KSWS 应用程序启动控制默认被阻止。也就是说,应用程序启动控制会自动阻止所有未在规则中指定为允许的应用程序的应用程序。因此,KES 应用程序控制的迁移向导会自动设置”允许列表”控制模式,对应于默认阻止原则。
您可以使用策略和任务批量转换向导或基于 KSWS 策略创建新 KES 策略的向导将规则从 KSWS 迁移到 KES。
迁移应用程序启动控制模式
KSWS 应用程序启动控制模式被迁移到 KES 应用程序控制,如下所示:
迁移 KSWS 应用程序启动控制预定义规则
默认情况下,KSWS 应用程序启动控制包括两个规则:
预定义规则允许运行由受信任的根证书签名的脚本、MSI 程序包和可执行文件。如果至少有一个预定义 KSWS 规则具有“允许”类型,迁移向导将创建一个新的允许规则,即“具有受信任根证书的应用程序”。也就是说,KES 应用程序控制使用单个规则来允许运行受信任的脚本、MSI 包和可执行文件。
如果两个 KSWS 预定义规则都具有“拒绝”类型,KES 忽略预定义的规则。
迁移 KSWS 应用程序启动控制自定义规则
KSWS 应用程序启动控制规则根据以下标准规范文件的执行:
KSWS 和 KES 中的规则创建方式不同,因此迁移向导会创建应用程序类别,其中包括 KSWS 规则的条件和排除项,并将这些应用程序类别添加到 KES 规则中。向导使用应用程序类别中的“证书”、“文件夹路径”和“文件哈希”条件。Kaspersky Security Center 管理控制台中提供了新的应用程序类别,位于“管理应用程序” → “应用程序类别”部分。
迁移向导按类型和用户对 KSWS 规则进行分组。接下来,向导会创建包含 KSWS 规则的条件和排除项的应用程序类别,并将应用程序类别添加到新的 KES 规则中。向导在 KES 规则 的“描述”字段指定 KSWS 规则的名称。
迁移 KSWS 应用程序启动控制高级设置
KSWS 应用程序启动控制和 KES 应用程序控制的运行原理不同,因此迁移向导可能会迁移设置子集。
应用程序启动控制设置
Kaspersky Security for Windows Server 设置 |
Kaspersky Endpoint Security for Windows 设置 |
---|---|
在此文件的所有后续启动中重复针对首次文件启动执行的操作 |
(不迁移) Kaspersky Endpoint Security 在应用程序每次尝试运行时都对其进行扫描。 |
在没有可执行的命令时拒绝命令解释器启动 |
(不迁移) Kaspersky Endpoint Security 允许运行不被应用程序控制禁止的命令解释器。 |
将规则应用于可执行文件 |
(不迁移) 无法在 KES 应用程序控制设置中配置规则应用程序范围。KES 应用程序控制将规则应用于所有类型的文件:可执行文件、脚本和 MSI 包。如果所有文件类型都包含在 KSWS 的规则应用范围中,则在迁移过程中,KES 将继承 KSWS 规则。如果某个文件类型被排除在 KSWS 中的规则应用范围之外,则在迁移过程中,KES 也会继承 KSWS 规则,但选择“测试规则”作为应用程序控制操作。 |
监控 DLL 模块的加载 |
控制 DLL 模块加载(显著增加系统负载) |
将规则应用于脚本和 MSI 数据包 |
(不迁移) 无法在 KES 应用程序控制设置中配置规则应用程序范围。KES 应用程序控制将规则应用于所有类型的文件:可执行文件、脚本和 MSI 包。如果所有文件类型都包含在 KSWS 的规则应用范围中,则在迁移过程中,KES 将继承 KSWS 规则。如果某个文件类型被排除在 KSWS 中的规则应用范围之外,则在迁移过程中,KES 会继承 KSWS 规则,但选择“测试规则”作为应用程序控制操作。 |
拒绝 KSN 不信任的应用程序 |
(不迁移) Kaspersky Endpoint Security 不考虑应用程序的信誉,根据规则允许或拒绝应用程序运行。 |
允许 KSN 信任的应用程序 |
在迁移过程中,KES 添加了一个新的允许规则。其他软件 → 根据 KSN 信誉受信任的应用程序 KL 类别被指定为规则触发条件。 |
允许运行 KSN 信任的应用程序的用户和/或用户组 |
包含 KL 类别“其他程序 → 根据 KSN 信誉受信任的应用程序”的应用程序控制允许规则的用户及其权限 |
自动允许通过所列应用程序和软件包分发软件 |
KSWS 和 KES 中的软件分发控制工作方式不同。在迁移过程中,KES 为允许自动软件分发的应用程序添加了新的允许规则。文件哈希被指定为规则触发条件。 |
始终允许通过 Windows Installer 进行软件分发 |
KSWS 和 KES 中的软件分发控制工作方式不同。在迁移过程中,KES 为允许自动软件分发的应用程序添加了新的允许规则(允许软件分发应用程序和软件包)。文件哈希被指定为规则触发条件。在账户属性中,“受信任的更新程序”复选框被选中。 |
始终允许使用后台智能传输服务通过 SCCM 进行软件分发 |
(不迁移) |
允许的软件分发应用程序和数据包 |
KSWS 和 KES 中的软件分发控制工作方式不同。在迁移过程中,KES 为允许自动软件分发的应用程序添加了新的允许规则。文件哈希被指定为规则触发条件。在账户属性中,“受信任的更新程序”复选框被选中。 |
计划设置 |
(不迁移) 如果在 KSWS 设置中为组件配置了计划,则在迁移时将启用应用程序控制组件。如果未在 KSWS 设置中为组件配置计划,则在迁移时禁用应用程序控制。 无法为组件配置单独的计划。当 Kaspersky Endpoint Security 运行时,该组件始终处于打开状态。 |