“应用程序控制”管理用户计算机上的应用程序启动。这允许您在使用应用程序时实施公司安全策略。“应用程序控制”还通过限制对应用程序的访问来降低计算机感染的风险。
配置“应用程序控制”包括以下步骤:
管理员创建管理员想要管理的应用程序类别。应用程序类别适用于公司网络中的所有计算机,与管理组无关。要创建类别,可以使用以下条件:KL 类别(例如,浏览器)、文件哈希、应用程序供应商和其他条件。
管理员在管理组的策略中创建应用程序控制规则。该规则包括应用程序类别和这些类别中的应用程序的启动状态:已阻止或已允许。
管理员选择对未包含在以下任何规则中的应用程序的处理模式(应用程序拒绝列表或允许列表)。
当用户尝试启动已禁止的应用程序时,Kaspersky Endpoint Security 将阻止该应用程序启动并显示通知(请参见下图)。
系统提供了一种测试模式来检查“应用程序控制”的配置。在此模式下,Kaspersky Endpoint Security 执行以下操作:
“应用程序控制”通知
“应用程序控制”运行模式
“应用程序控制”组件在两种模式下运行:
默认情况下启用“应用程序控制”的这一模式。
如果完整配置了“应用程序控制”的允许规则,则该组件将阻止启动所有未经局域网管理员验证的新应用程序,同时允许运行用户在工作中依赖的操作系统和受信任应用程序。
您可以阅读有关在允许列表模式下配置应用程序控制规则的建议。
可以使用 Kaspersky Endpoint Security 本地界面和 Kaspersky Security Center 将“应用程序控制”配置为在这些模式下运行。
但是,Kaspersky Security Center 提供了在 Kaspersky Endpoint Security 本地界面中不可用的工具,例如以下任务所需的工具:
在 Kaspersky Security Center 管理控制台中创建的应用程序控制规则基于您的自定义应用程序类别,而不是基于像 Kaspersky Endpoint Security 本地界面中的包含和排除条件。
因此,建议使用 Kaspersky Security Center 配置“应用程序控制”组件的运行。
“应用程序控制”运行算法
Kaspersky Endpoint Security 使用算法来决定是否启动应用程序(请参见下图)。
“应用程序控制”运行算法
应用程序控制组件设置
参数 |
描述 |
---|---|
测试模式 |
如果打开该切换按钮,Kaspersky Endpoint Security 将允许启动在当前应用程序控制模式中阻止的应用程序,但是在报告中记录其启动信息。 |
应用程序启动控制模式 |
您可以选择以下选项之一:
选择允许列表模式后,会自动创建两个应用程序控制规则:
您不能编辑自动创建的规则的设置,也不能删除这些规则。您可以启用或禁用这些规则。 |
控制 DLL 模块加载 |
如果选定该复选框,Kaspersky Endpoint Security 将在用户启动应用程序时控制 DLL 模块的加载。有关 DLL 模块和加载该 DLL 模块的应用程序的信息将记录在该报告中。 当启用对加载 DLL 模块和驱动程序的控制时,请确保在“应用程序控制”设置中已启用以下规则之一:默认黄金镜像规则或其他包含受信任证书 KL 类别的规则,并确保在启动 Kaspersky Endpoint Security 之前加载受信任的 DLL 模块和驱动程序。如果在禁用“黄金镜像”规则时启用对加载 DLL 模块和驱动程序的控制,可能导致操作系统不稳定。 Kaspersky Endpoint Security 仅监控自选中该复选框后加载的 DLL 模块和驱动程序。选择复选框后,建议重启计算机以确保应用程序监控所有 DLL 模块和驱动程序,包括那些在 Kaspersky Endpoint Security 启动之前加载的。 |
消息模板 |
阻止消息。当触发了某个阻止应用程序启动的应用程序控制规则时所显示的消息模板。 给管理员的消息。当用户相信某个应用程序被错误地阻止时可以发送给公司局域网管理员的消息模板。在用户请求提供访问权限后,Kaspersky Endpoint Security 向 Kaspersky Security Center 发送一个事件: 发送给管理员的应用程序启动阻止消息。事件描述包含一条给管理员的消息,其中包含替换变量。您可以使用预定义事件分类用户请求在 Kaspersky Security Center 控制台中查看这些事件。如果您的组织没有部署 Kaspersky Security Center 或者没有连接到管理服务器,应用程序将向管理员发送一条消息到指定的电子邮件地址。 |