如何启用阻止的应用程序模式
在“已阻止的应用程序”模式下,应用程序控制允许用户启动除了应用程序控制规则中禁止的应用程序以外的所有应用程序。也就是说,如果不存在拒绝规则,应用程序控制将允许启动该应用程序。默认情况下启用“应用程序控制”的这一模式。
在启用“已阻止的应用程序”模式之前,我们建议测试您的应用程序控制规则。为此,您可以启用测试模式。
- 打开 Kaspersky Security Center Administration Console。
- 在控制台树中,选择“策略”。
- 选择必要的策略并双击以打开策略属性。
- 在策略窗口中,选择 安全控制 → 应用程序控制。
- 选择应用程序控制复选框。
- 在“应用程序控制设置”块中,使用“控制模式”下拉列表选择“拒绝列表”。
- 在“操作”下拉列表中,选择应用程序控制的操作:
- “测试规则”。应用程序控制不会阻止规则阻止运行的应用程序,但会生成有关原本会被阻止的应用程序运行的事件。
- “应用规则”。应用程序控制阻止被阻止的应用程序并生成相应的事件。
- 为应用程序控制规则选择状态:
- “启用”。此状态表示在“应用程序控制”组件运行时使用该规则。
- “关闭”。此状态表示在“应用程序控制”组件运行时忽略该规则。
- “测试”。此状态表示 Kaspersky Endpoint Security 总是允许启动应用了规则的应用程序,但会在报告中记录与启动此类应用程序有关的信息。
如有需要,添加应用程序控制规则。
- 配置应用程序控制的高级设置:
- “控制 DLL 模块加载(显著增加系统负载)”。如果选定该复选框,Kaspersky Endpoint Security 将在用户启动应用程序时控制 DLL 模块的加载。有关 DLL 模块和加载该 DLL 模块的应用程序的信息将记录在该报告中。
当启用对加载 DLL 模块和驱动程序的控制时,请确保在“应用程序控制”设置中已启用以下规则之一:默认“黄金镜像”规则或其他包含“黄金镜像\受信任证书”KL 类别的规则,并确保在启动 Kaspersky Endpoint Security 之前加载受信任的 DLL 模块和驱动程序。如果在禁用“黄金镜像”规则时启用对加载 DLL 模块和驱动程序的控制,可能导致操作系统不稳定。
Kaspersky Endpoint Security 仅监控自选中该复选框后加载的 DLL 模块和驱动程序。选择复选框后,建议重启计算机以确保应用程序监控所有 DLL 模块和驱动程序,包括那些在 Kaspersky Endpoint Security 启动之前加载的。
- “使用严格的数字签名验证”。您可以选择证书作为应用程序控制规则的触发条件。如果选中此复选框,Kaspersky Endpoint Security 将规则应用于仅使用以下证书签名的应用程序:受信任的系统证书存储。使用此类证书签名的应用程序也被视为受到保护组件(例如“恶意软件扫描”任务)的信任。但是,如果您在应用程序控制规则中指定来自不同存储的证书,Kaspersky Endpoint Security 将不会应用此类规则。
如果清除该复选框,Kaspersky Endpoint Security 会将规则应用于由 Windows Trusted Root Certificate Store中的证书签名的应用程序。此类应用程序不属于受信任区域的一部分。保护组件监控此类应用程序的活动。
- “阻止消息”。当触发了某个阻止应用程序启动的应用程序控制规则时所显示的消息模板。
- “给管理员的消息”。当用户相信某个应用程序被错误地阻止时可以发送给公司局域网管理员的消息模板。
- “控制 DLL 模块加载(显著增加系统负载)”。如果选定该复选框,Kaspersky Endpoint Security 将在用户启动应用程序时控制 DLL 模块的加载。有关 DLL 模块和加载该 DLL 模块的应用程序的信息将记录在该报告中。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。
如何在 Web Console 和云控制台中启用阻止的应用程序模式
- 在 Web Console 的主窗口中,选择“资产(设备)” → “策略和配置文件”选项卡。
- 单击 Kaspersky Endpoint Security 策略的名称。
策略属性窗口将打开。
- 选择应用程序设置选项卡。
- 选择 安全控制 → 应用程序控制。
- 开启 应用程序控制 切换开关。
- 在“应用程序控制模式”块中,选择“拒绝列表”。
- 在“启动被规则阻止的应用程序时的操作”块中,选择应用程序控制的操作:
- “通知(测试模式)”。应用程序控制不会阻止规则阻止运行的应用程序,但会生成有关原本会被阻止的应用程序运行的事件。
- “阻止”。应用程序控制阻止被阻止的应用程序并生成相应的事件。
- 为应用程序控制规则选择状态:
- “已启用”。此状态表示在“应用程序控制”组件运行时使用该规则。
- “已禁用”。此状态表示在“应用程序控制”组件运行时忽略该规则。
- “测试模式”。此状态表示 Kaspersky Endpoint Security 总是允许启动应用了规则的应用程序,但会在报告中记录与启动此类应用程序有关的信息。
如有需要,添加应用程序控制规则。
- 配置应用程序控制的高级设置:
- “控制 DLL 模块加载(显著增加系统负载)”。如果选定该复选框,Kaspersky Endpoint Security 将在用户启动应用程序时控制 DLL 模块的加载。有关 DLL 模块和加载该 DLL 模块的应用程序的信息将记录在该报告中。
当启用对加载 DLL 模块和驱动程序的控制时,请确保在“应用程序控制”设置中已启用以下规则之一:默认“黄金镜像”规则或其他包含“黄金镜像\受信任证书”KL 类别的规则,并确保在启动 Kaspersky Endpoint Security 之前加载受信任的 DLL 模块和驱动程序。如果在禁用“黄金镜像”规则时启用对加载 DLL 模块和驱动程序的控制,可能导致操作系统不稳定。
Kaspersky Endpoint Security 仅监控自选中该复选框后加载的 DLL 模块和驱动程序。选择复选框后,建议重启计算机以确保应用程序监控所有 DLL 模块和驱动程序,包括那些在 Kaspersky Endpoint Security 启动之前加载的。
- “使用严格的数字签名验证”。您可以选择证书作为应用程序控制规则的触发条件。如果选中此复选框,Kaspersky Endpoint Security 将规则应用于仅使用以下证书签名的应用程序:受信任的系统证书存储。使用此类证书签名的应用程序也被视为受到保护组件(例如“恶意软件扫描”任务)的信任。但是,如果您在应用程序控制规则中指定来自不同存储的证书,Kaspersky Endpoint Security 将不会应用此类规则。
如果清除该复选框,Kaspersky Endpoint Security 会将规则应用于由 Windows Trusted Root Certificate Store中的证书签名的应用程序。此类应用程序不属于受信任区域的一部分。保护组件监控此类应用程序的活动。
- “阻止消息”。当触发了某个阻止应用程序启动的应用程序控制规则时所显示的消息模板。
- “给管理员的消息”。当用户相信某个应用程序被错误地阻止时可以发送给公司局域网管理员的消息模板。
- “控制 DLL 模块加载(显著增加系统负载)”。如果选定该复选框,Kaspersky Endpoint Security 将在用户启动应用程序时控制 DLL 模块的加载。有关 DLL 模块和加载该 DLL 模块的应用程序的信息将记录在该报告中。
- 保存更改。要在计算机上应用该策略,请关闭“挂锁”
。
- 打开主应用程序窗口并单击
按钮。 - 在应用程序设置窗口中,选择“安全控制” → “应用程序控制”。
- 开启 应用程序控制 切换开关。
- 在“应用程序启动控制模式”块中,选择“拒绝列表。规则列表之外的应用程序都被允许”。
- 在“启动被规则阻止的应用程序时的操作”块中,选择应用程序控制的操作:
- 通知(测试模式)并记录事件 报告。应用程序控制不会阻止规则阻止运行的应用程序,但会生成有关原本会被阻止的应用程序运行的事件。
- “阻止”。应用程序控制阻止被阻止的应用程序并生成相应的事件。
- 为应用程序控制规则选择状态:
- “已启用”。此状态表示在“应用程序控制”组件运行时使用该规则。
- “已禁用”。此状态表示在“应用程序控制”组件运行时忽略该规则。
- “测试模式”。此状态表示 Kaspersky Endpoint Security 总是允许启动应用了规则的应用程序,但会在报告中记录与启动此类应用程序有关的信息。
如有需要,添加应用程序控制规则。
- 配置应用程序控制的高级设置:
- “监控 DLL 模块的加载”。如果选定该复选框,Kaspersky Endpoint Security 将在用户启动应用程序时控制 DLL 模块的加载。有关 DLL 模块和加载该 DLL 模块的应用程序的信息将记录在该报告中。
当启用对加载 DLL 模块和驱动程序的控制时,请确保在“应用程序控制”设置中已启用以下规则之一:默认“黄金镜像”规则或其他包含“黄金镜像\受信任证书”KL 类别的规则,并确保在启动 Kaspersky Endpoint Security 之前加载受信任的 DLL 模块和驱动程序。如果在禁用“黄金镜像”规则时启用对加载 DLL 模块和驱动程序的控制,可能导致操作系统不稳定。
Kaspersky Endpoint Security 仅监控自选中该复选框后加载的 DLL 模块和驱动程序。选择复选框后,建议重启计算机以确保应用程序监控所有 DLL 模块和驱动程序,包括那些在 Kaspersky Endpoint Security 启动之前加载的。
- “使用严格的数字签名验证”。您可以选择证书作为应用程序控制规则的触发条件。如果选中此复选框,Kaspersky Endpoint Security 将规则应用于仅使用以下证书签名的应用程序:受信任的系统证书存储。使用此类证书签名的应用程序也被视为受到保护组件(例如“恶意软件扫描”任务)的信任。但是,如果您在应用程序控制规则中指定来自不同存储的证书,Kaspersky Endpoint Security 将不会应用此类规则。
如果清除该复选框,Kaspersky Endpoint Security 会将规则应用于由 Windows Trusted Root Certificate Store中的证书签名的应用程序。此类应用程序不属于受信任区域的一部分。保护组件监控此类应用程序的活动。
- “关于应用程序阻止的消息模板”。当触发了某个阻止应用程序启动的应用程序控制规则时所显示的消息模板。
- “当应用程序被阻止启动时显示的消息文本的模板。”。当用户相信某个应用程序被错误地阻止时可以发送给公司局域网管理员的消息模板。
- “监控 DLL 模块的加载”。如果选定该复选框,Kaspersky Endpoint Security 将在用户启动应用程序时控制 DLL 模块的加载。有关 DLL 模块和加载该 DLL 模块的应用程序的信息将记录在该报告中。
- 保存更改。
因此,应用程序控制会阻止阻止的应用程序。Kaspersky Endpoint Security 还会生成“已禁止应用程序启动”事件。您可以使用这些事件在 Kaspersky Security Center 控制台中生成“禁止的应用程序报告”报告。在报告摘要中,您可以查看触发应用程序控制规则的应用程序和计算机的列表。
页面顶部