）用于文件的其他属性或信息。

      NTFS 文件系统中的每个文件都包含一组流。其中一个包含我们将能够通过打开文件看到的文件内容。其他（备用）用于元数据并确保 NTFS 系统与其他系统之间的兼容性等，例如称为分层文件系统 (HFS) 的旧 Macintosh 文件系统。可以创建、删除、单独保存、重命名流，甚至可以作为一个进程运行。

      黑客可以使用替代流来隐藏传输或从计算机接收数据。

   3. 名称是防御规则的名称。
   4. 如果您希望应用程序向应用防御的计算机用户显示防御规则触发通知，请选择通知用户阻止文件执行复选框。

      如果您选择了通知用户阻止文件执行复选框并尝试执行被阻止运行的文件，则用户会被通知该文件触发了执行阻止规则。

   5. 防止于是防御规则范围：
      • 如果您想在所有服务器的所有主机上应用防御，请选择所有主机。
      • 如果要在选定的服务器上应用防御规则，请选择指定服务器选项并在服务器参数名称的右侧选择要在其上应用防御规则的服务器名称旁边的复选框。

        仅当启用分布式解决方案和多租户模式时，此选项才可用。

        

        Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。

        

        安装有 Central Node 组件的服务器的两层架构。此架构分配主控制服务器 （主 Central Node (PCN)）和从属服务器（从属 Central Node (SCN)）。

      • 如果您想在选定主机上应用防御规则，请选择指定主机选项并在主机字段中列出这些主机。

      如果您使用的是版本早于 12.2 的 Kaspersky Endpoint Security for Linux 作为 Endpoint Agent 组件，则防护规则创建功能不可用。创建防御规则时，如果您选择装有 Kaspersky Endpoint Security for Linux 的主机或所有主机作为规则范围，则该规则不会应用或仅应用于装有 Kaspersky Endpoint Agent for Windows 和 Kaspersky Endpoint Security for Windows 的主机。

5. 单击添加。

将创建文件启动阻止。

您还可以导入防御规则。

具有安全审计员角色的用户无法创建文件启动阻止规则。

具有安全官角色的用户无法访问防御规则。

另请参阅 管理策略（防御规则） 查看防御规则表 配置防御规则表显示 查看防御规则 导入防御规则 启用和禁用防御规则 启用和禁用预设 删除防御规则 按名称筛选防御规则 按类型筛选防御规则 按文件哈希筛选防御规则 按服务器名称筛选防御规则 清除防御规则筛选器

页面顶部