應用程式控制
“應用程式控制”管理使用者電腦上的應用程式啟動。這允許您在使用應用程式時實行公司安全政策。“應用程式控制”還透過限制對應用程式的存取來降低電腦感染的風險。
設定“應用程式控制”包括以下步驟:
- 建立應用程式類別。
管理員建立管理員想要管理的應用程式類別。應用程式類別適用於公司網路中的所有電腦,與管理群組無關。要建立類別,可以使用以下條件:KL 類別(例如,瀏覽器)、檔案雜湊、應用程式供應商和其他條件。
- 建立應用程式控制規則。
管理員在管理群組的政策中建立應用程式控制規則。該規則包括應用程式類別和這些類別中的應用程式啟動狀態:已封鎖或已允許。
- 選取應用程式控制模式。
管理員選取對未包含在以下任何規則中之應用程式的處理模式:黑名單或白名單。
當使用者嘗試啟動已禁止的應用程式時,Kaspersky Endpoint Security 將封鎖該應用程式啟動並顯示通知(請參見下圖)。
系統提供了一種測試模式來檢查“應用程式控制”的設定。在此模式下,Kaspersky Endpoint Security 會執行以下操作:
- 允許啟動應用程式,包括已禁止的應用程式。
- 顯示有關已禁止之應用程式啟動的通知,並將資訊新增到使用者電腦上的報告中。
- 將有關已禁止之應用程式啟動的資料傳送到卡巴斯基安全管理中心。
“應用程式控制”通知
“應用程式控制”執行模式
“應用程式控制”元件可在兩種模式下執行:
- 黑名單。在此模式下,“應用程式控制”允許使用者啟動除了應用程式控制規則中禁止的應用程式以外的所有應用程式。
預設情況下,會啟用“應用程式控制”此一模式。
- 白名單。在此模式下,“應用程式控制”會封鎖使用者啟動除了應用程式控制規則中允許和未禁止的應用程式以外的所有應用程式。
如果完整設定了“應用程式控制”的允許規則,則該元件將封鎖啟動所有未經區域網路管理員驗證的新應用程式,同時允許執行使用者在工作中依賴的作業系統和受信任應用程式。
您可以閱讀有關在白名單模式下設定應用程式控制規則的建議。
可以使用 Kaspersky Endpoint Security 本機介面和卡巴斯基安全管理中心將“應用程式控制”設定為在這些模式下執行。
但是,卡巴斯基安全管理中心提供了在 Kaspersky Endpoint Security 本機介面中不可使用的工具,例如以下工作所需的工具:
- 建立應用程式類別。
在卡巴斯基安全管理中心管理主控台中建的應用程式控制規則,以您的自訂的應用程式類別為主,而不是以像 Kaspersky Endpoint Security 本機介面中的包含和排除條件為主。
- 接收有關安裝在公司區域網路電腦上的應用程式資訊。
因此,建議使用卡巴斯基安全管理中心設定“應用程式控制”元件的執行。
“應用程式控制”執行演算法
Kaspersky Endpoint Security 使用算法來決定是否啟動應用程式(請參見下圖)。
“應用程式控制”執行演算法
應用程式控制元件設定
參數 |
描述 |
|---|---|
測試模式 |
如果開啟該切換按鈕,Kaspersky Endpoint Security 將允許啟動在目前應用程式控制模式中封鎖的應用程式,但是在報告中記錄其啟動資訊。 |
應用程式控制模式 |
您可以選取以下選項之一:
選取白名單模式後,會自動建立兩個應用程式控制規則:
您不能編輯自動建立的規則的設定,也不能刪除這些規則。您可以啟用或停用這些規則。 |
控制 DLL 和驅動程式 |
如果選定此核取方塊,Kaspersky Endpoint Security 將在使用者啟動應用程式時控制 DLL 模組的載入。有關 DLL 模組和載入此 DLL 模組的應用程式的資訊將記錄在此報告中。 當啟用對載入哪些 DLL 模組和驅動程式的控制時,請確保在“應用程式控制”設定中已啟用以下規則之一:預設黃金映像規則或其他包含受信任憑證 KL 類別的規則,並確保在啟動 Kaspersky Endpoint Security 之前載入受信任的 DLL 模組和驅動程式。如果在停用“黃金映像”規則時啟用對載入 DLL 模組和驅動程式的控制,可能導致作業系統不穩定。 Kaspersky Endpoint Security 僅監控自選中“控制 DLL 和驅動程式”核取方塊後載入的 DLL 模組和驅動程式。建議在選中“監控 DLL 和驅動程式”核取方塊後重新開機電腦,以確保應用程式監控所有 DLL 模組和驅動程式,包括在 Kaspersky Endpoint Security 啟動之前載入的 DLL 模組和驅動程式。 |
訊息範本 |
封鎖。當觸發了某個封鎖應用程式啟動的應用程式控制規則時所顯示的訊息範本。 傳送給管理員的訊息。當使用者相信某個應用程式被錯誤地封鎖時,可以傳送給公司區域網路管理員的訊息模組。 |