关于应用程序控制规则

应用程序控制规则是应用程序控制任务工作所需的一组设置：

• 属于应用程序类别的应用程序。应用程序类别是一组具有共同特征的应用程序。例如，包含已安装应用程序的可执行文件的类别或操作所需的应用程序类别，其中包括组织使用的一组标准应用程序。每个类别只能在一条规则中使用。

  Kaspersky Endpoint Security 不支持使用 Kaspersky Security Center 的 KL 类别。

• 允许或禁止选定的用户和/或用户组运行应用程序。您可以指定用户和/或用户组，以允许或不允许他们运行指定类别的应用程序。
• 规则触发条件。条件由以下对应关系表示：“条件类型 – 条件标准 – 条件值”。根据规则的触发条件，Kaspersky Endpoint Security 可能为应用程序应用规则，也可能不会。这些规则使用包含条件和排除条件：
  • 包含条件。如果应用程序符合至少一个包含条件，则 Kaspersky Endpoint Security 将规则应用于应用程序。
  • 排除条件。如果应用程序符合至少一个排除条件或不符合任何包含条件，则 Kaspersky Endpoint Security 不将规则应用于应用程序。

  规则触发条件是使用以下条件创建的：

  • 应用程序的可执行文件的名称。
  • 包含应用程序可执行文件的目录的名称。
  • 应用程序可执行文件的哈希值。仅允许 SHA-256。

  对于条件中使用的每个标准，必须指定一个值。

  您可以使用掩码指定文件和目录的名称。

  可以使用 * 字符（任意字符序列）或 ? 字符（任意一个字符）作为文件名或目录名掩码。

  可以使用 * 字符表示包含 / 字符的文件名或目录名中的任意字符集（包括空字符集）。例如：/dir/*/file*/ 或 /dir/file*/。

  可以使用单个 ? 字符表示文件名或目录名中的任意一个字符（包括 /）。

  如果正在启动的应用程序的设置与包含条件中指定的条件值匹配，则会触发规则。在这种情况下，应用程序控制将执行规则中指定的操作。如果应用程序设置与排除条件中指定的条件值匹配，则应用程序控制不会控制应用程序的启动。

  如果在规则触发条件（包含或排除）中指定了应用程序可执行文件的名称和可执行文件目录，但是没有指定应用程序可执行文件的哈希值（SHA-256），则具有足够权限的用户可以将该应用程序复制到不同的目录并运行它。

对于应用程序控制任务的每种模式，都需要创建单独的规则，并选择应用程序控制任务在检测到启动应用程序的尝试时将执行的操作。

应用程序控制规则有三种操作状态：

• Enabled – 规则已启用，Kaspersky Endpoint Security 在应用程序控制任务运行时应用此规则。
• Disabled – 应用程序控制任务在运行时禁用且不使用该规则。
• Test – Kaspersky Endpoint Security 允许启动符合规则标准的应用程序，但在报告中记录有关这些应用程序启动的信息。

规则操作状态的优先级高于规则中指定的操作的优先级。

页面顶部