Über die Regeln zur Kontrolle des Programmstarts

Kaspersky Endpoint Security überwacht mithilfe von Regeln die Versuche von Benutzern, Programme zu starten. Eine Regel zur Kontrolle des Programmstarts enthält Auslösebedingungen und legt eine Aktion fest, die von der Komponente Kontrolle des Programmstarts beim Auslösen der Regel ausgeführt wird (Erlaubnis oder Verbot des von Benutzern ausgeführten Programmstarts).

Auslösebedingungen für eine Regel

Als Auslösebedingung für eine Regel gilt die Übereinstimmung von "Typ der Bedingung - Kriterium der Bedingung - Wert der Bedingung" (s. Abb. unten). Basierend auf den Auslösebedingungen für eine Regel wendet Kaspersky Endpoint Security die Regel auf ein Programm an (oder wendet die Regel nicht an).

Regel zur Kontrolle des Programmstarts. Einstellungen der Auslösebedingungen für eine Regel

In Regeln werden einschließende und ausschließende Bedingungen verwendet:

• Einschließende Bedingungen. Kaspersky Endpoint Security wendet die Regel auf ein Programm an, wenn das Programm mindestens eine einschließende Bedingung erfüllt.
• Ausschließende Bedingungen. Kaspersky Endpoint Security wendet die Regel nicht auf ein Programm an, wenn das Programm mindestens eine ausschließende Bedingung oder keine einschließende Bedingung erfüllt.

Auslösebedingungen für eine Regel werden mithilfe von Kriterien definiert. Um in Kaspersky Endpoint Security Bedingungen zu erstellen, werden folgende Kriterien verwendet:

• Pfad des Ordners mit der ausführbaren Programmdatei oder Pfad der ausführbaren Programmdatei
• Metadaten: Name der ausführbaren Programmdatei, Version der ausführbaren Programmdatei, Programmname, Programmversion, Programmhersteller
• Hash der ausführbaren Programmdatei
• Zertifikat: Herausgeber, Subjekt, Fingerabdruck
• Zugehörigkeit eines Programms zu einer KL-Kategorie
• Speicherort der ausführbaren Programmdatei auf dem Wechseldatenträger

Für jedes Kriterium, das in einer Bedingung verwendet wird, muss ein Wert angegeben werden. Entsprechen die Parameter eines zu startenden Programms den Werten von Kriterien, die in einer einschließenden Bedingung angegeben sind, so wird die Regel ausgelöst. In diesem Fall führt die Kontrolle des Programmstarts die Aktion aus, die in der Regel angegeben ist. Entsprechen die Programmparameter den Werten von Kriterien, die in einer ausschließenden Bedingung angegeben sind, so überwacht die Kontrolle des Programmstarts den Start des Programms nicht.

Entscheidungen der Komponente Kontrolle des Programmstarts beim Auslösen einer Regel

Wenn eine Regel ausgelöst wird, verfährt die Kontrolle des Programmstarts nach der Regel und erlaubt oder verbietet den Benutzern (Benutzergruppen) den Programmstart. Sie können konkrete Benutzer oder Benutzergruppen wählen, denen der Start von Programmen, für welche eine Regel ausgelöst wird, erlaubt oder verboten werden soll.

In einer Verbotsregel ist kein Benutzer angegeben, dem der Start von Programmen erlaubt ist, welche die Regel erfüllen.

In einer Erlaubnisregel ist kein Benutzer angegeben, dem der Start von Programmen verboten ist, welche die Regel erfüllen.

Eine Verbotsregel besitzt eine höhere Priorität als eine Erlaubnisregel. Wenn für eine Benutzergruppe beispielsweise eine Erlaubnisregel zur Kontrolle des Programmstarts festgelegt ist, für einen Benutzer dieser Gruppe aber eine Verbotsregel zur Kontrolle des Programmstarts vorliegt, so wird diesem Benutzer der Start des Programms verboten.

Status einer Regel

Für den Status von Regeln zur Kontrolle des Programmstarts bestehen zwei Varianten:

• Ein

  Dieser Status bedeutet, dass die Regel aktiviert ist.

• Aus

  Dieser Status bedeutet, dass die Regel deaktiviert ist.

Standardmäßige Regeln zur Kontrolle des Programmstarts

Die Kontrolle des Programmstarts funktioniert standardmäßig im Modus "Schwarze Liste". Die Komponente erlaubt allen Benutzern den Start aller Programme. Wenn der Benutzer versucht, ein Programm zu starten, das durch Regeln zur Kontrolle des Programmstarts verboten ist, so blockiert Kaspersky Endpoint Security den Start dieses Programms (bei Auswahl der Aktion Blockieren) oder speichert Informationen über den Start des Programms in einem Bericht (bei Auswahl der Aktion Benachrichtigen).

Nach oben