“應用程式控制”管理使用者電腦上的應用程式啟動。這允許您在使用應用程式時實行公司安全政策。“應用程式控制”還透過限制對應用程式的存取來降低電腦感染的風險。
設定“應用程式控制”包括以下步驟:
管理員建立管理員想要管理的應用程式類別。應用程式類別適用於公司網路中的所有電腦,與管理群組無關。要建立類別,可以使用以下條件:KL 類別(例如,瀏覽器)、檔案雜湊、應用程式供應商和其他條件。
管理員在管理群組的政策中建立應用程式控制規則。該規則包括應用程式類別和這些類別中的應用程式啟動狀態:已封鎖或已允許。
管理員選取對未包含在以下任何規則中之應用程式的處理模式(應用程式拒絕清單和允許清單)。
當使用者嘗試啟動已禁止的應用程式時,Kaspersky Endpoint Security 將封鎖該應用程式啟動並顯示通知(請參見下圖)。
系統提供了一種測試模式來檢查“應用程式控制”的設定。在此模式下,Kaspersky Endpoint Security 會執行以下操作:
“應用程式控制”通知
“應用程式控制”執行模式
“應用程式控制”元件可在兩種模式下執行:
預設情況下,會啟用“應用程式控制”此一模式。
如果完整設定了“應用程式控制”的允許規則,則該元件將封鎖啟動所有未經區域網路管理員驗證的新應用程式,同時允許執行使用者在工作中依賴的作業系統和受信任應用程式。
您可以閱讀有關在允許清單模式下設定應用程式控制規則的建議。
可以使用 Kaspersky Endpoint Security 本機介面和卡巴斯基安全管理中心將“應用程式控制”設定為在這些模式下執行。
但是,卡巴斯基安全管理中心提供了在 Kaspersky Endpoint Security 本機介面中不可使用的工具,例如以下工作所需的工具:
在卡巴斯基安全管理中心管理主控台中建的應用程式控制規則,以您的自訂的應用程式類別為主,而不是以像 Kaspersky Endpoint Security 本機介面中的包含和排除條件為主。
因此,建議使用卡巴斯基安全管理中心設定“應用程式控制”元件的執行。
“應用程式控制”執行演算法
Kaspersky Endpoint Security 使用算法來決定是否啟動應用程式(請參見下圖)。
“應用程式控制”執行演算法
應用程式控制元件設定
參數 |
描述 |
---|---|
啟動已封鎖的應用程式時的操作 |
套用規則Kaspersky Endpoint Security 會根據選定模式管理應用程式的啟動。 測試規則Kaspersky Endpoint Security 允許啟動在目前應用程式控制模式中封鎖的應用程式,但是在報告中記錄其啟動資訊。 |
應用程式啟動控制模式 |
您可以選取以下選項之一:
選取允許清單模式後,會自動建立兩個應用程式控制規則:
您不能編輯自動建立的規則的設定,也不能刪除這些規則。您可以啟用或停用這些規則。 |
控制 DLL 模組負載 |
如果選定此核取方塊,Kaspersky Endpoint Security 將在使用者啟動應用程式時控制 DLL 模組的載入。有關 DLL 模組和載入此 DLL 模組的應用程式的資訊將記錄在此報告中。 當啟用對載入 DLL 模組和驅動程式的控制時,請確保在“應用程式控制”設定中已啟用以下規則之一:預設黃金映像規則或其他包含受信任憑證 KL 類別的規則,並確保在啟動 Kaspersky Endpoint Security 之前載入受信任的 DLL 模組和驅動程式。如果在停用“黃金映像”規則時啟用對載入 DLL 模組和驅動程式的控制,可能導致作業系統不穩定。 Kaspersky Endpoint Security 僅監控自選中核取方塊後載入的 DLL 模組和驅動程式。選中核取方塊後,建議重新啟動電腦以確保應用程式監控所有 DLL 模組和驅動,包括在啟動 Kaspersky Endpoint Security 之前加載的模組和驅動。 |
有關應用程式封鎖的訊息範本 |
有關封鎖的訊息當觸發了某個封鎖應用程式啟動的應用程式控制規則時所顯示的訊息範本。 傳送郵件給管理員當使用者相信某個應用程式被錯誤地封鎖時,可以傳送給公司區域網路管理員的訊息模組。在使用者請求提供存取權限後,Kaspersky Endpoint Security 會向卡巴斯基安全管理中心傳送一個事件:傳送給管理員的應用程式啟動封鎖訊息。事件描述包含一條給管理員的訊息,其中包含被替換的變數。您可以使用預定義事件選擇使用者請求在 Kaspersky Security Center 控制台中檢視這些事件。如果您的組織沒有部署卡巴斯基安全管理中心或者沒有連線到管理伺服器,應用程式將向管理員傳送一條訊息到指定的電子郵件信箱。 |