为自适应异常控制规则创建排除项
您无法为自适应异常控制规则创建超过 1000 个排除项。不建议创建超过 200 个排除项。要减少使用的排除项数量,建议在排除项设置中使用掩码。
自适应异常控制规则的排除项包括源对象和目标对象的说明。源对象是执行操作的对象。目标对象是被执行操作的对象。例如,您打开了一个名为 file.xlsx 的文件。结果,一个带 DLL 扩展名的库文件加载到计算机内存中。该库被浏览器(名为 browser.exe 的可执行文件)使用。在此示例中,file.xlsx 是源对象,Excel 是源进程,browser.exe 是目标对象,Browser 是目标进程。
要为自适应异常控制规则创建排除项:
- 打开主应用程序窗口并单击
按钮。 - 在应用程序设置窗口中,选择“安全控制” → “自适应异常控制”。
- 在“规则”块中单击“编辑规则”按钮。
“自适应异常控制规则”列表将打开。
- 在表格中选择规则。
- 单击“编辑”。
“自适应异常控制规则”属性窗口将打开。
- 在“排除项”块中单击“添加”按钮。
排除属性窗口将打开。
- 选择要为其配置排除项的用户。
您可以在 Active Directory 中、在 Kaspersky Security Center 的账户列表中或通过手动输入本地用户名来选择用户。卡巴斯基建议仅在特殊情况下使用本地用户账户,当无法使用域用户账户时。
自适应异常控制不支持用户组排除项。如果您选择一个用户组,Kaspersky Endpoint Security 不应用排除项。
- 在“描述”字段中输入排除项的说明。
- 定义源对象的设置或该对象启动的源进程的设置:
- “源进程”。文件或包含文件的文件夹的路径或掩码(例如,
C:\Dir\File.exe或Dir\*.exe)。 - “源进程哈希”。文件哈希代码。
- “源对象”。文件或包含文件的文件夹的路径或掩码(例如,
C:\Dir\File.exe或Dir\*.exe)。例如,文件路径document.docm,它使用脚本或宏来启动目标进程。您还可以指定要排除的其他对象,如 Web 地址、宏、命令行中的命令、注册表路径等等。按照以下模板指定对象:
object://<object>、其中<object>指对象的名称,例如object://web.site.example.com、object://VBA、object://ipconfig、object://HKEY_USERS。您也可以使用掩码,例如,object://*C:\Windows\temp\*。 - “源对象哈希”。文件哈希代码。
自适应异常控制规则不适用于该对象执行的操作或该对象启动的进程。
- “源进程”。文件或包含文件的文件夹的路径或掩码(例如,
- 指定目标对象的设置或对该对象启动的目标进程的设置。
- “目标进程”。文件或包含文件的文件夹的路径或掩码(例如,
C:\Dir\File.exe或Dir\*.exe)。 - “目标进程哈希”。文件哈希代码。
- “目标对象”。用于启动目标进程的命令。使用模式
object://<command>指定命令, 例如,object://cmdline:powershell -Command "$result = 'C:\Windows\temp\result_local_users_pwdage.txt'"。您也可以使用掩码,例如,object://*C:\Windows\temp\*。 - “目标对象哈希”。文件哈希代码。
自适应异常控制规则不适用于对该对象执行的操作或对该对象启动的进程。
- “目标进程”。文件或包含文件的文件夹的路径或掩码(例如,
- 保存更改。